Direttiva UE 2019/1937: canali di segnalazione conformi e multilingue
La direttiva (UE) 2019/1937 ha trasformato la segnalazione interna da buona prassi a obbligo di legge in tutta l'UE. Questa guida spiega cosa deve garantire un canale di segnalazione conforme — avviso di ricevimento entro 7 giorni, riscontro entro 3 mesi, riservatezza, seguito imparziale — perché il supporto multilingue non è opzionale per una forza lavoro internazionale, dove si collocano i gruppi svizzeri e perché la crittografia end-to-end sostiene la fiducia dei whistleblower.
Per anni una linea di segnalazione interna era qualcosa che un'organizzazione ben gestita predisponeva per buona prassi. La direttiva (UE) 2019/1937 — la direttiva europea sul whistleblowing — ha cambiato tutto questo. In tutta l'Unione europea è ora un obbligo di legge: le organizzazioni al di sopra di soglie definite devono gestire un canale di segnalazione interno che soddisfi requisiti precisi e vincolanti. I termini di recepimento sono trascorsi. È diritto vigente in ogni Stato membro, non un piano per il futuro.
Questa guida si rivolge a chi deve rendere reale quel canale: responsabili compliance, uffici legali, direzioni HR, audit interno, garanti — e i profili IT o sicurezza incaricati di scegliere lo strumento di ricezione. Spiega cosa richiede la direttiva, dove si annidano le lacune di conformità più comuni, perché una forza lavoro internazionale cambia la progettazione, dove si collocano i gruppi svizzeri pur non essendo la Svizzera nell'UE, e perché le proprietà di crittografia del canale stesso decidono se qualcuno si fida abbastanza da usarlo.
A chi si rivolge questo articolo
Responsabili compliance ed etica, uffici legali, HR e rappresentanti dei lavoratori, audit interno e team rischi, oltre ai colleghi sicurezza o IT che valutano gli strumenti di ricezione delle segnalazioni — in organizzazioni operanti nell'UE, in Svizzera o in entrambe.
Cosa richiede la direttiva (UE) 2019/1937
La direttiva (UE) 2019/1937 sulla protezione delle persone che segnalano violazioni del diritto dell'Unione è entrata in vigore nel dicembre 2019. Gli Stati membri dovevano recepirla nel diritto nazionale entro il dicembre 2021, con un termine successivo fissato a dicembre 2023 per le imprese private nella fascia da 50 a 249 lavoratori. Entrambi i termini sono alle nostre spalle: gli obblighi si applicano quindi in pratica in tutta l'Unione — attuati tramite il recepimento nazionale proprio di ciascuno Stato membro, ed è esattamente lì che i dettagli possono divergere.
L'obbligo di gestire un canale di segnalazione interno si applica, in sostanza, a:
- Le persone giuridiche del settore privato con 50 o più lavoratori
- Gli enti del settore pubblico e i comuni con oltre 10 000 abitanti (gli Stati membri possono adeguare la soglia comunale)
- Gli enti dei servizi finanziari, dell'antiriciclaggio e di alcuni altri ambiti regolamentati — a prescindere dal numero di dipendenti
È nel recepimento nazionale che vive il dettaglio
La direttiva fissa un minimo, non un massimo. Ogni Stato membro l'ha recepita in una propria legge, e queste leggi variano — sull'obbligo o meno di accettare segnalazioni anonime, sulle sanzioni, sulla condivisione del canale per le imprese di medie dimensioni e sulle soglie esatte. Leggete il diritto del Paese i cui lavoratori segnalano, non solo la direttiva stessa.
La direttiva articola la segnalazione su tre livelli: canali interni gestiti dall'organizzazione, canali esterni gestiti dalle autorità competenti, e divulgazione pubblica come ultima istanza con condizioni proprie. Questa guida si concentra sul primo livello — il canale interno — perché è quello che ogni organizzazione deve costruire e gestire in proprio.
Cosa costituisce un canale di segnalazione interno conforme
Un canale interno non è una semplice casella postale. La direttiva vi associa doveri concreti e vincolati a tempi. I requisiti centrali che un'organizzazione deve soddisfare sono:
| Requisito | Cosa significa in pratica |
|---|---|
| Riservatezza dell'identità | Il canale deve proteggere l'identità del segnalante e di qualsiasi terzo nominato, e limitare l'accesso al solo personale autorizzato. |
| Progettazione sicura | Il canale deve essere progettato, istituito e gestito in modo da impedire l'accesso non autorizzato alle informazioni che veicola. |
| Avviso di ricevimento entro 7 giorni | Il ricevimento di una segnalazione deve essere comunicato al segnalante entro sette giorni dal ricevimento. |
| Seguito imparziale | Va designata una persona o un servizio imparziale per trattare le segnalazioni, dare seguito con diligenza e mantenere la comunicazione con il segnalante. |
| Riscontro entro 3 mesi | Il segnalante deve ricevere un riscontro entro un termine ragionevole non superiore a tre mesi dall'avviso di ricevimento. |
| Canali scritti e/o orali | Le segnalazioni possono essere presentate per iscritto, oralmente, o in entrambi i modi; oralmente per telefono o, su richiesta, in un incontro di persona. |
| Conservazione dei registri | Le segnalazioni devono essere documentate e conservate nel rispetto della riservatezza e della protezione dei dati. |
| Conformità alla protezione dei dati | Il trattamento dei dati personali nel canale deve rispettare il GDPR, inclusi la minimizzazione dei dati e una base giuridica. |
| Protezione contro le ritorsioni | I segnalanti che agiscono in buona fede vanno protetti da licenziamento, retrocessione e altre ritorsioni. |
Uno strumento è il livello di ricezione, non l'intero obbligo
Un software può fornire la ricezione sicura e riservata e aiutare a seguire i termini. Non può, da solo, designare un gestore imparziale, redigere la vostra policy o condurre l'indagine. Il canale conforme è la combinazione di una ricezione sicura e del processo organizzativo che la circonda.
Riservato non è sinonimo di anonimo
La direttiva è precisa qui, e conviene esserlo anche noi. Richiede la riservatezza: l'identità del segnalante deve essere protetta e non divulgata oltre le persone autorizzate che trattano la segnalazione. Non impone, in via generale, che le organizzazioni accettino segnalazioni del tutto anonime. Se la segnalazione anonima debba essere accettata è lasciato a ciascuno Stato membro — e i recepimenti nazionali differiscono davvero. Alcuni la impongono, altri la lasciano facoltativa, altri la incoraggiano senza obbligarla.
Sono due proprietà distinte. Una segnalazione riservata porta con sé l'identità del segnalante, ma il canale promette di schermarla. Una segnalazione anonima non porta alcuna identità in partenza. Confonderle conduce a canali che tradiscono silenziosamente la propria promessa.
Dove una promessa di riservatezza si infrange in silenzio
Un canale può non raccogliere alcun nome e tuttavia esporre il segnalante. Log IP presso il fornitore di moduli o il suo CDN, analisi di fingerprinting del browser sulla pagina di ricezione, login SSO davanti al modulo, un servizio e-mail che marca orari e IP di origine — ciascuno può riagganciare un'identità che il segnalante credeva protetta. Una promessa di riservatezza che regge solo al campo del modulo, e non attraverso i metadati e i tracker circostanti, non è una promessa di riservatezza.
La conclusione pratica: confermate prima il diritto applicabile ai vostri segnalanti, poi progettate il canale in modo che la modalità offerta — riservata, anonima o entrambe — sia davvero garantita end-to-end. Una pagina di canale carica di tracker di terze parti e di log IP persistenti non può sostenere onestamente una pretesa di anonimato, e indebolisce anche una pretesa di riservatezza.
Il requisito multilingue nella pratica
La direttiva richiede che i canali interni siano accessibili e utilizzabili dalle persone legittimate a segnalare. Per una forza lavoro internazionale ciò comporta una conseguenza pratica ineludibile: un canale pubblicato solo nella lingua della sede non è davvero utilizzabile da tutti coloro che dovrebbe proteggere. Una magazziniera che segnala una violazione di sicurezza, un operaio testimone di un illecito, un'impiegata del back-office che individua una frode — segnaleranno nella lingua in cui effettivamente pensano e parlano, oppure non segnaleranno affatto.
Un canale di segnalazione che nessuno può usare nella propria lingua manca il suo scopo molto prima che un termine venga superato. Le segnalazioni semplicemente non arrivano mai. Per le organizzazioni con collaboratori distribuiti su più Paesi, la ricezione multilingue non è una rifinitura; è la differenza tra un canale che fa emergere i problemi e uno che crea un falso senso di conformità mentre i problemi restano sepolti.
Un canale di segnalazione è efficace solo in una lingua di cui il segnalante si fida abbastanza da scrivervi la propria verità. Tutto il resto è scartoffia.
La Svizzera rende il punto in modo vivido, ancor prima che entri in scena qualsiasi obbligo UE. Un datore di lavoro svizzero con personale di lingua tedesca, francese e italiana — più l'inglese come lingua comune degli affari — vive già la realtà delle quattro lingue che le multinazionali incontrano oltre confine. Un canale che funziona a Berna ma non a Losanna o a Lugano sarebbe palesemente inadeguato. La stessa logica si estende direttamente a una forza lavoro distribuita tra Stati membri.
L'angolo svizzero: fuori dall'UE, non fuori dall'obbligo
La Svizzera non è membro dell'Unione europea e non dispone di una legge generale equivalente di protezione dei whistleblower. Un tentativo, nel 2020, di introdurre disposizioni dedicate nel Codice delle obbligazioni è stato respinto dal parlamento. Letta in senso stretto, un'impresa puramente svizzera non è direttamente vincolata dalla direttiva (UE) 2019/1937.
Letta in modo realistico, molte organizzazioni svizzere rientrano comunque nel campo:
- Le imprese svizzere con filiali, succursali o attività in Stati membri dell'UE ricadono nel recepimento nazionale di tali Stati per le entità ivi situate
- I gruppi con sede in Svizzera ma operanti in tutta l'UE necessitano spesso di dispositivi di segnalazione a livello di gruppo che soddisfino il diritto degli Stati membri dove lavorano le loro persone
- Gli enti dei servizi finanziari affrontano, indipendentemente dai confini, aspettative di riservatezza e segnalazione che convergono con la direttiva
- Le aspettative di investitori, approvvigionamenti ed ESG spingono sempre più le imprese svizzere ad adottare lo standard UE come buona governance
C'è anche una dimensione svizzera positiva. Per segnalazioni interne sensibili — soprattutto quelle che possono riguardare colleghi, dirigenti o questioni transfrontaliere — la Svizzera è un luogo di hosting neutrale e sovrano, fuori dalla giurisdizione sia dell'UE sia degli Stati Uniti. Mantenere la ricezione crittografata su infrastruttura svizzera riduce la superficie di accesso legale rispetto all'instradamento tramite fornitori con sede negli Stati Uniti, e si accorda naturalmente con la postura di protezione dei dati della nLPD svizzera.
Canali a livello di gruppo, dettagli di diritto locale
Se il vostro gruppo copre la Svizzera e diversi Stati dell'UE, la domanda di progettazione non è «UE o no», ma «quale diritto recepito di quale Stato membro governa quale popolazione di segnalanti, e il nostro canale di gruppo soddisfa ciascuno di essi». Un unico canale multilingue ben progettato può servire l'intero gruppo, mentre il consulente locale conferma il dettaglio per Paese.
Perché la crittografia end-to-end conta per la fiducia dei segnalanti
Ogni canale di segnalazione inserisce un terzo tra il segnalante e il gestore del caso: lo strumento che veicola la segnalazione. Quello strumento è una superficie di minaccia. Se il fornitore del canale può leggere gli invii, la riservatezza di ogni segnalazione dipende dalla disciplina del suo personale, dai suoi controlli di accesso, dal suo storico di violazioni e dagli ordini legali che potrebbe ricevere — nulla di tutto ciò che il segnalante possa vedere o verificare.
Considerate gli scenari che trattengono un segnalante dal cliccare invia, e come ciascuno si presenta con uno strumento convenzionale rispetto a uno con crittografia end-to-end a conoscenza zero:
| Scenario | Strumento di ricezione convenzionale | Canale E2EE a conoscenza zero |
|---|---|---|
| Curiosità o coercizione del personale del fornitore | Il personale con accesso di produzione può leggere il contenuto | Il fornitore detiene solo cifrato; il personale non può leggerlo |
| Ingiunzione o ordine notificato al fornitore | Possono essere prodotte segnalazioni in chiaro | Esiste solo cifrato; inutile senza la chiave del titolare |
| Violazione o errata configurazione presso il fornitore | Segnalazioni e identità leggibili esposte | Cifrato esposto; contenuto e identità restano illeggibili |
| Amministratore IT interno con accesso all'infrastruttura | Può raggiungere il contenuto delle segnalazioni archiviate | Vede solo blob cifrati; non può decifrare |
Con la crittografia end-to-end a conoscenza zero, la segnalazione è cifrata nel browser del segnalante prima di lasciare il dispositivo, e solo i gestori designati — in possesso di una chiave che il fornitore non vede mai — possono decifrarla. L'operatore non può esporre ciò che non può leggere. È la risposta più forte possibile alla domanda che ogni segnalante si pone implicitamente: chi altro può vedere questo?
Riservatezza fin dalla progettazione, non per promessa
La direttiva si attende che i canali siano progettati e gestiti in modo da proteggere l'identità del segnalante. Una garanzia crittografica che il fornitore del canale non possa leggere gli invii è un modo solido e dimostrabile per soddisfare questa aspettativa di progettazione — riservatezza imposta dalla matematica anziché dalla fiducia nel buon comportamento di un fornitore.
Allestire un canale conforme — passo dopo passo
Un canale conforme è un processo, non solo un pezzo di software. Lo strumento di ricezione è una componente; i passi seguenti mostrano dove si inserisce e cosa l'organizzazione deve continuare a presidiare attorno ad esso.
Definire ambito e lingue
Decidete quali violazioni copre il canale, quale diritto di Stato membro si applica a quale popolazione di segnalanti e quali lingue parla davvero la vostra forza lavoro. Pianificate la ricezione multilingue dall'inizio, non a posteriori.
Scegliere una ricezione sicura
Selezionate un canale di ricezione che protegga l'identità del segnalante fin dalla progettazione — idealmente con crittografia end-to-end affinché il fornitore non possa leggere le segnalazioni — pubblicato su un URL stabile e accessibile e privo di tracker di terze parti.
Pubblicare una policy di segnalazione chiara
Spiegate ai collaboratori a cosa serve il canale, come usarlo, quale riservatezza e (se offerto) quale anonimato possono attendersi, e quale protezione dalle ritorsioni si applica. Collegatela da intranet, manuale e onboarding.
Formare i gestori designati
Designate una persona o un servizio imparziale e formateli su riservatezza, termini, gestione dei conflitti di interesse e documentazione. Sono loro — non il fornitore IT — le persone autorizzate a leggere le segnalazioni.
Comunicare il ricevimento entro 7 giorni
Costruite un processo che confermi il ricevimento al segnalante entro sette giorni, anche per le segnalazioni anonime dotate di un canale di risposta (per esempio un codice di riferimento che la persona può consultare).
Indagare con imparzialità
Date seguito con diligenza, gestite i conflitti di interesse, tenete informato il segnalante quando possibile e coinvolgete le funzioni giuste (legale, HR, audit) con accesso controllato.
Dare riscontro entro 3 mesi
Fornite al segnalante un riscontro sulle misure previste o adottate entro un termine ragionevole non superiore a tre mesi dall'avviso di ricevimento.
Documentare e conservare
Registrate le segnalazioni e la loro gestione, applicate un piano di conservazione coerente con la riservatezza e con GDPR/nLPD, e siate pronti a dimostrare che il canale funziona se un'autorità lo richiede.
Come si inserisce Schweizerform
Schweizerform è un costruttore di moduli crittografato end-to-end a conoscenza zero, ospitato esclusivamente in Svizzera. Per un canale di segnalazione interno fornisce il livello di ricezione multilingue sicuro da cui dipendono diversi dei requisiti sopra:
- Moduli di segnalazione multilingue in EN / DE / FR / IT — lo stesso canale utilizzabile da una forza lavoro che non condivide un'unica lingua
- Crittografia end-to-end a conoscenza zero su ogni invio — le segnalazioni sono cifrate nel browser del segnalante, e Schweizerform archivia solo cifrato che non può leggere
- Prove allegate crittografate — documenti, screenshot e registrazioni (fino a 25 MB per file) sono cifrati nel browser prima di lasciare il dispositivo
- Nessun tracker di terze parti sulla pagina del modulo e solo analitiche di prima parte — la pagina di ricezione non fa trapelare silenziosamente l'identità tramite analitiche o fingerprinting
- Moduli protetti da password e codici di accesso per modulo, limitati ai gestori designati — la cerchia che può decifrare è strettamente ristretta
- Hosting svizzero presso Infomaniak, senza fornitori statunitensi o europei nel percorso dati del payload delle risposte, allineato alla nLPD svizzera e a un trattamento conforme al GDPR
Nota onesta sull'ambito
Schweizerform è il livello di ricezione sicuro, non una suite completa di gestione casi o di whistleblowing. Non designa il vostro gestore imparziale, non conduce la vostra indagine e non segue al posto vostro i termini di 7 giorni e 3 mesi. Questi passi — il processo attorno al canale — completano il quadro della conformità e restano a carico della vostra organizzazione. La pagina del caso d'uso «Moduli HR & segnalazioni whistleblower» del sito approfondisce questo ruolo di ricezione.
In altre parole: Schweizerform risponde alla parte della direttiva che è davvero un problema tecnologico — ricezione sicura, riservata e multilingue che il fornitore non può leggere — e lascia il processo organizzativo dove gli compete: a voi.
In sintesi
La direttiva (UE) 2019/1937 ha reso un canale di segnalazione interno un obbligo di legge, e i termini di recepimento sono alle nostre spalle. Un canale conforme protegge l'identità in modo riservato, comunica il ricevimento entro sette giorni, dà seguito con imparzialità, fornisce un riscontro entro tre mesi, tiene registri e rispetta il diritto della protezione dei dati. Per una forza lavoro internazionale o multilingue deve inoltre essere davvero utilizzabile nelle lingue che le persone parlano — e per i gruppi svizzeri con attività nell'UE deve soddisfare il diritto dello Stato membro dove lavorano le loro persone.
La domanda tecnologica al cuore di tutto questo è circoscritta e ha una risposta: il canale può garantire che solo i vostri gestori designati — e non il fornitore dello strumento — possano leggere ciò che i segnalanti inviano? Crittografia end-to-end a conoscenza zero, ricezione multilingue e hosting svizzero trasformano quella domanda in un sì sicuro, e lasciano che il vostro processo di conformità faccia il resto.
Schweizerform fornisce il livello di ricezione sicuro, multilingue e crittografato end-to-end per un canale di segnalazione interno — hosting svizzero, nessun tracker di terze parti, supporto completo EN / DE / FR / IT, e nessuna carta di credito richiesta nel piano gratuito.
Avvertenza: questo articolo è informazione generale e contenuto di marketing, non consulenza legale o di conformità. I riferimenti alla direttiva (UE) 2019/1937, ai suoi recepimenti nazionali, al GDPR, alla nLPD svizzera e al Codice delle obbligazioni svizzero sono riassunti a livello concettuale e sono soggetti all'attuazione nazionale, all'interpretazione giurisdizionale e a future evoluzioni legislative — incluso se la segnalazione anonima debba essere accettata, nonché soglie, termini e sanzioni esatti, che variano da Stato membro a Stato membro. La responsabilità di un canale di segnalazione conforme — designazione di un gestore imparziale, rispetto dei termini di avviso e riscontro, documentazione e misure contro le ritorsioni — resta dell'organizzazione. Consultate consulenti europei/nazionali e svizzeri qualificati e uno specialista della protezione dei dati prima di prendere decisioni di conformità o di acquisto.