NEWS

Whistleblowing: il valore aggiunto per il governo dei rischi organizzativi

L’entrata in vigore dal 15 luglio, del Dlgs 24/2023 (DLWB), che recepisce la direttiva europea 179/2017 sul whistleblowing (WB), costituisce una occasione per approfondire le potenzialità dello strumento, per coglierne il valore aggiunto che può apportare.

Dal punto di vista delle organizzazioni, pubbliche e private, tenute a aggiornare o impiantare il processo per la gestione delle segnalazioni, si tratta di un costo certo: ma non solo di un costo se si inquadra il whistleblowing come un ulteriore tassello per il governo dei rischi.

A livello micro, il WB permette di far emergere e intervenire su puntuali violazioni di norme dell’UE o nazionali lesive dell’interesse pubblico o l’integrità dell'amministrazione pubblica o dell'ente privato.

Ma a livello macro, il whistleblowing costituisce uno strumento a completamento dei processi di gestione dei rischi per almeno quattro aspetti.

1.In primo luogo lo standard ISO 37002:2021 Whistleblowing management systems — Guidelines, ad adesione volontaria e non certificabile, offre molteplici indicazioni che possono essere utili nell’impianto del DLWB e nell’applicazione delle Linee guida definite dall’ANAC. Al riguardo secondo Wim Vandekerckhove, docente di etica aziendale e coordinatore del gruppo di lavoro ISO che ha sviluppato lo standard “La Direttiva UE sul Whistleblowing afferma che è necessario disporre di una politica interna di segnalazione e di canali di whistleblowing. Lo standard ISO, invece, fornisce indicazioni su come si utilizza effettivamente il sistema di segnalazione e su quali siano le best practice”.

In effetti, il DLWB pone i punti cardine per le modalità di segnalazione e la tutela della relativa riservatezza, il loro trattamento e la protezione da ritorsioni dei segnalanti e delle persone a loro collegate e le Linee guida ANAC (LCA) forniscono indicazioni applicative e di dettaglio su tali aspetti [previsioni la cui realizzazione è in progress da parte delle diverse organizzazioni interessate, si pensi solo alla informativa sul whistleblowing, che le linee guida e il connesso parere del Garante privacy prevedono che debba essere resa ex-ante non solo al segnalante ma a tutte le parti interessate e che ad oggi è prassi solo parziale].

L’ISO 37002 è invece impostato per costituire una guida tesa fra l’altro a perseguire i seguenti benefici:

-consentire all'organizzazione di identificare e affrontare gli illeciti il prima possibile;
-aiutare a prevenire o minimizzare la perdita di beni e favorire il recupero dei beni perduti;
-garantire il rispetto delle politiche organizzative, delle procedure e degli obblighi legali e sociali;
-attrarre e trattenere personale impegnato nei valori e nella cultura dell’organizzazione;
-dimostrare pratiche di governance sane ed etiche alla società, ai mercati, alle autorità di regolamentazione, ai proprietari e ad altre parti interessate.

2.Un secondo potenziale valore aggiunto riguarda l’attività di internal auditing (IA), che svolge un ruolo centrale nel three-lines-model (dai rischi) dell’IIA : “The governing body seeks confirmation through internal audit that governance structures and processes are appropriately designed and operating as intended”.

Rispetto al campo di azione dell’IA, la cui mission secondo l’International Professional Practices Framework (IPPF) è di “Proteggere e accrescere il valore dell’organizzazione, fornendo assurance obiettiva e risk-based, consulenza e competenza”, la presenza di un funzionale e compliant processo WB, può costituire un complemento bottom up ai fini della gestione dei rischi, consentendo di far emergere – all’occorrenza – situazioni di patologia che potrebbero essere artatamente occultate e sfuggire ai diversi processi e livelli di gestione e controllo. In concreto, poi, il processo DLWB può costituire un tassello per rafforzare la cd. overall opinion sui processi di governance, di gestione dei rischi e/o di controllo dell’organizzazione per gli organi di Vertice e per gli altri stakeholder.

Connessa ma diversa questione da impostare con attenzione, poi, è se e a quali condizioni la Funzione di Internal audit possa svolgere un ruolo nel WB (dal coinvolgimento nelle indagini su segnalazioni alla revisione del processo WB – cfr anche l’ISO 37002), nel rispetto delle specifiche previsioni del DLWB come dell’IPPF.

3.Un terzo elemento di valore aggiunto può essere individuato, nell’ambito dell’Enterprise risk management (COSO ERM) framework di riferimento e guida per le organizzazioni che sottolinea l’importanza di considerare il rischio sia nel processo di definizione della strategia che nel guidare le prestazioni. Senza entrare nei dattagli dell’ERM, si vuole qui evidenziare come nell’ambito di una delle sue cinque componenti, “Information, Communication & Reporting”, necessaria perché produca informazioni affidabili, tempestive e di qualità, quanto può emergere con il WB non può mancare per favorire decisioni consapevoli.

4.Last but not least, la dimensione della privacy trova ulteriore tutela nel DLWB che fra le violazioni segnalabili prevede anche (art. 2 punto 1.a.3) quelle afferenti alla tutela della vita privata e protezione dei dati personali. Specularmente, lo stesso DLWB trae vantaggio dalla privacy in quanto la tutela della riservatezza dei segnalanti favorisce tale il ricorso a tale canale segnaletico.

In conclusione: un moderno assetto del whistleblowing, come sopra sinteticamente illustrato, non può che apportare un valore aggiunto articolato per le organizzazioni e per tutte le parti coinvolte.

E una promozione del whistleblowing, di cui se ne faccia sponsor l’alto management delle organizzazioni, favorirebbe senz’altro l’affermarsi di tale strumento non solo come adempimento e costo ma come strumento positivo di governo dei rischi.

Note sull'Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Prev Oscuramento dei dati nelle sentenze, niente privacy per le persone giuridiche
Next Corte di Giustizia UE: la violazione del GDPR può essere rilevata anche dal Garante della Concorrenza, ma attenzione alla base giuridica

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy