ISO37002 e Direttiva UE sugli informatori: un’accoppiata vincente?

Luglio 28, 2021

Con l’entrata in vigore, alla fine di quest’anno, della Direttiva UE 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (chiamati anche “informatori”), molte migliaia di organizzazioni in tutta l’UE implementeranno per la prima volta un programma di segnalazione degli illeciti (“whistleblowing”).

Per un caso fortunato l’International Organisation for Standardisation (ISO) ha pubblicato una norma che racchiude una serie di linee guida volontarie in materia, la ISO 37002: Sistemi di gestione del whistleblowing. Lo scopo della norma è presentare delle “linee guida per implementare, gestire, valutare, mantenere e migliorare un sistema di gestione solido, efficace ed efficiente per la segnalazione degli illeciti all’interno delle organizzazioni”. 

Si pone dunque l’ovvia domanda: in che modo le nuove linee guida dell’ISO possono aiutare le organizzazione a delineare un sistema che sia conforme alla Direttiva UE sulla protezione degli informatori che sarà a breve in vigore?

Qual è la differenza tra ISO 37002 e la Direttiva UE?

La Direttiva UE sulla protezione degli informatori, che gli Stati membri dell’UE sono tenuti a recepire nel proprio ordinamento entro il 17 dicembre 2021, definisce gli standard minimi in materia di protezione delle persone che segnalano illeciti. Tutte le organizzazioni presenti negli Stati membri con almeno 250 dipendenti dovranno conformarsi alle nuove normative a partire da tale data. Le organizzazioni più piccole, con da 50 a 249 dipendenti, invece, dovranno farlo entro due anni.

La norma ISO 37002 fornisce delle linee guida volontarie a beneficio di quelle organizzazioni che desiderano implementare un sistema di gestione del whistleblowing. Mette dunque a disposizione un framework riconosciuto a livello internazionale che racchiude tutte le best practice globali per lo sviluppo e l’implementazione di tale sistema, che rappresenta il nucleo centrale degli obblighi imposti dalla Direttiva UE.

In che modo si rapportano la Direttiva UE e la norma ISO 37002?

Basta leggere le finalità o gli esiti attesi dei due documenti per rendersi immediatamente conto del nesso che lega le due norme nelle rispettive aree di interesse.

Direttiva UE

  • Stabilire canali di segnalazione sicuri per i dipendenti (sia interni che esterni)
  • Garantire che i dipendenti sappiano come e a chi segnalare eventuali illeciti
  • Confermare la ricezione delle segnalazioni e fornire tempestivamente un riscontro
  • Proteggere la riservatezza degli informatori e delle persone citate nelle segnalazioni
  • Proteggere i dipendenti dalle ritorsioni

ISO37002

  • Incoraggiare e facilitare la segnalazione di illeciti
  • Assicurare che le segnalazioni di illeciti vengano trattate in modo appropriato e tempestivo
  • Supportare e proteggere gli informatori e le altre parti coinvolte
  • Migliorare la cultura e la governance delle organizzazioni
  • Ridurre i rischi di illeciti

Gli elementi chiave, quali favorire le segnalazioni, rispondere alle segnalazioni ricevute e proteggere le persone coinvolte, sono comuni sia ai requisiti della Direttiva UE che alle linee guida definite nella norma ISO.

Ovviamente la Direttiva UE è incentrata in modo particolare sulla protezione degli informatori, ma tutti gli obblighi riportati nella Direttiva sono coperti, in misura maggiore o minore, anche dalla norma ISO.

Requisiti della Direttiva coperti dalle linee guida ISO

Stabilire canali di segnalazione sicuri per i dipendenti

Nella Sezione 8 della norma ISO sono presentate le linee guida e le raccomandazioni sull’adozione di canali di segnalazione sicuri. Sono inclusi suggerimenti sui metodi più comuni per ricevere le segnalazioni e, soprattutto, su come utilizzare al meglio tali metodi per accrescere l’accessibilità, l’affidabilità e l’efficacia del servizio di segnalazione degli illeciti. 

In questa sezione della norma ISO è riportato anche un utile elenco di domande esemplificative da porre all’informatore in modo da acquisire tutte le informazioni fondamentali.


Garantire che i dipendenti sappiano come e a chi segnalare eventuali illeciti

Questo requisito della Direttiva è trattato nella Sezione 7 della norma ISO, relativa alle misure di formazione e sensibilizzazione, nonché alle best practice per le comunicazioni relative al servizio.  

Corsi di formazione esaustivi e sensibilizzazione sul tema sono essenziali per soddisfare gli obblighi della Direttiva; pertanto le considerazioni dettagliate esposte nella norma si riveleranno particolarmente preziose nel momento in cui si vanno a definire l’ambito e la portata dei corsi di formazione. 

Un ruolo altrettanto significativo nella sensibilizzazione e, forse in maniera anche più importante, nella creazione e nel mantenimento del servizio di segnalazione è giocato dalla comprensione non solo di cosa e quando segnalare, ma anche di chi debba inviare e chi debba ricevere le comunicazioni pertinenti.


Confermare la ricezione delle segnalazioni e fornire tempestivamente un riscontro

Nella Sezione 8 della norma sono riportate le raccomandazioni per l’invio di riscontri nelle varie fasi del processo di whistleblowing. 

Creare dei sistemi di feedback in relazione ai vari step operativi, sulla base delle definizioni incluse in questa sezione, consentirà di strutturare le comunicazione e di gestire le aspettative. Sono inoltre incluse le linee guida su come confermare la ricezione delle segnalazioni, quali sono le tempistiche accettabili e quale livello di riscontro fornire.


Proteggere la riservatezza degli informatori e delle persone citate nelle segnalazioni

Nella Sezione 7 della norma ISO si ribadisce l’importanza della protezione della riservatezza rispetto a tutte le parti coinvolte in qualsiasi segnalazione. Sotto questo aspetto sono particolarmente degni di nota gli esempi forniti, da tenere in speciale considerazione durante la pianificazione. Questi illustrano alcuni dei modi meno ovvi con cui le parti coinvolte potrebbero essere identificate. 

Nell’ambito delle misure volte ad assicurare la riservatezza, è importante anche definire le procedure per affrontare eventuali violazioni della riservatezza o i casi in cui siano messi in atto tentativi per identificare le parti coinvolte. Delle linee guida che contribuiscono al rispetto di questo obbligo sono riportate anche in altre sezioni della norma, ad esempio quelle relative alla protezione dei dati e al controllo della documentazione.


Proteggere i dipendenti dalle ritorsioni

Svariate parti della norma ISO sono di aiuto nella definizione dei processi che garantiscano la protezione degli informatori, un aspetto, quest’ultimo, che costituisce il cuore pulsante della Direttiva. 

Nella Sezione 8 sono riportati dei suggerimenti su come valutare e prevenire i rischi di condotte lesive fin dalle primissime fasi del processo di segnalazione. L’identificazione tempestiva dei potenziali rischi si rivela preziosa anche nel momento in cui si esaminano e si svolgono indagini sulle segnalazioni. Vengono inoltre fornite linee guida dettagliate sulla protezione degli informatori, degli oggetti delle segnalazioni e delle altre parti interessate. Sono infine presentate le linee guida per far fronte a eventuali condotte lesive In caso di ritorsioni.

Altre aree di interesse

La norma ISO affronta anche molte altre questioni nell’ambito del miglioramento della cultura e della governance delle organizzazioni, a cui vale la pena fare riferimento mentre si pianifica l’implementazione di un servizio di whistleblowing. 

Una delle sfide chiave che molte organizzazioni si trovano ad affrontare è rappresentata dalla mancanza di accettazione e sostegno al servizio da parte dei dipendenti. Numerose parti della norma riportano linee guida e considerazioni utili per superare questo ostacolo. 

Per ulteriori informazioni sul modo in cui la norma punta a creare trasparenza, fiducia e una cultura dell’etica tramite l’introduzione di un servizio di segnalazione, leggete questa intervista al Dott. Wim Vandekerckhove, coordinatore per ISO 37002. 

Una norma di rilevanza globale

La norma ISO tratta in maniera esaustiva un’ampia gamma di sfide relative alla definizione e alla gestione di un servizio di segnalazione delle violazioni. Per questo, le linee guida non sono utili solo per le organizzazioni interessate dalla Direttiva UE sulla protezione degli informatori, bensì hanno rilevanza di livello internazionale.

Sotto la spinta degli impulsi normativi che si registrano in tutto il mondo in questo settore, la norma ISO37002 può quindi contribuire a rispettare gli obblighi posti anche da altre regolamentazioni, come il 2019 Treasury Laws Amendment (che migliora il Whistleblower Protection Act in Australia) oppure la Legge giapponese sulla protezione degli informatori.

L’applicazione delle best practice riconosciute a livello internazionale, come quelle riportate nelle norme citate sopra, consente non solo di assicurare il rispetto dei requisiti di compliance, ma contribuisce a far sì che le organizzazioni ottengano il massimo da tali servizi e che l’adozione di questi sistemi faccia concretamente la differenza, evitando che siano solo delle caselle spuntate di un elenco di obblighi da rispettare.

Il servizio di segnalazione WhistleB consente alle aziende di implementare i propri programmi di segnalazione delle violazioni in maniera strettamente allineata a ISO 37002; fate clic qui per una demo gratuita.

Jan Tadeusz Stappers, LL.M.
Senior Manager, Partnerships
jan.stappers@navexglobal.com

Contattateci

Il tuo messaggio è stato inviato con successo. Ci metteremo in contatto con te il prima possibile.

There seems to be some problem when sending your message. Try again soon.

Founders blog