Con parere dell’11 gennaio 2023, pubblicato il 24 gennaio scorso, il Garante italiano per al Protezione dei Dati Personali ha espresso parere favorevole allo schema di decreto legislativo attuativo della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019 (c.d. “direttiva Whistleblowing”).
Direttiva Whistleblowing: stato di attuazione e ambito di applicazione
La direttiva UE 2019/1937 – che lo schema di decreto si propone di attuare – impone agli Stati membri di adottare strumenti di protezione a tutela dei “segnalanti” (c.d. wistleblowers, “che soffiano nel fischietto”) ovvero coloro che segnalano violazioni del diritto dell’Unione e delle disposizioni delle normative nazionali nell’ambito del proprio contesto lavorativo, sia esso pubblico o privato. Lo schema di decreto è, invero, rivolto sia ai soggetti del settore pubblico che a quei soggetti del settore privato che “hanno impiegato, nell'ultimo anno, la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato” o che, indipendentemente dal numero di lavoratori impiegati, operano nell’ambito dei servizi, prodotti e mercati finanziari, della prevenzione del riciclaggio e del finanziamento del terrorismo, della tutela dell'ambiente e della sicurezza dei trasporti e a coloro che rientrano nell'ambito di applicazione del dlgs. 8 giugno 2001, n.231 e adottano modelli di organizzazione e gestione ivi previsti.
Quanto all’ambito oggettivo di applicazione del decreto, sono escluse le contestazioni o rivendicazioni di carattere personale nei rapporti individuali di lavoro o di impiego pubblico e le segnalazioni di violazioni in materia di sicurezza nazionale, di appalti relativi ad aspetti di difesa o sicurezza nazionale, a meno che tali aspetti non rientrino negli atti pertinenti dell’Unione.
Dal punto di vista soggettivo, la disciplina interviene in tutela di tutti i lavoratori ai sensi dell’art. 45 TFUE, sia del settore pubblico che privato, ovvero dipendenti, collaboratori, lavoratori subordinati e autonomi, liberi professionisti, nonché volontari e tirocinanti, anche non retribuiti. Godono, inoltre, di tali tutele anche gli azionisti, i soggetti con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza delle società, anche nel caso in cui tali ruoli siano svolti in via di fatto.
Modalità, canali e procedura di segnalazione
Lo schema di decreto impone, ai soggetti rientranti nell'ambito di applicazione, l'obbligo di predisporre appositi canali di segnalazione interna e disciplina le condizioni di ricorso in via subordinata e/o successiva ai canali di segnalazione esterna. I canali di segnalazione devono garantire la riservatezza assoluta circa l’identità del segnalante, degli eventuali terzi citati nella segnalazione, nonché del contenuto della segnalazione attraverso l’uso di sistemi crittografici.
Le segnalazioni esterne devono essere indirizzate all’ANAC (Autorità Nazionale Anticorruzione), designata nel decreto quale canale esterno legittimato al ricevimento e al trattamento delle segnalazioni che si doterà di un’apposita sezione per la gestione del flusso di lavoro. Entro tre mesi dall’entrata in vigore del decreto, l’Autorità – sentito il Garante per la Protezione dei Dati Personali – dovrà adottare delle linee guida sulle procedure per la presentazione e la gestione delle segnalazioni esterne che dovranno prevedere, tra l’altro, l’uso di strumenti di crittografia in grado di assicurare la riservatezza dei segnalanti, delle altre persone coinvolte, del contenuto delle segnalazioni e degli eventuali documenti ad essa allegati.
L’ANAC sarà tenuta ad aggiornare periodicamente (almeno una volta ogni tre anni) le proprie procedure per l’acquisizione delle segnalazioni.
Obbligo di riservatezza e trattamento dei dati personali
La riservatezza rappresenta il principio cardine della nuova disciplina in materia di whistleblowing: l’art. 12 dello schema di decreto attuativo prescrive degli obblighi di riservatezza in capo ai soggetti tenuti ad adeguarsi alla disciplina. L’identità del segnalante e qualsiasi informazione che ne consenta l’identificazione, anche indirettamente, non possono essere rivelate senza il consenso espresso della persona che effettua la segnalazione. Può trattare tali informazioni solo il personale interno competente a ricevere le segnalazioni e all’uopo nominato quale autorizzato al trattamento dei dati ai sensi degli artt. 29 e 32, par.4 del Regolamento (UE) 2016/679 (GDPR). A norma del paragrafo 5 dell’art. 12 del decreto, l’identità del segnalante non può essere rivelata, nell'ambito del procedimento disciplinare interno, ove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti a questa. Qualora invece la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione potrà essere utilizzata ai fini del procedimento disciplinare solo nel caso in cui il segnalante abbia espresso il proprio consenso alla rivelazione della propria identità.
Occorre, inoltre, tener presente che nell’ambito di un eventuale procedimento penale, l’identità del segnalante è coperta dal segreto degli atti d’indagine ai sensi dell’art. 329 cpp.
Relativamente al trattamento consentito sui dati e le informazioni oggetto della segnalazione, valgono i principi e le norme – italiani ed europei – previsti in materia di protezione dei dati personali. Sarà dunque necessario che ogni trattamento sia effettuato tenuto conto dei principi di liceità, correttezza e trasparenza, di limitazione delle finalità e di minimizzazione ed esattezza dei dati, unitamente ai principi di limitazione della conservazione delle informazioni e dell’accountability del titolare. In particolare, i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non possono essere raccolti o, in caso di raccolta accidentale, devono essere rimossi immediatamente. Inoltre, informazioni raccolte dalle segnalazioni possono essere utilizzate limitatamente a quanto necessario per darvi seguito e possono essere conservate solo per il tempo strettamente necessario al trattamento della segnalazione e, comunque, non più oltre cinque anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione.
I soggetti tenuti ad adeguarsi alla disciplina in materia di whistleblowing dovranno definire il proprio modello di ricevimento e gestione delle segnalazioni interne e individuare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato rispetto agli specifici rischi derivanti dai trattamenti effettuati anche attraverso lo svolgimento di una valutazione d’impatto sulla protezione dei dati e disciplinando il rapporto con eventuali fornitori esterni che trattano dati personali per loro conto ai sensi dell’art. 28 del GDPR.
Conclusioni
Nel contesto sì delineato, premesso che le tutele di riservatezza previste in favore del segnalante siano indiscutibili e assolutamente indispensabili affinché gli strumenti previsti dalla disciplina abbiano il successo sperato, non si può tuttavia ignorare che non si sia posta la giusta attenzione anche alle stesse necessità di riservatezza dell’identità del segnalato.
L’iter legislativo non si è ancora concluso, seppur ci sono buoni motivi per ritenere che lo sarà a breve, con conseguente obbligo per le aziende pubbliche e private di adeguarsi alle misure previste.
Avv. Paola Cattorini e Avv. Simona Lanna
