Il decreto whistleblowing (il numero 24 del 2023) ha ampliato il novero di soggetti privati tenuti al rispetto degli obblighi connessi alla protezione delle persone che segnalano illeciti nel contesto lavorativo: rilevante in questo contesto i
Tra i vari adempimenti individuati nel provvedimento una parte è connessa agli obblighi richiesti dalla normativa privacy, alla luce delle attività di trattamento di dati personali che il soggetto gestore del canale interno e delle segnalazioni si trova a dover compiere nell’analisi di queste ultime. Analizziamo gli obblighi previsti dal decreto per la tutela dei dati personali nel processo di segnalazione degli illeciti.
Whistleblowing, come tutelare la riservatezza
A seguito del recepimento della Direttiva (UE) 2019/1937 avvenuta con il decreto legislativo 10 marzo 2023 n. 24, è stato delineato nel nostro Paese il nuovo assetto normativo in tema di whistleblowing, al fine di garantire la protezione delle persone che segnalano violazioni del diritto dell’Unione europea o nazionale apprese nel contesto lavorativo. Il decreto, in particolare, fissa specifiche regole al fine di salvaguardare la riservatezza e mettere al riparo da condotte ritorsive i soggetti che segnalano violazioni lesive dell’interesse pubblico e dell’integrità dell’ente pubblico o privato, a seguito di violazioni di norme comunitarie e nazionali di cui abbiano avuto conoscenza nell’ambito del contesto lavorativo.
La regolamentazione del whistleblowing, che non rappresenta una novità assoluta per il settore pubblico e per parte di quello privato[1], proprio con riferimento a quest’ultimo, tuttavia, vede ora coinvolto un novero più ampio di aziende tenute al rispetto degli obblighi del provvedimento.
Il decreto legislativo 24/2023, infatti, al suo articolo 2, comma 1, lettera q), con riferimento ai soggetti del settore privato prevede l’applicazione degli obblighi normativi per:
- Coloro che hanno impiegato, nell’ultimo anno, la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
- Coloro che, a prescindere dal raggiungimento della media di cui sopra, rientrano nell’ambito di applicazione degli atti dell’Unione di cui alle parti I.B e II dell’allegato al decreto (cd. settori sensibili: servizi, prodotti e mercati finanziari; prevenzione del riciclaggio di denaro e del finanziamento del terrorismo; sicurezza dei trasporti; tutela dell’ambiente);
- Coloro che, a prescindere dal raggiungimento della media di cui al primo punto dell’elenco, rientrano nell’ambito di applicazione del decreto legislativo 8 giugno 2001, n. 231, e adottano i modelli di organizzazione e gestione ivi previsti.
Si ricorda come per queste categorie di soggetti privati sia fatto obbligo – entro il 17 dicembre 2023[2] – di:
- attivare un canale interno per la ricezione delle segnalazione;
- fornire preventiva comunicazione circa l’attivazione e le caratteristiche del suddetto canale alle rappresentanze sindacali;
- redigere un’apposita procedura sul canale e sulla gestione delle segnalazioni;
- formalizzare l’incarico al soggetto o all’ufficio (interno o esterno) chiamato a gestire il canale e le segnalazioni. Inoltre, a quest’ultimo – individuato tra soggetti dotati di autonomia e del necessario livello di formazione sulla materia – è richiesto di curare l’attività informativa rispetto al canale, alle procedure e ai presupposti per l’effettuazione delle segnalazioni, anche mediante il ricorso a un’apposita sezione del sito web aziendale.
La tutela del segnalante: divieto di ritorsione
La nuova disciplina, oltre a stabilire il divieto di ritorsioni[3] nei confronti della persona segnalante a seguito della sua segnalazione (cfr. art. 17, comma 1 del decreto), prevede altresì specifici obblighi di riservatezza in capo al soggetto chiamato a gestire il canale interno e le segnalazioni trasmesse attraverso di esso.
In particolare, si legge all’art. 12 del decreto, “l’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni” (cfr. comma 2). È da osservare, infatti, come per quanto il decreto non escluda la possibilità di effettuare segnalazioni anonime, le tutele ivi previste a garanzia della riservatezza e il divieto di ritorsioni sono poste nella prospettiva di incentivare segnalazioni di tipo nominativo.
Inoltre, l’articolo 4 del decreto è chiaro nel prevedere come il canale interno per la raccolta delle segnalazioni debba garantire (anche tramite il ricorso a strumenti di crittografia, in caso di adozione di modalità informatiche) “la riservatezza dell’identità [non solo] della persona segnalante, [ma anche] della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione”.
Whistleblowing e trattamento dei dati personali
Il soggetto o l’ufficio delegato alla gestione del canale interno e delle segnalazioni si troverà nella condizione, nell’ambito dello svolgimento delle sue funzioni, di effettuare attività di trattamento di dati personali, così come definite ex art. 4 del Regolamento (UE) 2016/679 (GDPR). I nominativi della persona segnalante, della persona coinvolta o dei soggetti menzionati nella segnalazione sono dati personali e, come tali, il loro trattamento deve essere orientato al rispetto dei principi e degli adempimenti previsti dalla normativa in materia di privacy.
Sotto questo profilo, lo stesso decreto all’articolo 13 prevede specifici obblighi, come in primo luogo quello di non raccogliere o, laddove raccolti, provvedere alla cancellazione immediata, di tutti quei dati personali “che manifestamente non sono utili al trattamento di una specifica segnalazione”. Viene pertanto ribadita l’importanza dei principi di minimizzazione e di privacy by default di cui, rispettivamente, agli articoli 5, comma 1, lett. c) e 25, comma 2, GDPR.
In maniera più ampia, tuttavia, il primo comma dell’art. 13 indica come “ogni trattamento dei dati personali, compresa la comunicazione tra le autorità competenti […] deve essere effettuato a norma del regolamento (UE) 2016/679 [e] del decreto legislativo 30 giugno 2003, n. 196”. Invero, il quarto comma dell’articolo in parola fa esplicito riferimento alla necessità di rispettare i principi di cui agli articoli 5 e 25 GDPR. Pertanto, a mero titolo esemplificativo, occorre provvedere al rispetto del principio di privacy by design (art. 25 GDPR) per la scelta e l’attivazione del canale interno di segnalazione o del principio di “integrità e riservatezza” (art. 5, comma 1, lett. f), GDPR), con riferimento alla conservazione delle segnalazioni e dei dati personali in esse contenuti.
Inoltre, alla luce del centrale principio di accountability di cui all’art. 24 GDPR, appare opportuno aggiornare il registro dei trattamenti ex art. 30 GDPR[4], nonché prevedere un apposito registro in cui annotare le varie segnalazioni ricevute, al fine di una più puntuale rendicontazione delle segnalazioni ricevute e della loro successiva gestione, in caso di controllo.
Gli adempimenti privacy richiesti dal decreto whistleblowing
Sotto il profilo degli adempimenti formali esplicitamente previsti dal decreto whistleblowing, l’articolo 13 del decreto richiede che venga fornita ai soggetti segnalanti apposita informativa privacy, redatta ai sensi degli artt.13 e 14 GDPR.
La modalità del suo rilascio sarà sottesa anche alla tipologia e alle caratteristiche del canale interno adottato: ad esempio, nel caso in cui sia stato previsto uno specifico applicativo informatico per la raccolta delle segnalazioni, il modello potrà essere caricato all’interno del software in modo da poter essere consultato da parte del segnalante contestualmente all’invio della segnalazione.
In caso di metodo tradizionale (es. posta raccomandata[5]), il modello potrà invece essere reso consultabile ex ante, attraverso diffusione nei luoghi di lavoro o pubblicazione in un’area del sito web aziendale dedicata al whistleblowing[6].
Infine, è opportuno sottolineare come in caso di segnalazione effettuata con modalità orale (es. incontro diretto, linea telefonica o sistema di messagistica vocale), l’informativa potrebbe essere resa anche in occasione del contatto con il segnalante, prima di avviare l’attività di raccolta dei dati personali. Nel caso in cui l’incontro sia registrato, inoltre, la segnalazione potrà essere documentata solo previo consenso da parte del segnalante (cfr. art. 14, comma 2, del decreto).
La nomina dei soggetti incaricati
Altro adempimento richiesto all’art. 13 del decreto, è quello connesso alla formalizzazione della nomina del soggetto o dei soggetti incaricati della gestione del canale e delle segnalazioni. L’accordo, oltre a determinare le modalità, gli obblighi e le responsabilità connesse alle suddette attività, deve riportare anche specifiche istruzioni sotto il profilo della protezione dei dati personali. A ben vedere, lo stesso GDPR prevede, al suo articolo 32, comma 4, che chiunque agisca sotto l’autorità del titolare e abbia accesso a dati personali “non tratti tali dati se non è istruito in tal senso”.
Pertanto, avremo l’obbligo di formalizzare la nomina come designato o autorizzato, nel caso di soggetto/i interno/i, o l’accordo come responsabile ex art. 28 GDPR nel caso in cui l’attività di gestione del canale venga esternalizzata a un soggetto o ufficio esterno all’azienda.
Nel caso di condivisione del canale di segnalazione interna e della relativa gestione tra più aziende[7] – laddove vi sia la partecipazione congiunta di due o più titolari alla definizione di mezzi e finalità del trattamento – occorrerà invece provvedere alla formalizzazione di uno specifico accordo di contitolarità ex art. 26 GDPR, al fine della ripartizione delle rispettive responsabilità in merito all’osservanza degli obblighi in materia di protezione dei dati personali (cfr. art. 13, comma 5 del decreto).
L’individuazione di un canale idoneo
Infine, l’ultimo comma dell’articolo 13, con riferimento all’individuazione della tipologia di canale interno di segnalazione, richiede una preliminare definizione delle “misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati”. Ciò, previo svolgimento di una valutazione d’impatto effettuata secondo le modalità di cui all’art. 35 GDPR, al fine di valutare (e, laddove opportuno, mitigare) i rischi connessi ai trattamenti svolti durante l’attività di gestione del canale e delle segnalazioni, prima che questa prenda avvio.
Note
[1] Cfr. con la precedente legge 30 novembre 2017, n. 179.
[2] Per i soggetti privati che hanno impiegato, nell’ultimo anno, la media di almeno duecentocinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato, gli obblighi sono decorsi dal 15 luglio 2023.
[3] Per “ritorsione” il decreto fa riferimento a qualsiasi “comportamento, atto od omissione, anche solo tentato o minacciato, posto in essere in ragione della segnalazione, della denuncia all’autorità giudiziaria o contabile o della divulgazione pubblica e che provoca o può provocare alla persona segnalante o alla persona che ha sporto la denuncia, in via diretta o indiretta, un danno ingiusto” (cfr. art. 2, comma 1, lett. m), D. Lgs. 24/2023).
[4] Pr approfondire sul punto: www.agendadigitale.eu/sicurezza/privacy/redazione-registro-del-trattamento-gdpr-guida-pratica-per-le-aziende/
[5] Cfr. par. 3.1, parte prima, Linee guida in materia di whistleblowing ANAC (approvate con Delibera n. 311 del 12 luglio 2023).
[6] In questa prospettiva, cfr. con gli obblighi inerenti alla gestione del canale interno di cui all’art. 5, comma 1, lett. e), D. Lgs. 24/2023.
[7] La condivisione del canale interno e della relativa gestione è ammessa, ex art.4, comma 4 del decreto, per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, non superiore a duecentoquarantanove.
