Whistleblowing — Segnalazioni Anonime D.Lgs 24/2023

Software whistleblowing conforme al D.Lgs 24/2023

Il modulo Whistleblowing di HRPRO è il canale interno di segnalazione conforme al D.Lgs 24/2023 (recepimento della Direttiva UE 2019/1937) che le aziende italiane devono mettere a disposizione di dipendenti, collaboratori, fornitori e stakeholder per segnalare illeciti, irregolarità o violazioni. Sostituisce caselle email "anonime" e procedure cartacee con un canale strutturato, cifrato e tracciato che tutela l'identità del segnalante.

Chi è obbligato per legge

Il D.Lgs 24/2023 impone l'adozione del canale di segnalazione interno a:

• Aziende private con oltre 50 dipendenti (calcolo dipendenti subordinati a tempo indeterminato).
• Aziende che operano in settori specifici (servizi finanziari, prevenzione riciclaggio, sicurezza dei trasporti, tutela ambiente) anche sotto i 50 dipendenti.
• Aziende con modello organizzativo 231 di qualsiasi dimensione.
• Pubbliche amministrazioni di qualsiasi dimensione.
• Enti del settore privato che hanno adottato modelli 231/2001.

Sanzioni per inadempimento: fino a 50.000 € per ogni violazione (art. 21 D.Lgs 24/2023).

Canale web pubblico per le segnalazioni

Una pagina pubblica accessibile a chiunque (dipendente, ex-dipendente, collaboratore, fornitore, candidato, stakeholder) per inviare segnalazioni:

• Form strutturato con campi guidati.
• Categoria della segnalazione (illeciti finanziari, sicurezza, discriminazione, mobbing, corruzione, ambiente).
• Descrizione dettagliata.
• Date, luoghi, persone coinvolte.
• Upload allegati: PDF, foto, video, documenti.
• Possibilità di rimanere completamente anonimi.
• Opzione di fornire identità con tutela giuridica.

URL personalizzabile per ciascuna azienda: es. segnalazioni.tuaazienda.it.

Crittografia end-to-end dei contenuti

I contenuti sensibili della segnalazione sono cifrati end-to-end:

• Cifratura al momento dell'invio dal browser del segnalante.
• Storage cifrato sul server.
• Decifratura solo con chiave privata del gestore segnalazioni.
• Nessuno (nemmeno l'amministratore IT) può leggere il contenuto senza la chiave.

Conformità a Linee Guida ANAC e principi GDPR di cifratura at-rest e in-transit.

Codice univoco anonimo

Al termine della segnalazione, il sistema rilascia un codice univoco che il segnalante può conservare per:

• Verificare lo stato della propria segnalazione.
• Aggiungere informazioni successive.
• Ricevere comunicazioni dal gestore.

Il codice è l'unico identificativo: nessun dato personale richiesto né conservato (se il segnalante sceglie l'anonimato).

Chat bidirezionale anonima

Il gestore può comunicare con il segnalante anche se anonimo, tramite chat protetta:

• "Ci serve un dettaglio in più sulla data X."
• "Abbiamo aperto un'indagine, attendiamo evidenze."
• "Questa è una decisione preliminare, hai osservazioni?"

Il segnalante accede tramite codice univoco e legge/risponde mantenendo l'anonimato. Nessuna email, nessuna telefonata che possa identificarlo.

Workflow di gestione strutturato

Ogni segnalazione segue un percorso standardizzato:

Step 1: ricezione (immediata)

• Notifica automatica al gestore.
• Conferma di ricezione al segnalante con codice.
• Stato: "Ricevuta".

Step 2: presa in carico (entro 7 giorni)

Il D.Lgs 24/2023 impone presa in carico entro 7 giorni dalla ricezione.

• Gestore esamina la segnalazione.
• Verifica ammissibilità.
• Comunica al segnalante presa in carico.
• Stato: "In carico".

Step 3: indagine

• Raccolta evidenze.
• Eventuali interviste (riservate).
• Coinvolgimento di altre funzioni interne (audit interno, legal, HR) con accordi di riservatezza.
• Comunicazione regolare al segnalante.
• Stato: "In indagine".

Step 4: chiusura (entro 3 mesi)

Il D.Lgs impone conclusione entro 3 mesi dalla presa in carico (estendibile a 6 mesi con motivazione).

• Decisione: fondata, infondata, archiviata, esiti.
• Eventuali azioni: disciplinari, denuncia AdE/ANAC, modifiche organizzative.
• Comunicazione finale al segnalante.
• Stato: "Chiusa".

Ruolo "Gestore Segnalazioni" separato

Il D.Lgs 24/2023 richiede che il gestore segnalazioni sia indipendente da HR e management operativo, per evitare conflitti di interesse. HRPRO permette:

• Designazione di uno o più gestori segnalazioni (interni o esterni).
• Accesso al modulo whistleblowing limitato ai gestori designati.
• L'HR ordinario non vede le segnalazioni né la loro esistenza.
• Possibilità di delegare a soggetti esterni (es. studio legale, organismo di vigilanza).

Tutela del segnalante e divieto di ritorsioni

Il D.Lgs 24/2023 (artt. 17-19) tutela il segnalante:

• Divieto di ritorsioni: licenziamento, demansionamento, mobbing, mancata promozione.
• Inversione onere della prova: in caso di azione disciplinare contro un segnalante, il datore deve provare che la decisione non è ritorsiva.
• Sanzioni per chi viola: 10.000-50.000 € + risarcimento danni.

Il sistema HRPRO documenta automaticamente tutte le azioni che potrebbero essere interpretate come ritorsive (modifiche di mansione, valutazioni, sanzioni disciplinari) verso un segnalante, creando audit trail per tutela.

Audit log immodificabile

Per ogni segnalazione, log cronologico:

• Data e ora ricezione.
• Tutti gli accessi al fascicolo (chi, quando, da quale IP).
• Tutte le azioni: presa in carico, indagine, comunicazioni.
• Tutte le decisioni motivate.
• Comunicazioni col segnalante.

Log immodificabili: una volta scritti, non possono essere alterati. Indispensabili per audit, ispezione ANAC, contenziosi.

Conservazione cifrata 5 anni

Il D.Lgs 24/2023 prescrive la conservazione delle segnalazioni per 5 anni dalla chiusura (art. 14).

HRPRO gestisce automaticamente:

• Storage cifrato.
• Backup separati e protetti.
• Cancellazione automatica oltre i 5 anni (con eccezione se contenzioso aperto).
• Anonimizzazione progressiva dei dati personali ove non più necessari.

Multi-canale: web, email, posta tradizionale

Il D.Lgs 24/2023 richiede che il canale sia accessibile anche a chi non ha familiarità col digitale:

• Web: form pubblico (preferito).
• Email cifrata: indirizzo PGP-cifrato per chi vuole inviare via email.
• Deposito fisico: cassetta con apertura limitata al gestore (opzionale).
• Telefonico: numero dedicato con registrazione (opzionale).
• Incontro di persona: su richiesta del segnalante.

HRPRO digitalizza tutti i canali confluendoli in un unico fascicolo per gestione coerente.

Reportistica per ANAC e dirigenza

Reportistica anonima esportabile:

• Numero segnalazioni nel periodo.
• Categorie più frequenti.
• Tempi medi di gestione.
• % segnalazioni fondate vs infondate.
• Azioni adottate.

Per ANAC, formato standardizzato. Per la dirigenza, dashboard con KPI strategici (mai con dati identificativi del segnalante).

Predisposizione canale esterno ANAC

Se il canale interno non funziona o se il segnalante teme ritorsioni, può rivolgersi a:

• Canale esterno ANAC (per illeciti rilevanti per integrità PA).
• Disclosure pubblica in casi limite (con tutela giuridica specifica).

HRPRO informa il segnalante delle alternative e fornisce link al portale ANAC.

Per chi è il modulo Whistleblowing

• Aziende >50 dipendenti: obbligate per legge.
• Aziende con modello 231: obbligate indipendentemente da dimensione.
• PMI in settori regolamentati: finanziario, trasporti, ambiente.
• Pubbliche amministrazioni: tutti gli enti.
• Aziende che vogliono prevenire: implementazione volontaria come buona pratica anti-corruzione.

Si integra con altri moduli HRPRO: scadenzario HR per scadenze normative, dashboard dipendente per accesso alle informative, distribuzione documenti per pubblicazione policy whistleblowing.