email-pec-whistleblowing

Canali di whistleblowing a confronto: perché email e PEC non sono conformi alla nuova legge italiana

Tra le novità introdotte dalla Direttiva dell’Unione Europea sul whistleblowing, recepita alla fine dello scorso anno in Italia e pubblicata sulla Gazzetta Ufficiale il 15 marzo 2023, la più importante è sicuramente l’obbligo per enti e aziende di istituire propri canali di segnalazione, che garantiscano, anche tramite il ricorso a strumenti di crittografia, la riservatezza dell’identità della persona segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione” (art. 4 del D.Lgs. n. 24/2023 recante attuazione della direttiva (UE) 2019/1937).

Diventa dunque cruciale assicurarsi che il proprio sistema per la gestione delle segnalazioni abbia i requisiti necessari di riservatezza sia in termini organizzativi che dal punto di vista tecnico.

>> Scarica la guida gratuita alla nuova legge italiana sul whistleblowing

Sistemi di whistleblowing e utilizzo delle email: sanzioni per le aziende che violano la normativa

Molte aziende gestiscono già internamente il whistleblowing tramite caselle email, PEC o formulari online, se non addirittura in presenza o tramite moduli cartacei, con la convinzione che tale sistema abbia tutti i requisiti in regola.

Queste soluzioni sono tuttavia da riconsiderare alla luce delle novità normative, in quanto se utilizzate singolarmente, senza la compresenza di un software a norma, non soddisfano gli stringenti requisiti di tutela dei dati sensibili dei whistleblower individuati dalla Direttiva UE e dal decreto di attuazione italiano. In quest’articolo ci concentreremo sulle criticità in termini di compliance generate dall’utilizzo della posta elettronica come canale di segnalazione: vediamo insieme i punti essenziali.

Crittografia insufficiente e mancanza di restrizioni all'accesso delle caselle di posta elettronica

Rispetto a un software come Legality Whistleblowing, che utilizza sistemi crittografici sia sui contenuti della segnalazione che eventuali allegati, email e PEC generiche presidiate da più persone, come “odv@”, non offrono strumenti di cifratura adeguati a tutelare la riservatezza dell’identità del segnalante, potenzialmente accessibile anche a persone estranee alla gestione del whistleblowing, come ad esempio il personale IT dell’azienda.

Problemi nella gestione operativa e nel rispetto delle scadenze

La Direttiva UE e il suo corrispettivo italiano prevedono precise tempistiche di gestione delle segnalazioni, di cui va data notifica al whistleblower. Compiti operativi quotidiani per OdV e Compliance Officer, come tenere traccia delle scadenze e delle comunicazioni con i segnalanti, sono difficili da svolgere con efficienza tramite email o PEC, così come attribuire le diverse segnalazioni ai responsabili con le giuste competenze per gestirle e coinvolgere i collaboratori.

Un’ulteriore criticità si riscontra nella conservazione della documentazione inerente alle segnalazioni (art. 14 del D.Lgs. 24/2023): qualunque sia il canale tramite il quale vengono ricevute, le segnalazioni vanno conservate soltanto per il tempo necessario al trattamento della segnalazione, e in ogni caso non oltre 5 anni dall’esito finale della procedura. La cosiddetta “data retention” e il trattamento dei dati personali devono inoltre sempre essere compliant al GDPR (Regolamento UE 2016/679): eventuali data breach espongono l’impresa a sanzioni salate, calcolate sul fatturato.

Mancanza di un formulario strutturato per la segnalazione

In un’email, è il whistleblower a decidere quali informazioni rivelare e come rivelarle, con la possibilità che non venga seguito il template solitamente messo a disposizione nel regolamento aziendale, e che perciò al resoconto manchino dettagli essenziali alla gestione del caso. Una procedura guidata che classifichi già a monte la tipologia di segnalazione e che includa i campi obbligatori da compilare accelera il follow-up e semplifica il lavoro dei responsabili.

Percezione di scarsa affidabilità da parte dei whistleblower

Un canale percepito come poco sicuro disincentiva di fatto le segnalazioni: ritorsioni come il mobbing o il licenziamento sono minacce concrete per i whistleblower, che hanno bisogno di garanzie certe sulla protezione della propria identità per trovare il coraggio di denunciare ciò che non va nel loro ambiente lavorativo. In quest’ottica, avere un sistema affidabile supporta i processi di risk management aziendali, perché aiuta l’organizzazione ad affrontare potenziali problemi prima che diventino più seri.

Poca inclusività

Le persone con dislessia o difficoltà nello scrivere potrebbero incontrare ostacoli nell’utilizzo delle email, mentre le piattaforme informatiche come Legality Whistleblowing danno la possibilità di registrare messaggi vocali, ai quali vengono applicati degli effetti di distorsione della voce per renderla irriconoscibile.

A vigilare sul rispetto della nuova legge italiana sul whistleblowing ci sarà ANAC, a cui il decreto legislativo approvato dal governo attribuisce il potere di comminare sanzioni pecuniarie fino a 50.000 euro. Decisamente più onerose sono invece le sanzioni per le violazioni del GDPR, con un tetto massimo pari al 4% del fatturato complessivo o 20 milioni di euro.

Legality Whistleblowing vs email: qual è la soluzione migliore per il whistleblowing in azienda?

Abbiamo visto come l’utilizzo di una casella email come canale di whistleblowing non offra purtroppo le necessarie garanzie di riservatezza dei dati e la fiducia che un simile strumento dovrebbe trasmettere a chi decide di “soffiare il fischietto”.

Il software Legality Whistleblowing è il sistema più sicuro per gestire le denunce di condotte illecite sia nel settore pubblico che in quello privato:

Email

  • Non garantiscono la riservatezza dell’identità e dei dati personali del whistleblower

  • Difficili da gestire dal punto di vista organizzativo

  • Scoraggiano le segnalazioni, minando l’efficacia del canale

  • Espongono l’azienda al rischio di sanzioni

Legality Whistleblowing

  • Crittografia asimmetrica e accesso a norma privacy secondo la normativa

  • Server sicuri, con infrastruttura certificata ISO/IEC 27001/2017

  • Piattaforma intuitiva e user-friendly sia per i responsabili che per i segnalanti

  • Compliant e valido per l’ottenimento delle certificazioni ISO 37001, 37002 e 37301

Richiedi una demo del software Legality Whistleblowing
logo-segnalazione-illecitireg_2-500x

Implementare un sistema a norma di legge è più semplice di quanto pensi

Con Legality Whistleblowing potrai dotarti rapidamente di una soluzione completamente conforme