Vai al contenuto principale Richiesto dal diritto UE per le organizzazioni con oltre 50 dipendenti

Interpretazioni della Direttiva (UE) 2019/1937 #

Questo documento registra come EthicsPortal interpreta le disposizioni della Direttiva (UE) 2019/1937 che ammettono più di una lettura ragionevole. È redatto per responsabili della compliance, responsabili della protezione dei dati e consulenti legali che devono assumere decisioni operative difendibili in assenza di indicazioni interpretative autorevoli da parte della Commissione europea o della Corte di giustizia.

È un documento in continua evoluzione. Laddove la Corte di giustizia, il Comitato europeo per la protezione dei dati o un’autorità nazionale competente emetta un’interpretazione vincolante difforme dalle posizioni seguenti, questo documento viene rivisto e la posizione precedente è conservata nel registro delle revisioni.

Per la mappa funzione-requisito — quale funzionalità di EthicsPortal soddisfa ciascuna disposizione della Direttiva — vedi la mappa di copertura della Direttiva (UE) 2019/1937 . I due documenti sono complementari: la mappa di copertura documenta ciò che il prodotto fa; questo documento documenta come leggiamo la legge.

Ultimo aggiornamento: aprile 2026.

§1. Ambito e fonti #

La presente metodologia riguarda la Direttiva (UE) 2019/1937 come recepita nell’ordinamento nazionale dei 27 Stati membri dell’UE. Laddove il recepimento nazionale sia più rigoroso della Direttiva, la regola nazionale prevale per le organizzazioni che operano in quella giurisdizione (vedi §9).

Fonti autorevoli, in ordine di precedenza:

  1. Il testo stesso della Direttiva — Direttiva (UE) 2019/1937 del 23 ottobre 2019, inclusi i suoi considerando.
  2. Le leggi nazionali di recepimento — vincolanti all’interno di ciascuno Stato membro. Vedi la normativa sul whistleblowing per Paese per i nomi specifici delle leggi e le autorità competenti.
  3. Le pronunce della Corte di giustizia dell’Unione europea — vincolanti in tutta l’Unione.
  4. Le indicazioni del Comitato europeo per la protezione dei dati — per gli aspetti di protezione dei dati (articolo 17, sovrapposizione con il GDPR).
  5. Le indicazioni delle autorità nazionali competenti — persuasive all’interno dello Stato che le emette.

Questo documento è una metodologia operativa. Non costituisce consulenza legale. Le organizzazioni dovrebbero validare le interpretazioni con un consulente legale competente nella propria giurisdizione prima di farvi affidamento in sede di audit o di contenzioso.

§2. Convenzioni #

La Direttiva prevede introduce un’affermazione di ciò che il testo della Direttiva richiede.

In pratica, ciò significa introduce l’interpretazione di EthicsPortal laddove il testo consenta più di una lettura.

EthicsPortal lo realizza introduce il modo in cui l’interpretazione si manifesta nel prodotto. Gli operatori che scelgono un’interpretazione diversa potrebbero dover adeguare di conseguenza la configurazione o le procedure.

Tutti i riferimenti agli articoli si riferiscono alla Direttiva (UE) 2019/1937 salvo diversa indicazione.

§3. La soglia dei 50 lavoratori (art. 8) #

La questione. L’articolo 8, paragrafo 3, impone agli enti con “50 o più lavoratori” di istituire canali di segnalazione interni. La Direttiva non definisce come si calcola il numero di lavoratori, come contano i lavoratori a tempo parziale e temporanei, né se la soglia si applichi per singola persona giuridica o per gruppo societario.

La Direttiva prevede che “i soggetti giuridici nel settore privato con 50 o più lavoratori” debbano conformarsi (art. 8, par. 3). Il considerando 48 chiarisce che la soglia è calcolata “conformemente al diritto nazionale che recepisce il pertinente diritto dell’Unione”.

In pratica, ciò significa che il calcolo segue le regole esistenti di ciascuno Stato membro per il computo della forza lavoro ai fini lavoristici e previdenziali. Tali regole variano:

La soglia è calcolata per singola persona giuridica, non per gruppo societario. Una capogruppo e una controllata sono enti distinti ai fini dell’articolo 8 salvo che il diritto nazionale disponga diversamente. L’articolo 8, paragrafo 6, consente la condivisione di risorse all’interno di un gruppo fino a 249 lavoratori — ma l’obbligo di istituire un canale resta comunque attivato per ciascun ente al di sopra della soglia dei 50 lavoratori.

Collaboratori, lavoratori somministrati e tirocinanti generalmente contano ai fini della soglia quando rientrano nella definizione nazionale di “lavoratore” — che è più ampia di “dipendente” ai sensi del diritto UE. La Corte di giustizia ha costantemente ritenuto che la nozione di “lavoratore” propria del diritto UE includa qualsiasi persona che fornisca prestazioni per conto e sotto la direzione di un’altra in cambio di una retribuzione (vedi Lawrie-Blum, C-66/85).

EthicsPortal lo realizza non limitando l’accesso in base al numero di lavoratori. Qualsiasi organizzazione può attivare un portale indipendentemente dalle dimensioni. Le organizzazioni al di sotto della soglia dei 50 lavoratori gestiscono frequentemente portali su base volontaria — per la gestione del rischio, perché il diritto nazionale applica una soglia inferiore al loro settore (ad es. i servizi finanziari) o perché la politica di gruppo lo impone.

§4. Il termine per l’avviso di ricevimento (art. 9, par. 1, lett. b)) #

La questione. L’articolo 9, paragrafo 1, lettera b), impone l’avviso di ricevimento “entro sette giorni dal ricevimento”. La Direttiva non specifica se si tratti di giorni di calendario o lavorativi, né quando inizi a decorrere il termine per le segnalazioni ricevute al di fuori dell’orario lavorativo.

La Direttiva prevede l’avviso di ricevimento “entro sette giorni dal ricevimento”. Non viene fornita alcuna ulteriore precisazione.

In pratica, ciò significa sette giorni di calendario, contati dal momento in cui la segnalazione entra nel canale. Ciò segue il principio generale per cui i termini del diritto dell’Unione decorrono in giorni di calendario salvo espressa diversa indicazione (Regolamento (CEE, Euratom) n. 1182/71, art. 3). Gli Stati membri che hanno recepito la Direttiva hanno costantemente trattato il termine di sette giorni come giorni di calendario (HinSchG §17(1)2; D.Lgs. 24/2023 art. 5, par. 1, lett. d); Loi Waserman art. 8).

Una segnalazione inviata alle 23:59 di una domenica è una segnalazione ricevuta quella domenica. Il termine di sette giorni inizia a decorrere dal giorno successivo (giorno 1 = lunedì) e scade alla fine del settimo giorno. Ciò segue l’articolo 3, paragrafo 1, del Regolamento 1182/71, secondo cui, quando un periodo è espresso in giorni, il giorno dell’evento che lo fa decorrere non si computa.

L’avviso di ricevimento non equivale al riscontro sostanziale. L’avviso di ricevimento è una conferma che la segnalazione è stata ricevuta e registrata. Non deve contenere alcuna valutazione del merito della segnalazione, né il nome della persona che la gestisce.

EthicsPortal lo realizza inviando un avviso di ricevimento automatico al segnalante al momento dell’invio, visualizzato sul portale e (ove siano forniti dati di contatto) via email. L’avviso di ricevimento include il riferimento del caso e il termine legale di tre mesi per il riscontro. Le organizzazioni configurate per l’avviso di ricevimento manuale ricevono avvisi di scadenza 48 ore prima del termine di sette giorni e nel giorno della scadenza.

§5. Il termine per il riscontro (art. 9, par. 1, lett. f)) #

La questione. L’articolo 9, paragrafo 1, lettera f), impone un riscontro “entro un termine ragionevole non superiore a tre mesi dall’avviso di ricevimento o, in mancanza di un avviso di ricevimento inviato alla persona segnalante, tre mesi dalla scadenza del periodo di sette giorni dalla presentazione della segnalazione”. La Direttiva non definisce cosa si qualifichi come “riscontro”.

La Direttiva prevede che per “riscontro” si intenda “comunicazione alla persona segnalante di informazioni sull’azione prevista o adottata come seguito alla sua segnalazione e sui motivi di tale seguito” (art. 5, punto 13)).

In pratica, ciò significa che il riscontro è sostanziale. Un ulteriore avviso di ricevimento o una dichiarazione che la segnalazione è “in fase di esame” non costituisce un riscontro ai fini dell’articolo 9, paragrafo 1, lettera f). Il segnalante ha diritto di sapere, entro il termine di tre mesi, quale azione l’organizzazione intende adottare (o ha adottato) e le ragioni sottostanti.

Il riscontro non deve essere una determinazione definitiva. Un’organizzazione può dichiarare che la questione è ancora in istruttoria, purché indichi anche ciò che è stato fatto finora, quali ulteriori passi sono previsti e quando ci si può attendere un ulteriore aggiornamento. Ciò che è richiesto sono informazioni sufficienti affinché il segnalante possa valutare se l’organizzazione stia gestendo la segnalazione con serietà.

Il termine di tre mesi decorre dalla data dell’avviso di ricevimento, non dalla data di invio della segnalazione. Laddove l’avviso di ricevimento sia ritardato, la finestra per il riscontro si accorcia di conseguenza — la data ultima ammissibile per il riscontro è tre mesi e sette giorni dopo la presentazione della segnalazione.

EthicsPortal lo realizza monitorando entrambi i termini (avviso di ricevimento a 7 giorni, riscontro a 3 mesi) per ogni caso e mostrando avvisi di ritardo a tutti gli amministratori dell’organizzazione. Il riscontro al segnalante è recapitato tramite il canale di messaggistica bidirezionale del portale, che preserva l’anonimato del segnalante laddove questi non abbia rivelato la propria identità.

§6. Seguito diligente (art. 9, par. 1, lett. d)) #

La questione. L’articolo 9, paragrafo 1, lettera d), impone un “seguito diligente da parte della persona o dell’ufficio designati di cui alla lettera c)”. “Diligente” non è definito.

La Direttiva prevede che per seguito si intenda “ogni azione intrapresa dal destinatario di una segnalazione o da qualsiasi autorità competente per valutare la sussistenza dei fatti segnalati e, se del caso, per affrontare la violazione segnalata” (art. 5, punto 12)).

In pratica, ciò significa che il seguito diligente ha tre componenti operative minime:

  1. Valutazione. Una valutazione documentata sul fatto che le accuse, se vere, costituirebbero una violazione rientrante nell’ambito materiale della Direttiva (art. 2) o del recepimento nazionale.
  2. Istruttoria proporzionata all’accusa. Passi istruttori commisurati alla gravità della presunta violazione, alla solidità delle prove e al potenziale danno. Non ogni segnalazione richiede un’istruttoria completa; una segnalazione priva di qualsiasi dettaglio concreto può essere valutata e chiusa con una motivazione documentata. Una segnalazione con dettagli specifici e corroborati ne richiede di più.
  3. Registrazione contestuale. Le azioni intraprese, le decisioni assunte e le relative motivazioni devono essere registrate nel momento in cui avvengono. Un seguito diligente che non lascia traccia è indistinguibile dall’assenza totale di seguito.

“Diligente” è uno standard oggettivo. Non è soddisfatto dalla sola buona fede soggettiva. Un’organizzazione che chiude abitualmente le segnalazioni senza valutazione, o che impiega mesi ad aprire un fascicolo, non è diligente anche se ritiene di esserlo.

EthicsPortal lo realizza fornendo un flusso di lavoro di gestione dei casi con transizioni di stato (ricevuto, con avviso di ricevimento, in istruttoria, chiuso), note interne per la collaborazione tra gestori e un registro delle attività in sola aggiunta che registra ogni azione con marca temporale e attore. Il registro delle attività è la prova primaria della diligenza in sede di audit o di verifica delle autorità.

§7. Riservatezza dell’identità (art. 16) #

La questione. L’articolo 16, paragrafo 1, impone che l’identità della persona segnalante non sia divulgata a nessuno al di là dei membri del personale autorizzati. La Direttiva non specifica se “identità” si estenda ai metadati che potrebbero identificare il segnalante (indirizzi IP, fingerprint del browser, metadati di paternità dei file, pattern di marche temporali).

La Direttiva prevede che “l’identità della persona segnalante non sia divulgata, senza il suo consenso esplicito, a persone diverse dai membri del personale autorizzati competenti a ricevere o dare seguito alle segnalazioni” (art. 16, par. 1).

In pratica, ciò significa che “identità” è letta in chiave funzionale: include qualsiasi informazione che, da sola o in combinazione, consenta l’identificazione del segnalante. Questa lettura è in linea con la definizione di dato personale del GDPR (Regolamento (UE) 2016/679, art. 4, punto 1)) e con la posizione costante del Comitato europeo per la protezione dei dati secondo cui l’identificabilità dipende dal contesto.

Le seguenti informazioni sono trattate come informazioni identificative:

Le organizzazioni che conservano gli indirizzi IP dei segnalanti, o che accettano file caricati senza rimuovere i metadati, sono esposte a una violazione della riservatezza che è tecnicamente una violazione dell’articolo 16 anche se il nome del segnalante non viene mai divulgato.

EthicsPortal lo realizza non memorizzando mai gli indirizzi IP dei segnalanti (la limitazione delle richieste utilizza hash unidirezionali irreversibili), rimuovendo i metadati EXIF e dei documenti da tutti i file caricati prima dell’archiviazione e crittografando i campi dell’identità del segnalante a riposo con crittografia non deterministica (così che nemmeno il pieno accesso al database consenta una ricerca massiva per nome).

§8. Periodo di conservazione (art. 18) #

La questione. L’articolo 18, paragrafo 1, impone che i registri delle segnalazioni siano conservati “per un periodo non superiore a quanto necessario e proporzionato per conformarsi alle prescrizioni imposte dalla presente direttiva o ad altre prescrizioni imposte dal diritto dell’Unione o nazionale”. La Direttiva non specifica un periodo massimo.

La Direttiva prevede uno standard “necessario e proporzionato”, ancorato alle finalità di conformità.

In pratica, ciò significa che la conservazione deve essere giustificata con riferimento a una finalità giuridica o operativa concreta, limitata nel tempo e documentata nei registri di protezione dei dati dell’organizzazione (art. 30 GDPR). In assenza di un’indagine in corso, di un contenzioso o di una specifica prescrizione di legge, la conservazione oltre la chiusura del caso diventa progressivamente più difficile da giustificare.

Giustificazioni comuni e le loro durate tipiche:

FinalitàConservazione tipica
Caso attivo (dal ricevimento alla chiusura)Durata del caso
Successiva indagine o contenziosoFino alla risoluzione definitiva
Registro delle attività per audit regolamentariPeriodo stabilito dalla regolamentazione di settore (comunemente 5 anni per i servizi finanziari)
Protezione contro le pretese per ritorsioni (art. 21)Termine di prescrizione nazionale per le controversie di lavoro (tipicamente 2-5 anni)
Reportistica statistica ai sensi dell’art. 27, par. 2Solo dati anonimizzati; i dati personali devono essere minimizzati o eliminati

Il recepimento nazionale può fissare periodi specifici. Esempi:

Un periodo di conservazione generalizzato scelto per comodità (“conserviamo tutto per 10 anni”) non è conforme né all’articolo 18 né all’articolo 5, paragrafo 1, lettera e), del GDPR. La conservazione deve essere legata alla finalità.

EthicsPortal lo realizza fornendo periodi di conservazione configurabili (12, 24, 36, 60 mesi) con eliminazione automatica delle segnalazioni chiuse al termine del periodo configurato. L’impostazione predefinita è il periodo più breve che soddisfa i requisiti di recepimento nazionale più comuni. Gli operatori dei settori con obblighi di conservazione di legge più lunghi configurano il periodo di conseguenza.

§9. Base giuridica del trattamento (interazione con il GDPR) #

La questione. L’articolo 17 della Direttiva impone che il trattamento dei dati personali sia conforme al GDPR. La Direttiva di per sé non è una base giuridica ai sensi dell’articolo 6 del GDPR — un titolare del trattamento deve individuare quale base specifica si applichi.

La Direttiva prevede che il trattamento “sia effettuato a norma del regolamento (UE) 2016/679” (art. 17).

In pratica, ciò significa che la base giuridica è l’articolo 6, paragrafo 1, lettera c), del GDPR — obbligo legale, laddove l’organizzazione sia soggetta a un obbligo legale di istituire e gestire un canale di segnalazione. Per le organizzazioni al di sopra della soglia dei 50 lavoratori (o al di sotto di essa laddove una legge settoriale imponga l’obbligo), l’articolo 6, paragrafo 1, lettera c), è la base corretta e sufficiente. Non è richiesto alcun consenso del segnalante, e nessuno dovrebbe essere richiesto — trattare il trattamento come basato sul consenso sarebbe fuorviante e creerebbe un teorico diritto di revoca che il titolare del trattamento non può onorare.

Per le organizzazioni che gestiscono un canale di segnalazione su base volontaria (al di sotto della soglia dei 50 lavoratori e non soggette a un mandato settoriale), la base giuridica è l’articolo 6, paragrafo 1, lettera f) — interesse legittimo, subordinata a un test di bilanciamento documentato. L’interesse legittimo a prevenire e individuare condotte illecite all’interno dell’organizzazione è ben consolidato ed è stato riconosciuto nelle indicazioni nazionali di tutti gli Stati membri.

Categorie particolari di dati personali (art. 9 GDPR) possono comparire incidentalmente nelle segnalazioni — una segnalazione di discriminazione può rivelare informazioni sulla salute o l’origine etnica. La base giuridica per i dati di cui all’articolo 9 è tipicamente l’articolo 9, paragrafo 2, lettera g) — interesse pubblico rilevante, purché il trattamento sia proporzionato e accompagnato da garanzie specifiche. Le segnalazioni che rivelano reati (art. 10 GDPR) sono trattate sulla base corrispondente di cui all’articolo 10 nel diritto nazionale.

EthicsPortal lo realizza documentando l’articolo 6, paragrafo 1, lettera c), come base giuridica predefinita nell’accordo sul trattamento dei dati e nell’informativa sulla privacy. Gli operatori al di sotto della soglia di legge adeguano l’informativa sulla privacy per riflettere l’articolo 6, paragrafo 1, lettera f), e registrano separatamente il proprio test di bilanciamento.

§10. Prevalenza del diritto nazionale (art. 25) #

La questione. L’articolo 25, paragrafo 1, prevede che gli Stati membri possano introdurre o mantenere disposizioni “più favorevoli ai diritti delle persone segnalanti” rispetto a quelle stabilite dalla Direttiva. La Direttiva non affronta il modo in cui gli operatori dovrebbero risolvere i conflitti quando il diritto nazionale è più rigoroso.

La Direttiva prevede all’articolo 25, paragrafo 1, che “gli Stati membri possono introdurre o mantenere disposizioni più favorevoli ai diritti delle persone segnalanti rispetto a quelle stabilite dalla presente direttiva, fatti salvi l’articolo 22 [tutela delle persone coinvolte] e l’articolo 23, paragrafo 2 [sanzioni per segnalazioni consapevolmente false]”.

In pratica, ciò significa che, laddove il recepimento nazionale sia più rigoroso della Direttiva, il diritto nazionale prevale per le organizzazioni che operano in quella giurisdizione. Non vi è alcuna possibilità di fare affidamento sul minimo della Direttiva laddove la regola locale sia più rigorosa. La Direttiva fissa una soglia minima, non un massimale.

Esempi pratici di regole nazionali più rigorose:

Per gli operatori multi-Paese, la regola operativa è: in ciascuna giurisdizione, applicare la più rigorosa tra (Direttiva, diritto nazionale). Ciò talvolta significa che una policy di gruppo fissa uno standard elevato uniforme corrispondente alla regola nazionale più rigorosa tra i Paesi di attività. Ciò è generalmente preferibile al mantenimento di policy parallele per giurisdizione, che aumenta l’onere amministrativo e il rischio di applicare la regola sbagliata.

EthicsPortal lo realizza adottando come impostazione predefinita il minimo comune denominatore più rigoroso tra i 27 Stati membri: le finestre più brevi per l’avviso di ricevimento e il riscontro, il periodo di conservazione più ristretto, l’avviso anti-ritorsioni più completo. Gli operatori in un’unica giurisdizione possono allentare specifiche impostazioni predefinite per allinearsi alle regole nazionali, ma la base è calibrata al di sopra del minimo della Direttiva in ogni articolo in cui le leggi nazionali di recepimento lo superano.

§11. Segnalazione anonima (art. 6, par. 2, art. 9, par. 1, lett. e)) #

La questione. Un’organizzazione deve accettare le segnalazioni anonime?

La Direttiva prevede all’articolo 6, paragrafo 2, che essa “non pregiudica il potere degli Stati membri di decidere se i soggetti giuridici […] siano tenuti ad accettare e dare seguito alle segnalazioni anonime”. L’articolo 9, paragrafo 1, lettera e), impone un “seguito diligente, ove previsto dal diritto nazionale, riguardo alle segnalazioni anonime”.

In pratica, ciò significa che decide il diritto nazionale. Due posizioni:

Tre conseguenze.

Una volta accettata, vincolante. Un’organizzazione che pubblica “accettiamo segnalazioni anonime” ha attivato l’articolo 9, paragrafo 1, lettera e). L’obbligo si lega alla policy, non alla singola segnalazione.

Il divieto di ritorsioni si applica solo dall’identificazione. L’articolo 21 non può proteggere una persona sconosciuta. Le azioni intraprese durante il periodo anonimo non sono coperte retroattivamente.

L’anonimato è uno standard tecnico, non una promessa. Un modulo che raccoglie un’email non è anonimo. Un canale che registra gli indirizzi IP non è anonimo. La riservatezza di cui all’articolo 16 protegge un’identità nota dalla divulgazione; l’anonimato impedisce l’identificazione.

EthicsPortal lo realizza accettando le segnalazioni anonime per impostazione predefinita. Non sono richiesti dati di contatto. Gli indirizzi IP non vengono mai memorizzati (la limitazione delle richieste utilizza hash unidirezionali irreversibili). I metadati dei file vengono rimossi prima dell’archiviazione. Gli operatori possono configurare il portale in modo da richiedere i dati di contatto laddove il diritto nazionale imponga segnalazioni identificate. Le segnalazioni anonime accettate seguono lo stesso flusso di lavoro dei casi, gli stessi termini e lo stesso standard di seguito diligente di quelle identificate.

Registro delle revisioni #

Correzioni e richieste #

Questo documento è inteso per essere citato e per esservi fatto affidamento. Se individui un errore, una posizione in conflitto con una pronuncia della Corte di giustizia, un parere del Comitato europeo per la protezione dei dati o indicazioni nazionali vincolanti, contatta legal@ethicsportal.eu . Le correzioni sono pubblicate nel registro delle revisioni con data e sintesi della modifica.

Per domande su come una specifica interpretazione si applichi alle circostanze della tua organizzazione, questo documento non sostituisce la consulenza legale. Contatta un consulente legale competente nella tua giurisdizione.

Ultimo aggiornamento: