Il recepimento della direttiva sul whistleblowing: principali novità e disposizioni sul trattamento di dati personali

Il recepimento della direttiva sul whistleblowing: principali novità e disposizioni sul trattamento di dati personali
Il 15 marzo scorso è stato pubblicato in Gazzetta Ufficiale il decreto legislativo 10 marzo 2023, n. 24, che entrerà in vigore a partire dal prossimo 30 marzo, recante le norme attuative della Direttiva (UE) 2019/1937 in materia di whistleblowing. Rispetto alla bozza di decreto pubblicata a dicembre 2022, rimangono l’art. 13 e 14 relativamente agli obblighi di Data protection riconosciuti in capo al titolare del trattamento.
L’evoluzione della normativa sul whistleblowing

Il termine whistleblowing è stato introdotto nel contesto giuridico italiano dalla Legge n. 190/2012 che ha inserito l’art. 54 bis al D.Lgs n. 165/2001 recante ‘‘norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche’’. Si definisce whistleblowing l’attività di segnalazione di reati o irregolarità di cui il segnalatore (il c.d. whistleblower) sia venuto a conoscenza in ragione del rapporto di lavoro.

La normativa è stata successivamente aggiornata dalla Legge n. 179/2017 la quale:

  • ha riscritto integralmente l’art. 54-bis D.Lgs. 165/2001;
  • ha introdotto, per la prima volta nel nostro ordinamento, specifiche misure a tutela dei whistleblowers nel settore privato aggiungendo il comma 2-bisall’art. 6 del lgs 8 giugno 2001, n. 231;
  • ha previsto una specifica clausola di esonero dalla responsabilità (ex artt. 326, 622, 623 c.p.) nel caso in cui il segnalante riveli un segreto d’ufficio, aziendale, professionale, scientifico o industriale o violi il dovere di lealtà e fedeltà (art. 2105 c.c.). 

Il 26 novembre 2019 è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea la Direttiva (UE) 2019/1937 (in seguito, per brevità, la “Direttiva”), entrata in vigore il 16 dicembre 2019, avente ad oggetto la protezione delle persone che segnalano violazioni del diritto dell’Unione.

L’obiettivo della Direttiva (UE) 2019/1937 e il suo recepimento in Italia

Tra gli obiettivi primari della Direttiva vi è quello di garantire una tutela uniforme e armonizzata tra i vari settori in tutti gli Stati membri per la protezione del whistleblower. A tal fine, entro il 17 dicembre 2021 tutti gli stati membri dell’Unione Europea – compresa l’Italia – avevano l’obbligo di recepire la EU Whistleblower Protection Directive nella propria legislazione nazionale.

Come noto, con notevole ritardo rispetto al termine fissato dal legislatore europeo, il recepimento della Direttiva in Italia è stato raggiunto solo recentemente,  in data 15 marzo 2023, con la pubblicazione in Gazzetta Ufficiale del D.lgs. n. 24 del 10 marzo 2023 recante “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” (in seguito, per brevità, il “Decreto”) in materia di segnalazione degli atti illeciti.

L’estensione dell’ambito applicativo della normativa e canali di segnalazione

Tra le principali novità si segnala l’estensione dell’ambito soggettivo di applicazione della normativa sul whistleblowing al settore privato, che coinvolge oggi:

  • tutti gli enti privati con almeno50 dipendenti (ossia quei soggetti che hanno impiegato nell’ultimo anno, la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato, ovvero che, pur non avendo impiegato la media di 50 lavoratori, rientrano nell’ambito di applicazione degli atti del diritto dell’Unione in quanto operanti in materia di servizi, prodotti e mercati finanziari, prevenzione del riciclaggio e del finanziamento del terrorismo, tutela dell’ambiente e sicurezza dei trasporti);
  • gli enti operanti in specifici settori che adottano imodelli di organizzazione e gestione previsti dal D. Lgs. 8 giugno 2001, n. 231, a prescindere dal numero dei dipendenti impiegati.

Lo schema di decreto prevede, poi, due canali di segnalazione, uno interno ai soggetti interessati dalla disciplina (che può essere a gestione interna oppure a gestione esterna, laddove il servizio di gestione venga affidato ad un soggetto terzo), l’altro esterno, gestito esclusivamente dall’Autorità Nazionale Anticorruzione (“ANAC”); nonché la possibilità, per i comuni diversi dai capoluoghi di provincia e i soggetti del settore privato che hanno impiegato nell’ultimo anno una media di lavoratori subordinati non superiore a 249 di condividere il sistema di segnalazione interna e la sua gestione.

Le modalità di gestione delle segnalazioni e le garanzie del segnalante

Per quanto concerne la forma delle segnalazioni, il Decreto precisa che le stesse possono essere effettuate (sia per i canali interni che esterni) in forma scritta, anche con modalità informatiche, oppure in forma orale (sia attraverso linee telefoniche o sistemi di messaggistica vocale, sia, su richiesta della persona segnalante, mediante un incontro diretto fissato entro un termine ragionevole).

Con particolare riferimento alla segnalazione interna, l’art. 5 elenca le attività che devono essere poste in essere dai soggetti a cui è affidata la gestione. Nello specifico essi devono:

  • rilasciare al segnalante un avviso ricevimento entro 7 giorni dalla ricezione;
  • dare diligente seguito alle segnalazioni ricevute e mantengono le interlocuzioni con la persona segnalante a cui possono richiedere, se necessario, integrazioni;
  • entro 3 mesi dall’avviso di ricevimento (o, in mancanza, dalla scadenza dei sette giorni dalla presentazione della segnalazione) fornire riscontro alla segnalazione; 
  • mettere a disposizione informazioni chiare sul canale – relativamente alle procedure e i presupposti per effettuare le segnalazioni interne ed esterne – le quali devono essere facilmente accessibilidagli eventuali segnalatori (ad esempio, tramite la loro esposizione nei luoghi di lavoro o la loro pubblicazione sui siti internet del soggetto).

L’art. 12 prevede gli obblighi di riservatezza in capo ai soggetti interessati dalla disciplina riguardo il contenuto delle segnalazioni e l’identità del segnalante/segnalato. A tal fine viene precisato che:

  • Le segnalazioni non possono essere utilizzate oltre quanto necessario per darvi seguito;
  • L’identità del segnalante non può essere rivelata o divulgata, senza il suo consenso espresso, a persone diverse rispetto a quelle competenti a ricevere o a dare seguito alla segnalazione.
  • Tutti i soggetti (sia del settore pubblico che privato, l’ANAC e le altre autorità amministrative cui l’ANAC trasmette le segnalazioni esterne) sono tenuti a garantire la tutela anche dell’identità delle persone coinvolte e delle persone menzionate nella segnalazione nel rispetto delle medesime garanzie previste in favore della persona segnalante.
Trattamento dei dati personali e conservazione della documentazione inerente alla segnalazione

Il Decreto fornisce alcune importanti precisazioni in merito alle attività di trattamento dei dati personali e alle modalità di conservazione delle segnalazioni, interne ed esterne, e della relativa documentazione. Con una norma di collegamento, l’art. 13, infatti, sancisce che tali attività devono avvenire nel rispetto della disciplina prevista in materia di Data protection tenuto conto delle diverse modalità di trasmissione delle informazioni.

Ai fini di compliance con la normativa dettata dal Codice Privacy e dal GDPR viene dunque precisato che:

  • Il trattamento deve rispettare il principio di minimizzazione, per cui i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente;
  • I diritti degli interessati (ex 15-22 del GDPR) possono essere esercitati nei limiti di quanto previsto dall'articolo 2-undecies del Codice Privacy;
  • I soggetti che ricevono e gestiscono le segnalazioni operano in qualità di titolari del trattamento, e dunque: devono fornire idonee informazioni alle persone segnalanti e alle persone coinvolte ai sensi degli articoli 13 e 14 del GDPR; adottano misure appropriate a tutela dei diritti e delle libertà degli interessati; individuano misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base di una valutazione d'impatto sulla protezione dei dati, e disciplinando il rapporto con eventuali fornitori esterni che trattano dati personali per loro conto ai sensi dell'articolo 28 del GDPR; mentre, in caso di condivisione del sistema di segnalazione e di gestione condivisa della segnalazioni, i soggetti operano come contitolari del trattamento e sono chiamati a stipulare l’apposito accordo di contitolarità ai sensi dell’art. 26, GDPR.

Per quanto concerne, infine, la conservazione della documentazione, l’art. 14 del Decreto fissa in cinque anni il limite massimo della Data retention, a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione. Viene inoltre precisato che la registrazione delle segnalazioni (in caso di segnalazione effettuata oralmente, mediante linea telefonica o incontro con il personale addetto), previo consenso della persona segnalante, è documentata a cura del personale addetto mediante registrazione su un dispositivo idoneo alla conservazione e all’ascolto, mediante trascrizione integrale, oppure mediante verbale; e che in caso di trascrizione, la persona segnalante può verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione.

Avv. Simona Lanna e Dott. Lorenzo Baudino Bessone

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori