Dati personali e whistleblowing, la guida completa alla normativa

Sapere in che modo i dati di chi segnala illeciti all’interno della propria organizzazione vengono tutelati dalla normativa, nazionale, europea e internazionale permette di ragionare in maniera approfondita su un tema divenuto rilevante in Italia con la legge d’attuazione – in ritardo – nel 2023 della direttiva UE 2019/1937. Importante infatti, in questo contesto, capire quali sono le protezioni per gli informatori e per i segnalati, oltre ad aspetti correlati come cosa accade se la tutela dell’identità del whistleblower viene violata. Vediamo di seguito tutto il framework normativo.

Data protection e whistleblowing, il framework normativo

Il termine whistleblower non è testualmente previsto né dalla normativa europea né da quella italiana. Esso è da tempo molto diffuso nella prassi internazionale e ha il pregio di esprimere visivamente che chi denuncia, mediante appositi canali di segnalazione per il whistleblowing, violazioni di norme giuridicamente vincolanti mira a ristabilire l’integrità dei comportamenti all’interno di una comunità mediante il ripristino del rispetto delle regole, come fanno il poliziotto inglese (bobby) o l’arbitro di una parita di calcio quando usano il fischietto[1].

La direttiva dell’Unione europea (UE) sul whistleblowing  è entrata in vigore il 16 dicembre 2019[2]. Essa stabilisce uno standard comune all’interno dell’UE per la protezione di coloro che segnalano violazioni del diritto dell’Unione e impone agli Stati membri dell’UE (i whistleblowers) di adottare, all’interno degli ordinamenti giuridici nazionali, una serie di misure di tutela per le persone coinvolte, a vario titolo, nei casi di whistleblowing. In particolare, occorre stabilire procedure sul funzionamento dei canali di segnalazione interni e/o esterni e sulla gestione delle denunce di violazione di una delle normative dell’UE elencate nella direttiva. Inoltre, dev’essere garantita la tutela dei diritti del whistleblower, quali il diritto alla riservatezza, nonché il diritto a non subire alcuna forma di ritorsione contro il whistleblower.

Atti di ritorsione verso i whistleblower

A tale riguardo, la direttiva UE reca un divieto generale di atti di ritorsione nei confronti dei whistleblower e fornisce una vasta gamma di esempi: licenziamento, sospensione dall’attività lavorativa, retrocessione di grado, mancata promozione, mutamento di funzioni, cambiamento del luogo di lavoro, riduzione dello stipendio, modifica dell’orario di lavoro, applicazione di sanzioni disciplinari, mancato rinnovo o risoluzione anticipata di un contratto di lavoro a termine, coercizione, intimidazione, molestie, ostracismo, danni alla reputazione personale, perdita di opportunità economiche o di reddito, ecc.

Un aspetto rilevante della tutela garantita al whistleblower consiste nell’imporre a carico della persona che ha adottato una decisione nei confronti di un whistleblower l’onere di provare che tale misura non costituisca una ritorsione. Così, il datore di lavoro che adotti una decisione che incide sulla posizione lavorativa di un dipendente che abbia segnalato un illecito  previsto dalla normativa sul whistleblowing si troverà a dimostrare che tale decisione non abbia nulla a che vedere con tale segnalazione (cioè dovrà fornire una sorta di prova negativa).

Gli Stati membri avrebbero dovuto attuare la direttiva UE nei rispettivi ordinamenti giuridici entro il 17 dicembre 2021. La direttiva ha previsto, a titolo di misura transitoria, che le norme nazionali di attuazione della direttiva che imponessero la creazione di un canale di segnalazione interna fossero applicabili agli enti del settore privato con più di 50 e meno di 250 lavoratori entro il 17 dicembre 2023.

Giova qui ricordare i tratti salienti della disciplina europea del whistleblowing, capire come si articola il rapporto tra tale disciplina e quella della tutela dei dati personali, vedere quando e come la direttiva UE è stata attuata in Italia e come sia interpretata dall’Autorità Nazionale Anticorruzione (ANAC) con particolare riguardo alla tutela della riservatezza e dei dati personali dei whistleblowers.

Le fonti internazionali sulla tutela dei whistleblower

L’UE ha adottato una disciplina comune europea sul whistleblowing che è in linea con strumenti giuridici internazionali che vincolano gli Stati membri dell’UE. Tra questi ultimi si può menzionare la Convenzione delle Nazioni Unite contro la corruzione (2003)[3], che, all’art. 33, obbliga gli Stati parte della Convenzione a tutelare coloro che segnalano atti di corruzione. A tal fine, gli Stati parte devono adottare, negli ordinamenti giuridici nazionali, adeguate misure di tutela contro qualsiasi trattamento subíto da chi abbia denunciato, in buona fede e per motivi ragionevoli, alle autorità competenti fatti concernenti i reati previsti dalla Convenzione.

Inoltre, la Convenzione penale del Consiglio d’Europa contro la corruzione (1999)[4] dispone che gli Stati parte adottino le necessarie misure legislative o di altra natura per assicurare una protezione effettiva e adeguata alle persone che forniscono informazioni relative a reati penali definiti dalla Convenzione o che collaborano in altro modo con le autorità preposte alle indagini o al perseguimento e ai testimoni che depongono su questi fatti (art. 22).

Analogamente, la Convenzione civile del Consiglio d’Europa sulla corruzione (1999)[5], all’art. 9, prevede che ciascuno Stato parte della Convenzione debba assicurare nel proprio ordinamento giuridico interno un’adeguata protezione contro qualsiasi sanzione inflitta a dipendenti che hanno ragionevoli motivi di sospettare corruzione e che segnalino in buona fede i loro sospetti alle persone o alle autorità responsabili.

Agli strumenti giuridici vincolanti si affiancano degli atti di soft law che ribadiscono l’impegno politico degli Stati nella lotta contro gravi condotte illecite e l’esigenza di assicurare effettiva protezione agli individui che le denuncino al fine di favorire il ripristino della legalità.

L’intervento dell’OCSE

La Raccomandazione dell’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) del 1998 sul miglioramento della condotta etica nel servizio pubblico è stato il primo strumento internazionale di soft law a porre in essere un principio dedicato alla protezione degli informatori. Essa prevedeva che i dipendenti pubblici dovessero sapere i loro diritti e doveri rispetto alla denuncia di illeciti di cui venissero a conoscenza nello svolgimento del loro ufficio pubblico, incluse le procedure di segnalazione e i soggetti responsabili a gestire le denunce. Inoltre, i dipendenti pubblici avrebbero dovuto sapere quale protezione avrebbero avuto in caso di denuncia degli illeciti. Infine, si sarebbero dovute predisporre procedure e risorse affidabili per segnalare, indagare e accertare le violazioni delle norme del servizio pubblico.

La versione attuale di tale Raccomandazione sancisce il principio secondo cui gli Stati che aderiscono alla Raccomandazione debbano, tra l’altro, “fornire regole e procedure chiare per la segnalazione di presunte violazioni degli standard di integrità e garantire, in conformità con i principi fondamentali del diritto interno, la protezione in diritto e nella pratica contro ogni tipo di trattamento ingiustificato subito a causa di una segnalazione fatta in buona fede e basata su motivi ragionevoli”, nonché “fornire canali alternativi per le segnalazioni di presunte violazioni degli standard di integrità, compresa, se del caso, la possibilità di riferire in modo confidenziale a un ente con il mandato e la capacità di condurre un’indagine indipendente”[6].

Nel 2009 il Consiglio dell’OCSE ha adottato la Raccomandazione del Consiglio per rafforzare la lotta contro la corruzione dei pubblici ufficiali stranieri nelle operazioni commerciali internazionali (Raccomandazione Anticorruzione)[7], con cui ha spronato gli Stati firmatari della Convenzione sulla lotta alla corruzione di pubblici ufficiali stranieri nelle transazioni commerciali internazionali (1997) a mettere in atto misure adeguate di protezione da azioni discriminatorie o disciplinari nei confronti dei dipendenti del settore pubblico e privato che segnalassero in buona fede e per ragionevoli motivi alle autorità competenti atti sospetti di corruzione di pubblici ufficiali stranieri nelle transazioni commerciali internazionali.

La versione attuale della Raccomandazione Anticorruzione detta linee guida ancor piú dettagliate su come assicurare una protezione solida ed efficace agli informatori[8]. Si raccomanda agli Stati aderenti:

• di ampliare quanto più possibile le categorie di informatori che segnalino fatti di cui siano venuti a conoscenza in un contesto professionale, includendovi le persone il cui rapporto di lavoro si è concluso, nonché le persone che acquisiscono informazioni su atti sospetti di corruzione di pubblici ufficiali stranieri durante una fase avanzata del processo di assunzione e delle trattative contrattuali;
• di garantire che siano posti in essere adeguati provvedimenti per consentire la riservatezza dell’identità degli informatori, nonché del contenuto delle segnalazioni; di valutare la possibilità di consentire segnalazioni anonime e garantire che le opportune tutele siano messe a disposizione di coloro che, in un momento successivo, possano essere identificati e subire ritorsioni;
• di garantire che siano adottate misure adeguate per vietare o invalidare qualsiasi clausola contrattuale intesa a revocare, interrompere, ridurre o modificare i diritti e le tutele legali degli informatori;
• di proporre una definizione ampia del concetto di ritorsione contro gli informatori, ossia non limitata alle ritorsioni sul luogo di lavoro ma tale da includere anche azioni che potrebbero portare a danni reputazionali, professionali, finanziari, sociali, psicologici e fisici; di garantire che gli informatori dispongano di mezzi di ricorso adeguati per controbilanciare le conseguenze dirette e indirette di eventuali atti di ritorsione successivi alle segnalazioni;
• di prevedere sanzioni efficaci, proporzionate e dissuasive per coloro che compiono atti di ritorsione nei confronti degli informatori;
• di porre a carico dei soggetti responsabili degli atti di ritorsione l’onere di provare che le azioni lesive verso gli informatori non costituiscano una ritorsione per le segnalazioni;
• di vietare l’adozione di provvedimenti sanzionatori nei confronti degli informatori e, viceversa, considerare la possibilità di introdurre incentivi ad effettuare segnalazioni;
• di garantire che le norme che vietano ai dipendenti la divulgazione di informazioni economiche o commerciali concernenti un datore di lavoro non ostacolino indebitamente le segnalazioni e la protezione degli informatori, ferma restando la tutela dei dati personali e del diritto alla vita privata (‘privacy’).

Il piano anticorruzione del G20

L’importanza della protezione degli informatori è stata riaffermata nel 2010 a livello globale, quando al vertice di Seul, i leaders del G20 hanno affermato che tale protezione costituisce una delle maggiori priorità nella loro agenda globale contro la corruzione.

Al punto 7 del Piano d’azione anticorruzione del G20, i Paesi del G20 erano invitati ad adottare entro la fine del 2012 misure adeguate per proteggere da azioni discriminatorie e di ritorsione gli informatori che segnalano in buona fede sospetti atti di corruzione[9]. Il Gruppo di Lavoro Anti-Corruzione del G20, incaricato di attuare il Piano d’Azione, ha assegnato all’OCSE il compito di preparare uno studio sulle principali caratteristiche della tutela dei sistemi di segnalazione attualmente in vigore nei Paesi del G20, insieme ai princípi guida e alle migliori strategie pratiche, per aiutare tali Paesi ad adempiere al loro impegno espresso nel citato punto 7 del Piano d’azione[10]. L’OCSE ha realizzato questo studio, che è stato incorporato nell’Anticorruption Plan del G20[11].

Whistleblowing negli USA: il Sarbanes-Oxley Act  

A seguito di alcuni noti scandali finanziari, tra cui Enron[12] e WorldCom[13], il governo statunitense, nel 2002, ha adottato il Sarbanes-Oxley Act (SOX), che si applica non solo alle società pubbliche statunitensi (nonché ai loro agenti e contractors), ma a tutte le società che detengono azioni o titoli di debito registrati presso la Securities and Exchange Commission (SEC).

La sezione 301(4) del SOX impone il seguente obbligo: “RECLAMI. – ogni comitato di revisione deve stabilire procedure per (a) il ricevimento, la conservazione e il trattamento dei reclami ricevuti dall’emittente in merito a questioni contabili, di controllo contabile interno o di revisione; e (b) la presentazione confidenziale e anonima da parte dei dipendenti o dell’emittente di preoccupazioni relative a questioni contabili o di revisione discutibili”. Per rafforzare questo aspetto, la sezione 806 del SOX rende illegale per le aziende “licenziare, degradare, sospendere, minacciare, molestare o discriminare in qualsiasi altro modo” i dipendenti che si avvalgono di queste procedure o che assistono le agenzie governative e di regolamentazione nelle loro indagini sulle irregolarità contabili. Le società che non si conformano ai requisiti del SOX possono incorrere in pesanti multe e  subíre la cancellazione dalla borsa valori. Successivamente, il Dodd-Frank Wall Street Reform and Consumer Protection Act del 2010 ha rafforzato la protezione legale per i potenziali whistleblowers e ha introdotto significativi incentivi finanziari per le persone che rivelano “informazioni originali” all’autorità di regolamentazione che portano ad un’azione esecutiva.

La Sezione 929A chiarisce che le disposizioni del SOX in materia di whistleblowing si applicano non solo alle società quotate negli Stati Uniti, ma anche alle società controllate e affiliate di tali società, indipendentemente dalla loro ubicazione, le cui informazioni finanziarie sono incluse nei bilanci consolidati.

All’indomani dell’entrata in vigore del SOX, molte aziende statunitensi, ritenendo che tale legge statunitense avesse efficacia extraterritoriale, hanno introdotto anche in Paesi europei linee telefoniche che garantissero la riservatezza dell’informatore (hotlines). Quest’ultimo poteva scegliere di restare anonimo. Ciò ha suscitato delle reazioni da parte di alcune autorità di Stati membri dell’UE. In particolare, alcune autorità europee incaricate di assicurare il rispetto delle normative nazionali di attuazione della direttiva 95/46/CE sulla protezione dei dati personali hanno adottato provvedimenti nei confronti di società multinazionali che avevano istituito delle hotlines[14].

L’impatto della SOX in Europa

Nel 2005 l’Autorità francese per la protezione dei dati (CNIL) non ha consentito a McDonalds e Exide Technologies, due multinazionali regolamentate dalla SOX, di gestire dei canali interni di segnalazione[15], ritenendo che le procedure proposte non fossero compatibili con la legge francese sulla tutela dei dati personali in quanto negavano agli individui oggetto di segnalazione il diritto di conoscere la natura delle accuse e di difendersi.

Nel gennaio 2006 l’Autorità olandese per la protezione dei dati ha adottato una raccomandazione sulle denunce di irregolarità secondo cui le hotlines aziendali non dovessero essere utilizzate in sostituzione dei canali di comunicazione esistenti presso le autorità[16].

Whistleblowing, il parere del Gruppo di lavoro Articolo 29

Nel febbraio 2006 il Gruppo di lavoro “Articolo 29”[17] ha adottato un parere sull’applicazione delle norme UE sulla protezione dei dati ai sistemi interni di segnalazione di irregolarità nei settori della contabilità, dei controlli contabili interni, materia di revisione contabile, lotta alla corruzione, alla criminalità bancaria e finanziaria[18]. Questo Parere intende chiarire come possano essere istituiti e gestiti canali interni di segnalazione delle irregolarità nel rispetto delle norme europee sulla protezione dei dati.

La necessità di raccordare la disciplina SOX su whistleblowing con la normativa europea sui dati personali scaturiva dal fatto che, da un lato, l’uso delle procedure interne di segnalazione implica la raccolta, la registrazione, l’archiviazione, la divulgazione e la distruzione di dati relativi ad individui identificati o identificabili (ossia i whistleblowers e gli autori delle condotte oggetto della segnalazione); dall’altro, la normativa europea sui dati personali si applica al trattamento dei dati personali di individui che si trovano nell’UE (indipendentemente da dove si trovi il titolare dei dati) e al trasferimento di tali dati verso paesi al di fuori dello Spazio Economico Europeo (SEE).

Per quanto riguarda la base giuridica per il trattamento dei dati nei procedimenti di whistleblowing, il Gruppo di lavoro ha sostenuto che un obbligo imposto dalla legislazione straniera (come la normativa SOX) non fosse qualificabile come obbligo legale che, ai sensi della direttiva 95/46/CE, potesse legittimare un trattamento dei dati personali di individui nell’UE[19]. In effetti, se normative extraeuropee fossero considerate idonee ad imporre trattamenti di dati personali di individui nell’UE, sarebbe facile per tali normative aggirare i principi e le misure di salvaguardia imposte dalla direttiva 95/46/CE.

Tuttavia, il Gruppo di lavoro ha riconosciuto che i datori di lavoro nell’UE avessero un interesse legittimo sia a conformarsi al sistema normativo statunitense, sia ad identificare e gestire i casi di cattiva condotta finanziaria. Tale interesse legittimo del titolare del trattamento doveva essere bilancitato con i diritti fondamentali degli individui interessati[20]. Il Gruppo di lavoro ha osservato che, nel caso di specie, il test del bilanciamento degli interessi dovesse tener conto di aspetti quali la proporzionalità, la sussidiarietà, la gravità delle presunte violazioni che si potessero segnalare e le conseguenze per gli interessati. Inoltre, era necessario predisporre garanzie adeguate. In effetti, la direttiva 95/46/CE conferiva all’interessato il diritto di opporsi, in qualsiasi momento, “per motivi preminenti e legittimi, derivanti dalla sua situazione particolare” ad un trattamento dei suoi dati personali basato sull’interesse legittimo del titolare dei dati[21].

Il Gruppo di lavoro ha ricordato che, ai sensi della normativa UE sulla tutela dei dati personali, i trattamenti dei dati devono rispettare il principio di proporzionalità. Ciò significa che essi devono essere trattati lealmente e lecitamente, rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Inoltre, i dati oggetto di trattamento devono essere adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o successivamente trattati. infine, devono essere prese misure adeguate affinché siano cancellati o rettificati i dati inesatti o incompleti.

Alla luce del principio di proporzionalità, il Gruppo di Lavoro ha raccomandato alle imprese di valutare attentamente se fosse opportuno limitare il numero di persone autorizzati a denunciare presunte irregolarità o violazioni delle regole di condotta e il numero dei soggetti che è possibile segnalare con procedura di denuncia, tenuto conto della gravità delle violazioni segnalate. Il Gruppo di lavoro ha ritenuto ammissibile che, in alcuni casi, le categorie di personale autorizzate a compiere segnalazioni e quelle che possono essere oggetto di segnalazioni comprendano tutti i dipendenti per alcuni dei settori contemplati dal Parere.

Il Gruppo di lavoro ha preso una posizione particolarmente critica rispetto alle segnalazioni anonime. A suo parere, “l’anonimato può non essere una buona soluzione, sia per il denunciante sia per l’organizzazione” per una serie di motivi: l’anonimato non garantisce che altri non riescano a indovinare chi ha denunciato il problema; è più difficile verificare la fondatezza della denuncia se non è possibile fare altre domande per approfondire la questione; quando il problema è denunciato apertamente è più facile garantire la protezione del denunciante contro eventuali ritorsioni; le denunce anonime possono far sospettare che il segnalante abbia denunciato il problema in malafede; l’organizzazione corre il rischio di alimentare una cultura della delazione; il clima sociale dell’organizzazione potrebbe deteriorarsi se i dipendenti sanno di poter essere denunciati su base anonima in un qualsiasi momento.

Il nodo delle denunce anonime

Secondo il Gruppo di lavoro, le denunce anonime sono problematiche dal punto di vista della tutela dei dati personali, in quanto i dati personali devono essere rilevati lealmente. Per soddisfare questo requisito, in linea di massima, solo le segnalazioni nominative (ossia che consentano l’identificazione del whistleblower) dovrebbero essere trasmesse attraverso procedure interne di denuncia. Solo eccezionalmente e a certe condizioni, le procedure interne di segnalazione dovrebbero consentire la presentazione di denunce anonime. Da questo punto di vista, è essenziale che le procedure interne di denuncia siano concepite in modo da non incoraggiare la delazione anonima come mezzo ordinario per segnalare una violazione di regole di condotta. Inoltre, colui che intenda segnalare una violazione mediante un canale interno di segnalazione deve sapere che la riservatezza dei suoi dati personali sarà garantita in ogni fase del procedimento avviato con la segnalazione e la sua identità non sarà rivelata a terzi (siano questi il denunciato o i superiori gerarchici), con la conseguenza che l’autore della segnalazione non deve temere le conseguenze della sua azione.

A parere del Gruppo di lavoro, le segnalazioni anonime dovrebbero essere trattate con particolare cautela e indagate più rapidamente, in quanto presentano un inerente rischio di abuso. Ad esempio, il primo destinatario della denuncia ne dovrebbe esaminare l’ammissibilità e valutare se sia opportuno farla circolare nel sistema di segnalazione.

Il Gruppo di lavoro ha sottolineato che i dati raccolti e trattati attraverso una procedura di segnalazione dovevano essere limitati alle informazioni relative alla finalità di garantire un buon governo societario. Pertanto, le società che introducono tali procedure dovrebbero definire chiaramente il tipo di informazioni divulgabili nel sistema, limitandole a quanto attiene alla tenuta della contabilità, ai controlli contabili interni, alla revisione contabile, alla lotta contro la corruzione e alla criminalità bancaria e finanziaria. I dati personali trattati dovevano essere limitati a quanto strettamente e oggettivamente necessario per verificare la fondatezza dei fatti denunciati. Inoltre, le denunce e ogni informazione ad esse attinente devono essere tenute separate dagli altri dati personali.

La conservazione dei dati del whistleblower

Quanto alla conservazione dei dati personali trattati nell’ambito delle segnalazioni delle violazioni oggetto del Parere, il Gruppo di lavoro ha raccomandato che essi fossero di norma cancellati entro due mesi dal completamento dell’indagine, mentre quelli relativi a denunce risultate infondate fossero cancellati senza indugio. Tuttavia, nel caso in cui venga intrapresa un’azione disciplinare o legale nei confronti del presunto trasgressore o dell’informatore (nei casi di segnalazione falsa o diffamatoria), i dati personali potrebbero essere conservati fino alla conclusione del procedimento e alla scadenza dei termini per proporre un’impugnazione.

Il Gruppo di lavoro ha affermato l’obbligo del titolare del trattamento di informare in modo chiaro gli interessati circa l’esistenza, le finalità e il funzionamento del sistema di segnalazione, i destinatari delle denunce e i diritti di accesso, rettifica e cancellazione riconosciuti alla persona oggetto di denuncia. Tale informativa deve anche precisare che sarà garantita la riservatezza del denunciante per l’intero procedimento e che l’uso illegale del sistema può comportare provvedimenti nei confronti dell’autore dell’abuso.

Il Gruppo di lavoro ha evidenziato i diritti che, ai sensi della normativa europea sui dati personali, devono essere garantiti ai soggetti denunciati.

In particolare, il dipendente oggetto di una denuncia ha il diritto di ricevere prontamente informazioni circa l’identità del responsabile della procedura interna di denuncia, i fatti di cui è accusato, i dipartimenti o le funzioni dell’impresa o delle altre società del gruppo di quella per cui lavora a cui può pervenire la denuncia e le modalità per esercitare il diritto di accesso ai dati e di rettifica[22]. Tuttavia, il Gruppo di lavoro ha ammesso che, se esiste il rischio sostanziale che, comunicando tali informazioni si comprometta la capacità dell’impresa di indagare efficacemente la fondatezza della denuncia o di raccogliere le prove necessarie, la notifica all’interessato potrà essere ritardata fino a quando sussiste questo rischio.

Il Gruppo di lavoro ha altresí sottolineato che, in nessun caso, si possa consentire al denunciato di avvalersi del suo diritto di accesso ai dati personali che lo riguardano al fine di ottenere informazioni sull’identità del denunciante, a meno che costui abbia dichiarato il falso in malafede. In quest’ultimo caso, è, infatti, possibile che il denunciato voglia avviare un procedimento per diffamazione e che sia quindi necessario rivelargli l’identità del denunciante.

Inoltre, il denunciato ha il diritto di rettificare o cancellare i dati che lo riguardano se il trattamento non è conforme alle norme sulla tutela dei dati personali, in particolare a causa del carattere incompleto o inesatto dei dati.

Come raccogliere le segnalazioni

Per quanto concerne la sicurezza dei trattamenti di dati personali[23], il Gruppo di lavoro ha confermato che le denunce possono essere raccolte con qualunque strumento di trattamento dei dati (sia o meno elettronico). In ogni caso, tale strumento dovrebbe essere riservato al sistema di segnalazione onde prevenirne l’impiego per scopi diversi da quello cui era destinato e garantire, quindi, una maggiore riservatezza dei dati. Il Gruppo di lavoro ha espresso una preferenza per l’adozione di un sistema di segnalazione interno all’organizzazione aziendale rispetto ad uno esterno (in cui il canale di segnalazione e/o la gestione delle segnalazioni siano affidate ad un soggetto terzo).

Laddove la procedura di segnalazione consistesse in una hotline gestita da un fornitore esterno, il titolare del trattamento dovrebbe prendere le misure necessarie a garantire la sicurezza delle informazioni trattate nel corso dell’intero procedimento. Poiché il fornitore esterno sarebbe un responsabile del trattamento dei dati, le imprese devono stipulare un accordo in base al quale il fornitore esterno sia vincolato da un rigoroso obbligo di riservatezza e si impegni a rispettare i principi di protezione dei dati e ad adottare misure per la sicurezza dei trattamenti (‘data processing agreement’).

Il Gruppo di lavoro ha raccomandato di istituire, all’interno dell’impresa o del gruppo societario di cui quest’ultima fa parte, un organo specifico preposto alla gestione delle segnalazioni e all’attività di verifica, formato da personale ad hoc in possesso di una specifica formazione, limitato nel numero e vincolato per contratto da obblighi di riservatezza specifici, incaricato di provvedere affinché le informazioni raccolte e trattate siano trasmesse, per quanto necessario, soltanto ai funzionari dell’impresa o del suo gruppo competenti ad avviare il procedimento di verifica e/o ad adottare le misure necessarie alla luce delle risultanze.

Secondo il Gruppo di lavoro, l’organo che gestisce le denunce dovrebbe essere rigorosamente separato dagli altri dipartimenti della società affinché le segnalazioni siano gestite con la dovuta riservatezza e siano applicate adeguate misure di sicurezza dei dati personali.

Whistleblowing e territorialità

Il Gruppo di lavoro ha riconosciuto che, data la natura e la struttura delle imprese multinazionali,  possa essere necessario comunicare informazioni su presunti illeciti ad entità situate fuori dall’UE. Il Gruppo di lavoro ha affermato che, in linea di principio, l’accertamento della fondatezza di una denuncia dovrebbe svolgersi a livello locale, ossia nel Paese dell’UE dove ha sede la società a cui si riferisce la denuncia, e che l’informazione non dovrebbe essere automaticamente condivisa con le altre imprese del gruppo societario multinazionale a cui appartiene tale società. Tuttavia, in determinate circostanze, la comunicazione di informazioni relative alla denuncia all’interno del gruppo può essere necessaria ai fini della verifica della denuncia, data la natura e la gravità della presunta violazione, o in quanto riguarda la composizione stessa del gruppo.

Il Gruppo di lavoro ha ricordato che, qualora il Paese terzo al quale sarebbero stati inviati i dati non assicura un livello di protezione equivalente a quello richiesto dal diritto dell’UE, i dati possono essere trasferiti solo in presenza delle condizioni previste dalla normativa europea per i trasferimenti di dati fuori dal SEE.

Il Parere 1/2006 del Gruppo di lavoro Articolo 29 fin qui analizzato concerne specificatamente le implicazioni sulla tutela dei dati personali delle segnalazioni di talune categorie di illeciti. Giova ricordare altre considerazioni sul rapporto tra whistleblowing e tutela dei dati personali, che sono state espresse, in termini piú generali, dal Gruppo di lavoro in altri due Pareri.

Whistleblowing e interesse legittimo del titolare del trattamento

Nel Parere 6/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE[24], il Gruppo di lavoro ha ribadito che la base giuridica del trattamento di dati personali dei dipendenti nel contesto delle procedure interne di segnalazione di illeciti possa essere individuata in un obbligo giuridico a cui il datore di lavoro sia soggetto in base al diritto dell’UE o al diritto nazionale di uno Stato membro oppure nell’interesse legittimo del datore di lavoro a rispettare obblighi previsti dagli ordinamenti nazionali di Paesi terzi, purché vi sia un equilibrio tra tale interesse e i diritti delle persone i cui dati personali sarebbero trattati. Nel ‘test di bilanciamento’ degli interessi in causa, si deve considerare anche la gravità delle violazioni che potrebbero essere denunciate. Inoltre, il Parere contiene due esempi che spiegano come mettere in pratica queste considerazioni di principio.

Esempio pratico: violazioni in una filiale UE di un gruppo statunitense

Facendo l’esempio di una procedura per la denuncia delle irregolarità volta a riscontrare gravi violazioni delle norme nel settore contabile e finanziario istituita dalla filiale nell’UE di un gruppo statunitense, il Gruppo sottolinea che il trattamento dei dati personali è legittimo ove sussista, ad esempio, un interesse legittimo a garantire la stabilità dei mercati finanziari o a combattere la corruzione e a condizione che la procedura preveda garanzie sufficienti, conformemente agli orientamenti forniti dalle competenti autorità nazionali di protezione dei dati nell’UE.

Tra tali garanzie rientrano il fatto che i dipendenti ricevano chiare indicazioni riguardo alle circostanze in cui possa essere utilizzata la procedura, sia mediante sessioni di formazione che con altri mezzi; che il personale sia istruito a non abusare della procedura, formulando affermazioni false o infondate nei confronti di altri membri dell’organizzazione aziendale; che ai dipendenti si spieghi altresì che, se preferiscono, possano utilizzare la procedura in maniera anonima, ma che, se scelgono di identificarsi, i dati che li identificano saranno trasmessi al loro datore di lavoro o trasferiti ad altri enti (con modalità volte a garantire la riservatezza nei confronti dei soggetti denunciati e la sicurezza dei loro dati personali).

Esempio concreto: società che avvia una procedura per la denuncia

Facendo, poi, l’esempio di una società di servizi finanziari che istituisce una procedura per la denuncia delle irregolarità poiché sospetta che furti e corruzione siano diffusi all’interno della propria organizzazione e intende  incoraggiare i dipendenti a denunciare gli autori di questi misfatti, il Gruppo sottolinea come sarebbe problematico se tale procedura fosse gestita dai membri del suo ufficio “Risorse umane” e se la società, per incentivare i dipendenti ad utilizzare la procedura, offrisse una ricompensa in denaro, senza stabilire specifiche condizioni, ai dipendenti le cui attività di denuncia delle irregolarità portino all’individuazione di comportamenti scorretti e al recupero degli importi.

In tal caso, secondo il Gruppo di lavoro, benché la società abbia un interesse legittimo a individuare furti e atti di corruzione all’interno della propria organizzazione, la sua procedura per la denuncia delle irregolarità non offre garanzie adeguate a tutela dei dipendenti. Pertanto, il diritto alla tutela dei dati personali dei dipendenti prevarrebbe sull’interesse legittimo della società. Infatti, i dipendenti potrebbero essere vittime di false segnalazioni fornite esclusivamente per ottenere un guadagno economico. Inoltre, la procedura non sarebbe gestita in modo indipendente. Né vi sarebbe adeguata informazione e formazione su come utilizzare in modo appropriato la procedura.

Whistleblowing e trattamento dati sul posto di lavoro

Nel Parere 2/2017 sul trattamento dei dati sul posto di lavoro[25], il Gruppo di lavoro ha evidenziato che l’uso diffuso delle tecnologie di monitoraggio dei dipendenti (attraverso dispositivi quali smartphone, laptop, tablet, veicoli e dispositivi indossabili) rischi di limitare la disponibilità dei dipendenti ad informare i datori di lavoro circa azioni illegali commesse da superiori e/o altri dipendenti che minacciano di danneggiare l’attività aziendale (in particolare i dati dei clienti) o il luogo di lavoro. Spesso, infatti, affinché il dipendente segnali tali illeciti, è necessario che lo stesso possa beneficiare dell’anonimato (o della riservatezza). Pertanto, il monitoraggio che viola la privacy dei dipendenti può rendere inefficaci gli strumenti di segnalazione messi a disposizione degli informatori interni.

La tutela europea del whistleblower

La direttiva UE sul whistleblowing si contraddistingue per una duplice finalità. Essa, infatti, da un lato, persegue lo scopo di istituire un sistema funzionale all’emersione di comportamenti di disvalore in danno dell’integrità del tessuto economico-sociale e giuridico, sia in ambito pubblico che privato, e, dall’altro, offre agli individui che si trovano nell’Unione uno strumento di garanzia per l’esercizio di propri diritti fondamentali (quali la libertà di coscienza, di pensiero e di espressione), tutelando nel contempo un altro diritto fondamentale, quello dei consociati ad essere informati di fatti oggettivamente rilevanti[26]. Conseguentemente, il whistleblowing si configura sia come strumento di governance per la tutela di interessi di portata generale, sia come strumento di esercizio di diritti fondamentali della persona[27].

La direttiva UE mira a stabilire una tutela bilanciata dei whistleblowers e di coloro che subiscano denunce false.

Ai sensi della direttiva, i whistleblowers possono essere lavoratori autonomi o subordinati del settore pubblico o privato che hanno acquisito informazioni sulle violazioni in un contesto lavorativo, gli azionisti nonché i membri dell’organo di amministrazione, direzione o vigilanza di un’impresa, qualsiasi persona che lavora sotto la supervisione e la direzione di appaltatori, subappaltatori e fornitori di un’impresa, ex dipendenti dell’impresa e candidati a posizioni lavorative in fase avanzata di selezione o di trattative contrattuali.

I whistleblowers possono accedere alle tutele previste dalla normativa europea solo se, al momento della segnalazione, abbiano avuto fondati motivi di ritenere che le informazioni segnalate fossero vere e rientrassero nell’ambito di applicazione di tale normativa, e hanno effettuato una segnalazione secondo le modalità ivi previste.

A tale riguardo, si dovrebbero utilizzare i canali di segnalazione interna prima di effettuare segnalazioni mediante canali di segnalazione esterna alle autorità competenti, laddove la violazione possa essere affrontata efficacemente a livello interno e la persona segnalante ritenga che non sussista il rischio di ritorsioni. Solo in presenza di determinate condizioni un informatore può legittimamente ricorrere alla divulgazione pubblica, ossia rendere le presunte violazioni di pubblico dominio[28].

Sanzioni e diritti

Inoltre, il diritto nazionale di ciascuno Stato membro deve prevedere sanzioni effettive, proporzionate e dissuasive applicabili alle persone segnalanti per le quali sia accertato che hanno scientemente effettuato segnalazioni o divulgazioni pubbliche false, nonché misure per il risarcimento dei danni derivanti da tali segnalazioni o divulgazioni.

Le persone coinvolte devono godere pienamente del diritto a un ricorso effettivo e ad un giudice imparziale, della presunzione di innocenza e dei diritti della difesa, compreso il diritto di essere sentiti e il diritto di accedere al proprio fascicolo.

Certe tutele riconosciute ai whistleblowers sono riconosciute anche ai soggetti denunciati. Questo vale per il diritto a ricevere informazioni rilevanti riguardo alla procedura di whistleblowing e alla riservatezza dei propri dati personali.

Per quanto concerne il controverso tema delle segnalazioni anonime[29], la direttiva UE dispone che, “fatti salvi gli obblighi vigenti di prevedere la segnalazione anonima in virtù del diritto dell’Unione, gli Stati membri dovrebbero poter decidere se i soggetti giuridici del settore pubblico e del settore privato e le autorità competenti devono accettare le segnalazioni anonime di violazioni rientranti nell’ambito di applicazione della presente direttiva e vi danno seguito”. Coloro che hanno presentato segnalazioni anonime, ove siano successivamente identificati, hanno diritto alle stesse misure di tutela di coloro che presentano segnalazioni nominative.

Il rapporto tra il GDPR e il whistleblowing

Le informazioni oggetto di segnalazioni ai sensi della normativa europea sul whistleblowing sono spesso qualificabili come dati personali. Pertanto, gli enti che ricevono e gestiscono tali segnalazioni trattano dati personali e sono, quindi, tenuti a rispettare i diritti riconosciuti ai soggetti interessati dal GDPR – Regolamento generale sulla protezione dei dati [30].Quest’ultimo, rispetto alla direttiva 95/46/CE che lo ha preceduto, ha ampliato e rafforzato i diritti degli interessati e le misure di tutela dei dati personali[31]. Inoltre, il RGPD ha conferito alle autorità nazionali di protezione dei dati maggiori poteri di monitoraggio e di enforcement (incluso quello di comminare severe sanzioni agli autori delle violazioni dei dati personali).

La direttiva UE sul whistleblowing, oltre a fare espresso rinvio al GDPR per quanto ogni trattamento dei dati personali effettuato nell’ambito delle procedure di whistleblowing (art. 17, comma 1), reca alcune disposizioni specifiche a questo riguardo. Essa dispone che i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non devono essere raccolti o, se raccolti accidentalmente, vanno cancellati senza indugio (art. 17, comma 2).

Per quanto riguarda, invece, i dati personali che occorre trattare per gestire le segnalazioni dei whistleblowers, la direttiva dispone che gli enti pubblichino sui loro siti internet, in una sezione dedicata, facilmente identificabile e accessibile, informazioni riguardanti il regime di riservatezza applicabile alle segnalazioni, risultante dall’applicazione dei principi sul trattamento di dati personali di cui al GDPR, nel rispetto del diritto degli interessati a ricevere informazioni sul trattamento dei loro dati personali[32].

Un ulteriore collegamento tra il regime del GDPR e quello del whistleblowing è che tra le violazioni del diritto dell’UE rientranti nell’ambito di applicazione di quest’ultimo rientrano quelle concernenti la tutela della vita privata e protezione dei dati personali (art. 2, paragrafo 1, della direttiva. Il GDPR esige l’individuazione a monte da parte di ciascun ente che istituisce e gestisce canali di segnalazione di serie violazioni di legge di una base giuridica tra quelle contemplate dal GDPR  per ogni operazione di trattamento delle varie categorie di dati personali di tutti gli individui coinvolti, a vario titolo, dai casi di whistleblowing.

La base legale per il trattamento dei dati delle segnalazioni

A seguito dell’entrata in vigore della direttiva UE sul whistleblowing e di quella nazionale di attuazione in ciascuno Stato membro, la base legale per il trattamento dei dati personali acquisiti mediante le segnalazioni di illeciti consiste nell’obbligo che gli enti privati e pubblici hanno di istituire canali di segnalazione.

Ove tali enti vogliano ampliare l’ambito di applicazione dei canali di segnalazione a gravi violazioni dei propri codici etici o alla violazione di altre normative ad essi applicabili (ad esempio, quelle di Paesi terzi aventi efficacia extraterritorale, come la legge SOX), essi potranno far leva sul loro legittimo interesse, purché adottino garanzie adeguate a tutelare i diritti dei soggetti interessati (in modo da soddisfare il test di bilanciamento degli interessi in gioco).

Non sarebbe invece possibile basarsi sul consenso dei soggetti interessati, posto che il potenziale squilibrio di potere tra il datore di lavoro, da un lato, e il dipendente o altro individuo che effettua la segnalazione, dall’altro, farebbe venir meno la natura libera del consenso, che è un requisito per la sua validità ai sensi del GDPR[33]. Inoltre, il consenso, anche se concesso, può essere revocato in qualsiasi momento. Ciò potrebbe, a sua volta, avere un impatto sul processo complessivo di denuncia delle irregolarità.

Nelle procedure di whistleblowing sono sovente oggetto di trattamento anche categorie particolari di dati personali (dati relativi all’origine etnica, ad opinioni politiche, convinzioni religiose o filosofiche e appartenenza sindacale; dati genetici; dati biometrici atti a identificare in modo univoco una persona; dati relativi alla salute; dati riguardanti la vita sessuale o l’orientamento sessuale di una persona), nonché dati relativi a condanne penali e reati, per i quali valgono tutele più stringenti ai sensi del GDPR. Si pensi, ad esempio, al caso in cui l’informatore lamenti discriminazioni sul posto di lavoro per persone con certe caratteristiche demografiche (genere o nazionalità).

Ai sensi del GDPR, il trattamento delle categorie particolari di dati personali è vietato a meno che il titolare del trattamento possa dimostrare che a tale trattamento si applica una base giuridica prevista dal RGPD e una condizione specifica prevista dal GDPR[34]. Nello specifico contesto delle segnalazioni ai sensi della normativa UE sul whistleblowing, le condizioni che, normalmente, possono essere invocate includono gli obblighi del datore di lavoro derivanti dal diritto del lavoro e della sicurezza sociale e protezione sociale, ex art. 9(2)(b) del RGPD, ovvero la difesa di un diritto in sede giudiziaria, ex art. 9(2)(g) del RGPD.

I dati personali relativi alle condanne penali e ai reati non costituiscono categorie particolari di dati personali, ma sono oggetto di tutela rafforzata da parte del RGPD. Merita precisare che, nel contesto delle segnalazioni dei whistleblowers, i dati relativi ad illeciti penali non concernono solo condanne o processi penali, ma anche accuse non provate e informazioni relative all’assenza di condanne. Il GDPR richiede che il trattamento di tali dati sia autorizzato dalla legge nazionale applicabile, che preveda garanzie appropriate per i diritti e le libertà degli interessati[35].

Affinché le procedure di denuncia siano efficaci, i potenziali informatori devono sapere che la loro identità sarà adeguatamente protetta qualora segnalino presunte violazioni di legge. La riservatezza della procedura di acquisizione e accertamento delle segnalazioni è importante anche per coloro che sono accusati di commettere illeciti e per i testimoni coinvolti.

Al tempo stesso, gli enti che istituiscono canali di segnalazione dovrebbero essere consapevoli che considerazioni riguardanti la trasparenza e liceità del trattamento dei dati personali e il diritto alla difesa e al giusto processo possono, in determinate circostanze, richiedere la divulgazione dell’identità del segnalante e delle altre persone coinvolte. In effetti, le autorità di tutela dei dati di alcuni Paesi europei hanno raccomandato ai datori di lavoro di non incoraggiare le segnalazioni anonime. Pertanto, le imprese possono, a seconda delle circostanze, richiedere che i dipendenti inviino segnalazioni anonime oppure si identifichino e accettare che la propria identità possa essere resa nota.

Il GDPR impone ai titolari del trattamento di fornire agli interessati una serie di informazioni sulle modalità in cui saranno trattati i loro dati personali. Nell’ambito delle segnalazioni di illeciti, questo obbligo di informazione implica che sia fornita un’informativa privacy sulla protezione dei dati dei dipendenti, che spieghi come i dati personali dei dipendenti vengono utilizzati dal datore di lavoro anche nelle procedure di segnalazione di illeciti. Tuttavia, ove le circostanze del caso lo richiedano, potrebbe essere anche necessario dare un’informativa privacy ‘personalizzata’ agli individui i cui dati personali verranno trattati nell’ambito di uno specifico processo di segnalazione, ove l’informativa generale risulti troppo generale per fornire informazioni sufficienti a tale riguardo. Può essere consigliabile predisporre un’informativa privacy riguardante nello specifico i trattamenti di dati personali raccolti mediante i canali di segnalazione di illeciti, da rendere disponibile sul sito internet da cui si può accedere all’hotline o recitata verbalmente a chi usa l’hotline telefonica.

Ulteriori elementi di complessità

L’osservanza degli obblighi di informazione e trasparenza derivanti dal GDPR nell’ambito delle denunce di illeciti presenta ulteriori  elementi di complessità.

In particolare, il GDPR richiede che ai soggetti interessati sia fornita un’informativa privacy se i loro dati sono stati ottenuti da soggetti terzi (anziché dagli stessi interessati)[36]. Tale informativa deve includere la fonte da cui hanno origine i dati personali. Inoltre, l’informativa prevista dal GDPR dev’essere data dal titolare del trattamento ai soggetti interessati, al piú tardi, entro un mese dalla ricezione dei dati[37].

Tale obbligo di informazione facente carico al titolare del trattamento sembra confliggere con gli obblighi di riservatezza o le aspettative del denunciante o dei testimoni ai sensi della normativa sul whistleblowing.

Tuttavia, ai sensi del RGPD, il titolare è esonerato dall’obbligo di informare il soggetto interessato nel caso in cui la sua osservanza rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento[38]. Si può ritenere che, poiché rivelando l’identità della fonte dei dati personali in un contesto di segnalazione degli illeciti (ossia il segnalante) si potrebbe compromettere l’efficacia di tale procedura, non sia necessario fornire tale informazione ai soggetti interessati. Inoltre, in caso di segnalazioni anonime, si potrebbe adempiere all’obbligo di rivelare la fonte dei dati personali informando l’interessato dell’avvenuta segnalazione da parte di un informatore.

I diritti degli interessati

Oltre al diritto ad essere informati sul trattamento dei loro dati, il GDPR conferisce agli interessati i diritti di accesso, rettifica, cancellazione, limitazione, portabilità dei dati e opposizione. Considerato il carattere sensibile e riservato delle denunce dei whistleblowers, i titolari dei dati che gestiscono sistemi di segnalazione degli illeciti possono trovarsi a gestire delicate situazioni di bilanciamento tra contrapposti diritti e interessi delle persone coinvolte in queste procedure. Particolarmente difficili da gestire possono risultare le richieste del soggetto denunciato di ottenere l’accesso e copie dei propri dati personali[39].

Richieste di accesso ai dati possono essere presentate anche dal whistleblower, da un testimone o da un terzo a qualche titolo coinvolto. Esistono alcune restrizioni del diritto di accesso che possono consentire al titolare del trattamento di negare l’accesso ad alcuni dati personali, segnatamente al fine di non ledere i diritti e le libertà altrui[40].

Si può ritenere che il titolare dei dati non sia tenuto a soddisfare una richiesta di accesso se ciò significa divulgare informazioni che consentano l’identificazione del segnalatore, salvo che quest’ultimo presti esplicitamente il suo consenso e sussistano garanzie adeguate a sua tutela.

In effetti, il GDPR prevede che i diritti riconosciuti agli interessati possano essere soggetti a limitazioni strettamente necessarie a consentire la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali o il soddisfacimento di un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia tributaria, o la tutela dei diritti e delle libertà di altri soggetti[41].

I titolari del trattamento non devono trattare i dati personali per un periodo superiore a quello necessario per realizzare le finalità per i quali i dati personali sono trattati. Il GDPR non prevede periodi di conservazione dei dati predeterminati per tipologie di dati personali, anche se spesso altre normative settoriali stabiliscono periodi minimi o massimi di conservazione per specifiche tipologie di dati.

Può essere consigliabile stabilire dei periodi di conservazione diversi dei dati relativi alle denunce di illeciti a seconda che tali denunce portino o meno all’avvio di un’indagine amministrativa o giudiziaria. I dati raccolti mediante segnalazioni che risultano da subito palesemente infondate e tali da non richiedere l’avvio di una procedura di accertamento interna dovrebbero essere cancellati dopo breve tempo dalla ricezione delle segnalazioni iniziali.

Un altro principio chiave del GDPR è che i dati personali trattati dai titolari del trattamento siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. I titolari farebbero bene a definire l’ambito di una segnalazione e documentare come garantiscano il rispetto dei principi di proporzionalità e minimizzazione del trattamento dei dati personali.

Quando usare la DPIA

Qualora il trattamento presenti un rischio specifico per la vita privata in ragione della sua natura, portata o finalità, i titolari del trattamento devono condurre una DPIA – valutazione d’impatto sulla protezione dei dati [42].

Le autorità di protezione dei dati di alcuni Stati membri assumono che il trattamento dei dati personali nell’ambito delle denuncia di illeciti richiedano una DPIA. Le imprese multinazionali potrebbero condurne uno DPIA per il loro programma di segnalazione paneuropeo o globale, invece che condurre delle DPIA separate per ciascuno Stato membro dell’UE.

La necessità di misure di sicurezza

I titolari del trattamento devono implementare adeguate misure di sicurezza tecniche e organizzative per garantire la sicurezza dei dati personali, comprese, se del caso, crittografia, pseudo-anonimizzazione, backup e meccanismi di resilienza dei sistemi, e devono testare l’efficacia di queste misure. Le misure attuate dovranno essere commisurate alla natura sensibile dei dati personali che possono essere trattati nell’ambito delle procedure di whistleblowing.

Considerate le tipologie di dati personali trattati nell’ambito di una procedura di whistleblowing, un eventuale data breach che colpisse tali dati presenterebbe un rischio per i diritti e le libertà delle persone fisiche[43]. L’autorità di protezione dei dati competente dev’essere informata “senza ingiustificato ritardo e, ove possibile, entro 72 ore” dal momento in cui il titolare del trattamento è venuto a conoscenza della violazione[44]. Inoltre, poiché la violazione dei dati personali può comportare “un rischio elevato per i diritti e le libertà delle persone fisiche”, il titolare del trattamento deve comunicare la violazione ai soggetti interessati “senza ingiustificato ritardo”[45].

Le imprese possono scegliere di esternalizzare alcuni aspetti del proprio sistema di whistleblowing (ad esempio, il servizio di hotline) ad un fornitore di servizi. Nei casi in cui un titolare del trattamento incarica un soggetto terzo di trattare dati personali per suo conto, il titolare del trattamento deve avvalersi solo di responsabili del trattamento che forniscano garanzie sufficienti per attuare misure tecniche e organizzative adeguate per garantire la tutela dei diritti degli interessati[46]. A questo proposito, occorre effettuare un’attenta due diligence di qualsiasi terza parte coinvolta nella fornitura di servizi di segnalazione.

Inoltre, il GDPR prevede requisiti specifici per quanto concerne il contenuto del contratto che deve essere stipulato tra il titolare del trattamento e il responsabile del trattamento, che valgono anche nel caso in cui una terza parte sia stata incaricata di gestire una hotline.

Se un responsabile del trattamento ha sede in un Paese extra-UE o se il titolare del trattamento fa parte di un gruppo multinazionale che trasferisce dati personali internamente, il titolare dovrà considerare gli obblighi previsti dal GDPR in caso di trasferimenti internazionali di dati personali. In tal caso, il titolare del trattamento dovrà individuare e documentare il meccanismo legale per il trasferimento di dati extra-UE ai sensi del RGPD e che ciò sia adeguatamente spiegato nell’informativa ai soggetti interessati.

A seconda delle giurisdizioni coinvolte, il trasferimento potrebbe richiedere la conduzione di una valutazione del rischio del trasferimento (‘DTIA’)[47], oltre all’adozione di adeguate misure di salvaguardia ai sensi del RGPD (come le clausole contrattuali tipo approvate dall’UE).

Al contrario, eventuali trasferimenti tra Stati membri dell’UE o verso Paesi oggetto di decisioni di adeguatezza della Commissione europea sono sempre consentiti[48].

Il GDPR contiene eccezioni o deroghe (interpretate in modo restrittivo) all’obbligo di mettere in atto garanzie adeguate per i trasferimenti internazionali ma solo “in specifiche situazioni”. Per esempio, può aver luogo un trasferimento verso un Paese terzo che non beneficia di una decisione di adeguatezza se il il trasferimento è necessario per importanti motivi di interesse pubblico. L’interesse pubblico in questo contesto richiede che il particolare interesse pubblico sia riconosciuto nella legislazione dell’UE o degli Stati membri dell’UE. L’interesse pubblico che i sistemi di denuncia degli illeciti può essere individuato nella direttiva europea sul whistleblowing. In ogni caso, le deroghe ai meccanismi di trasferimento previsti dal RGPD sono interpretate in modo restrittivo ed è, quindi, preferibile ricorrere all’uso di tali meccanismi.

Privacy by design e by default

Un principio chiave del GDPR è l’obbligo di integrare la tutela dei dati personali nelle loro attività fin dalla progettazione e durante l’intero corso dell’attività[49]. Nel contesto di un sistema di whistleblowing, il titolare del trattamento dovrebbe prendere in considerazione alcune misure di ‘privacy by design’, come la crittografia, la pseudonimizzazione, la minimizzazione dei dati e le funzionalità per la cancellazione dei dati.

Secondo il GDPR, i titolari del trattamento devono dimostrare la conformità ai principi generali di tutela dei dati personali (‘accountability’). Pertanto, le imprese dovrebbero tenere un’adeguata documentazione su come vengono rispettati gli obblighi di tutela dei dati nell’ambito delle loro procedure di whistleblowing. Tale documentazione deve includere un registro delle attività di trattamento[50], le policies di protezione dei dati e di conservazione dei dati, la valutazione degli interessi legittimi e lo storico delle violazioni dei dati.

In determinati casi, ai sensi del RGPD, i titolari del trattamento sono tenuti a nominare un responsabile della protezione dei dati (‘DPO’)[51]. L’istituzione di una procedura di segnalazione non richiede di per sé la nomina di un DPO. Tuttavia, le attività di segnalazione di irregolarità potrebbero comportare trattamenti di dati su larga scala o ‘far scattare’ un’altra condizione per cui la nomina di un DPO divenga obbligatoria ai sensi del RGPD.

Laddove sia stato nominato un DPO, potrebbe essere necessario coinvolgerlo nella progettazione della istituzione del sistema di whistleblowing. Il DPO potrebbe ritenere necessario condurre una DPIA.

Il DPO potrebbe dover essere nominato anche in presenza di specifiche segnalazioni. Ai sensi del GDPR, il DPO è vincolato al segreto e alla confidenzialità riguardo allo svolgimento dei propri compiti. Pertanto, il coinvolgimento del DPO nel procedimento di whistleblowing può aiutare la corretta gestione di una segnalazione, data l’importanza della riservatezza durante tutta la procedura.

Alla luce di quanto precede, si può ritenere che, benché il rispetto degli obblighi derivanti dal RGPD possa rendere per certi versi piú complessa l’adeguamento dell’organizzazione aziendale alla normativa sul whistleblowing, un’impresa in grado di assicurare un elevato livello di tutela dei dati personali sia senza dubbio in una posizione migliore a trasmettere ai potenziali informatori fiducia e rassicurazioni circa la garanzia di riservatezza delle segnalazioni.

Le linee guida del Garante europeo della protezione dei dati

Anche gli organi dell’UE sono tenuti ad adottare procedure che facilitino l’identificazione e la segnalazione di corruzione, frode, furti o altre gravi lesioni degli interessi pubblici. Cosí, nel 2019 il Garante europeo della protezione dei dati (lo ‘European Data Protection Supervisor’ o ‘EDPS’) ha adottato le linee guida sul trattamento dei dati personali all’interno di una procedura di whistleblowing[52]. Queste linee guida spiegano come osservare le norme del Regolamento (UE) 2018/1725 sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’UE[53] nell’ambito delle procedure di whistleblowing gestite da tali enti e, quindi, si indirizzano esclusivamente a questi ultimi.

Tuttavia, tenuto conto che la disciplina detta dal Regolamento 2018/1725 corrisponde in larga misura a quella del GDPR può essere utile anche per imprese e enti pubblici degli Stati membri conoscere le linee guida dell’EDPS. L’EDPS sottolinea che i principi sul trattamento dei dati personali possono rafforzare le procedure di whistleblowing, garantendo la riservatezza ai soggetti interessati e un’adeguata sicurezza delle denunce. Questo rende piú affidabili i canali di segnalazione e dare rassicurazioni a chi intenda avvalersene.

L’EDPS sottolinea che non solo i funzionari delle istituzioni e degli organi dell’UE, ma anche coloro che stipulano dei contratti con questi ultimi (come consulenti, contractors, ricercatori, ecc.) devono essere informati della possibilità di riportare presunti atti di corruzione, frode o altre gravi condotte illecite mediante appositi canali di segnalazione.

Le garanzie

Ai whistleblowers dev’essere garantita la massima riservatezza e la loro identità non dev’essere rivelata a persone che non fanno parte del team incaricato della gestione delle segnalazioni salvo circostanze eccezionali, come nel caso in cui un whistleblower dia il consenso esplicito alla divulgazione della sua identità o tale divulgazione sia necessaria ai fini di un’indagine penale relativa ai fatti oggetto della segnalazione o il whistleblower abbia fatto dichiarazioni false in malafede (ossia consapevolmente e intenzionalmente). In quest’ultimo caso, l’identità del whistleblower può essere rivelata ad un’autorità giudiziaria.

La persona denunziata dev’essere protetta come il whistleblower perché vi è il rischio che possa essere stigmatizzato all’interno dell’organizzazione persino ove i fatti riportati non siano stati confermati. Le segnalazioni possono includere dati personali di altre persone, come testimoni o altri colleghi, che devono egualmente restare riservati. Per tutelare la riservatezza di tutti i soggetti coinvolti l’accesso alle denunce dev’essere limitato a coloro che hanno il compito di gestire le segnalazioni e le informazioni devono essere conservate su sistemi sicuri e con modalità di protezione adeguate.

Le informazioni relative alle denunce devono essere tenute riservate non solo quando i casi sono pendenti ma anche una volta che siano conclusi. Se alcune informazioni relative ai casi di whistleblowing sono tenute a fini statistici esse devono essere rese anonime.

La prevenzione degli abusi dei canali di whistleblowing

L’EDPS sottolinea l’importanza di prevenire possibili abusi dei canali di whistleblowing e raccomanda di chiarire bene nelle regole e policies interne il fine e l’ambito di applicazione di queste procedure, come ad esempio che non possa essere usato dal personale che intenda far valere diritti relativi al proprio rapporto di lavoro.

Occorre anche sensibilizzare gli informatori a limitare le informazioni relative ad altre persone a quelle necessarie e rilevanti per la segnalazione, evitando di includere dati personali o addirittura sensibili che non abbiano attinenza con i fatti denuncianti.

L’EDPS afferma che in linea di principio le denunce non dovrebbero essere anonime per evitare abusi e consentire una tutela effettiva contro ritorsioni e una migliore gestione del caso.

I gestori delle segnalazioni devono essere in grado di discernere tra casi rientranti nella procedura di whistleblowing e casi che vi esulano e vadano eventualmente reindirizzati ad altri soggetti competenti (ad esempio, il dipartimento Risorse Umane per i casi relativi a rapporti di lavoro, harassment o mobbing) o all’Ufficio europeo per la lotta antifrode (OLAF).

L’EDPS ha sottolineato che la pubblicazione di un’informativa sul trattamento dei dati personali nelle procedure di whistleblowing è necessaria, ma non sufficiente per fornire informazioni adeguate ai soggetti interessati. Costoro devono ricevere appena possibile informative specifiche a seguito della ricezione di una segnalazione che rechi loro dati personali.

L’EDPS riconosce che l’informativa al soggetto denunciato possa essere rinviata ad un momento successivo all’avvio dell’esame di denuncia, ove sussista un accertato e documentato rischio che l’indagine sia pregiudicata ove tale informativa fosse data.

I testimoni dovrebbero essere informati di una procedura in cui sono coinvolti prima che siano intervistati.

Non occorre informare terze parti ove si dimostri che, nel caso considerato, implicherebbe uno sforzo sproporzionato.

Tutte le valutazioni circa le restrizioni ai diritti degli interessati di ricevere informazioni e avere accesso ai loro dati personali trattati nelle procedure di whistleblowing devono essere documentate e potranno essere esaminate dall’EDPS nell’esercizio del suo potere di controllo sull’osservanza del Regolamento 2018/1725.

L’EDPS raccomanda di stabilire periodi di conservazione dei dati trattati nelle procedure di whistleblowing differenziati a seconda delle circostanze del caso. Ad esempio, se dopo un esame preliminare, risulta chiaro che i fatti denunciati non ricadano nella procedura di whistleblowing i dati personali devono essere cancellati prontamente, normalmente entro due mesi da quando si è giunti a tale conclusione.

Ugualmente, se, dopo un primo esame, una deuncia è inoltrata all’OLAF e quest’ultimo avvia un’inchiesta oppure decide di non avviarla, l’organo che ha ricevuto la segnalazione dovrà eliminare i dati personali ad essa relativi senza indebito ritardo.

Per assicurare la riservatezza e sicurezza delle denunce (ossia evitare accessi non autorizzati o la possibile distruzione o alterazione dei dati ivi contenuti), è opportuno che esse siano trattate e conservate in sistemi dedicati e separati dagli altri sistemi in uso degli organi europei.

Inoltre, gli organi europei dovrebbero svolgere un ‘information security assessment’ per individuare gli specifici rischi a cui sono esposti i dati personali relativi a segnalazioni e le misure piú idonee a mitigarli. Tali misure dovrebbero includere obblighi di segretezza stringenti per i gestori delle segnalazioni, accessi ristretti alle denunce e sistemi di tracciamento e controllo degli accessi, la crittogafria, passwords complesse, ecc.

L’EDPS consiglia di coinvolgere il DPO per avere consigli specifici su come rispettare i principi sulla tutela dei dati personali in questo particolare contesto.

La tutela dei dati personali e la disciplina italiana del whistleblowing

La direttiva europea sul whistleblowing è stata attuata dal Decreto legislativo n. 24/2023, entrato in vigore il 15 luglio 2023[54]. Peraltro, gli obblighi del Decreto si applicano a partire dal 17 dicembre 2023 ai soggetti del settore privato che abbiano impiegato, nell’ultimo anno precedente all’entrata in vigore del Decreto, una media di lavoratori subordinati inferiore a duecentocinquanta.

Con tale Decreto il legislatore italiano ha esteso la disciplina del whistleblowing, già prevista per la Pubblica Amministrazione[55] e per le imprese dotate del Modello di organizzazione, gestione e controllo ai sensi del Decreto legislativo n. 231/2001[56], a tutte le imprese che, in media nell’ultimo anno, hanno impiegato almeno cinquanta lavoratori subordinati con contratto di lavoro a tempo indeterminato o determinato, oppure ad imprese, anche di dimensioni inferiori, che rientrano nell’ambito di applicazione degli atti normativi dell’UE in determinate materie (ad esempio, servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo)[57].

Tali soggetti, previa consultazione con i sindacati, devono attivare canali di segnalazione interna che garantiscano la riservatezza dell’identità della persona segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione.

Il Decreto dispone che, “nell’ambito del procedimento disciplinare, l’identità della persona segnalante non può essere rivelata, ove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità” (art. 12, comma 5).

La gestione del canale di segnalazione dev’essere affidata a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione, ovvero è affidata a un soggetto esterno, anch’esso autonomo e con personale specificamente formato (art. 4, comma 2).

Cosa prevede il decreto

Il Decreto prevede la possibilità di utilizzare canali di segnalazione condivisi solo per le società con un massimo di duecentoquarantanove dipendenti. La Commissione UE ha precedentemente affermato che se i canali di whistleblowing sono organizzati a livello di capogruppo, una società locale può fare affidamento sulla capacità investigativa della società madre o di altre società del gruppo, a condizione che:

• i canali di segnalazione esistano e siano resi disponibili a livello di società locale;
• il segnalante sia chiaramente informato che una persona/funzione designata presso la società madre sarà autorizzata ad accedere alla segnalazione e il segnalante abbia il diritto di opporsi e richiedere che la condotta segnalata sia indagata solo a livello locale;
• eventuali altre misure di follow-up adottate e riscontro alla persona segnalante provengano dalla società locale.

Pertanto, un gruppo multinazionale può prendere in considerazione la nomina di un responsabile locale della segnalazione presso una società italiana con un massimo di duecentoquarantanove dipendenti o di un ufficio esterno locale per mantenere la comunicazione con i segnalanti e salvaguardare i loro diritti a livello locale.

Le società con più di seicentoquarantanove dipendenti devono, invece, implementare canali di segnalazione dedicati.

A determinate condizioni, il Decreto offre ai segnalanti la possibilità di divulgare pubblicamente le potenziali violazioni che intendono segnalare. Più specificamente, questa opzione può essere utilizzata quando: il segnalante ha già effettuato una segnalazione interna/esterna, ma non sono state intraprese azioni di follow-up adeguate; la violazione in questione può costituire un pericolo imminente o manifesto per l’interesse pubblico, e il segnalante ha ragionevoli basi per ritenere che la segnalazione esterna possa essere inefficace o che vi possa essere il rischio di ritorsioni.

Il ruolo di Anac e Agcm

La relazione illustrativa che accompagna il Decreto specifica che, oltre all’ANAC, l’Autorità Garante della Concorrenza e del Mercato (AGCM) sarà responsabile anche del canale esterno di segnalazione delle violazioni antitrust. A questo proposito, vale la pena notare che, già nel febbraio 2023, l’AGCM ha introdotto una piattaforma dedicata al whistleblowing, seguendo le migliori pratiche della Commissione europea e di diverse autorità nazionali garanti della concorrenza. Ciò significa che un informatore a conoscenza di violazioni delle regole di concorrenza può interagire direttamente con gli uffici investigativi su base anonima.

Il whistleblower, secondo il Decreto n. 24/2023, può essere un lavoratore dipendente, un lavoratore autonomo, un consulente, un volontario, un stagista, un socio, un soggetto con poteri di controllo, vigilanza o rappresentanza. Rientrano nella categoria dei whistleblowers anche le persone in fase di assunzione o di negoziazione del contratto e durante i periodi di prova e gli ex dipendenti. Questi ultimi possono riferire casi appresi nel corso della passata attività lavorativa.

È escluso che il whistleblower possa ‘segnalare’ questioni legate ad un suo “interesse di carattere personale”, attinente esclusivamente al proprio rapporto di lavoro o al proprio rapporto di lavoro con persone gerarchicamente sovraordinate (art. 1, comma 2). Ciò rende chiaro che la finalità della disciplina del whistleblowing è quella di far emergere comportamenti che ledano gravemente l’interesse pubblico europeo o nazionale sotteso a determinate normative a cui è soggetto l’ente pubblico o privato. Nel caso dell’impresa privata, la segnalazione dev’essere volta a tutelare l’integrità dell’impresa.

I whistleblowers hanno il diritto di segnalare le persone che lavorano nel contesto lavorativo dell’ente come il personale, un lavoratore autonomo che svolge la propria attività lavorativa presso l’ente privato, collaboratori, liberi professionisti e consulenti che operano per l’ente, volontari e tirocinanti (retribuiti e non), nonché azionisti e persone che rivestono funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche se esercitate de facto.

Come si svolge il procedimento di whistleblowing in Italia

Il procedimento di whistleblowing delineato dal Decreto prevede che al segnalante sia data comunicazione della presa in carico della segnalazione con “avviso di ricevimento” entro sette giorni dalla ricezione e che si dia riscontro alla segnalazione entro i successivi tre mesi[58].

I segnalanti, in determinati casi, possono rivolgere segnalazioni esterne direttamente all’ANAC. Quest’ultima può accertare le condotte oggetto della segnalazione o inoltrare la segnalazione alle competenti autorità amministrative o giudiziarie che svolgeranno le necessarie indagini

Le imprese devono fornire informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne, nonché sul canale, sulle procedure e sui presupposti per effettuare le segnalazione esterne. Le suddette informazioni sono esposte e rese facilmente visibili nei luoghi di lavoro, nonché accessibili alle persone che pur non frequentando i luoghi di lavoro possono presentare segnalazioni ai sensi del Decreto. Se dotate di un proprio sito internet, le imprese devono pubblicare tali informazioni anche in una sezione dedicata del sito.

I soggetti coinvolti nei casi di whistleblowing devono essere regolarmente formati sulla materia. Il Decreto prevede una serie di misure di protezione per i whistleblower che segnalano potenziali violazioni, fornendo diverse garanzie contro eventuali atti di ritorsione. Tale protezione è estesa ad altri soggetti collegati ai segnalanti, ossia: i facilitatori (soggetti che assistono i segnalanti nel processo di segnalazione e che operano nello stesso luogo di lavoro); colleghi e parenti dei segnalanti; e imprese che i whistleblowers possiedono, lavorano o con le quali sono altrimenti collegati.

Tutele e responsabilità

Si precisa, inoltre, che i segnalanti beneficiano di tutele se, al momento della segnalazione, avevano ragionevoli motivi per ritenere che le informazioni sulle violazioni segnalate, divulgate pubblicamente o segnalate fossero veritiere.

L’azienda ha la responsabilità di chiarire al proprio interno che le ritorsioni nei confronti dei whistleblowers e delle parti correlate sono vietate e, se la ritorsione viene denunciata, il datore di lavoro ha l’onere di dimostrare che le misure adottate nei confronti di un whistleblower non sono il risultato della segnalazione.

I segnalanti possono segnalare eventuali misure di ritorsione all’ANAC, che provvederà a inoltrare tali segnalazioni all’Ispettorato Nazionale del Lavoro. La dichiarazione di nullità degli atti ritorsivi spetta all’autorità giudiziaria.

Nell’ambito di procedimenti giudiziari o amministrativi o comunque di controversie stragiudiziali aventi ad oggetto l’accertamento di condotte vietate nei confronti del segnalante, si presume che le stesse siano state poste in essere a seguito della segnalazione, divulgazione pubblica o denuncia all’autorità giudiziaria. L’onere di provare che tali comportamenti o atti sono motivati da ragioni estranee alla segnalazione, alla divulgazione o al reclamo incombe alla persona che li ha effettuati. L’inversione dell’onere della prova non opera a favore di persone ed entità diverse dal segnalante (es. facilitatori, colleghi).

Il D.Lgs. n. 24/2023 ha previsto che l’identità del segnalante non possa essere rivelata, se non con il consenso espresso del segnalante, a soggetti diversi da quelli competenti a ricevere o dare seguito alle segnalazioni, espressamente autorizzati al trattamento di tali dati. Questo divieto di divulgazione si riferisce non solo al nome del segnalante, ma anche a tutti gli elementi della segnalazione da cui si possa inferire l’identità del segnalante.

Tuttavia, questo diritto alla riservatezza non è assoluto, posto che la sua portata varia a seconda delle disposizioni che disciplinano l’eventuale procedimento (penale, civile, disciplinare) in cui la persona può essere coinvolta.

Segretezza e segnalanti

Nel caso specifico di segnalazioni che portino all’instaurazione di un procedimento penale, la riservatezza del segnalante è tutelata nei limiti stabiliti dall’art. 329 c.p., che impone l’obbligo di segretezza degli atti delle indagini preliminari fino a quando l’indagato non abbia diritto di averne conoscenza e, in ogni caso, non oltre la chiusura di tale fase.

Non è punibile una persona che divulga o diffonde informazioni su violazioni che sono coperte dall’obbligo di segretezza, relative alla protezione del diritto d’autore o alla protezione dei dati personali o divulghi o diffonda informazioni su violazioni che danneggiano la reputazione della persona coinvolta o denunciata. L’esonero da responsabilità penale, tuttavia, opera solo quando, al momento della divulgazione o della diffusione, vi erano motivi per ritenere che tale divulgazione fosse necessaria per rivelare la violazione e la segnalazione è stata effettuata secondo le modalità previste. In tali casi, è esclusa ogni ulteriore responsabilità di natura civile o amministrativa.

Le segnalazioni mendaci

Per quanto concerne le segnalazioni mendaci, ai sensi del Decreto, “quando è accertata, anche con sentenza di primo grado, la responsabilità penale della persona segnalante per i reati di diffamazione o di calunnia o comunque per i medesimi reati commessi con la denuncia all’autorità giudiziaria o contabile ovvero la sua responsabilità civile, per lo stesso titolo, nei casi di dolo o colpa grave”, la protezione prevista per il whistleblower viene meno e al whistleblower è irrogata una sanzione disciplinare.

A questo proposito, è stato osservato che limitare la responsabilità ai casi in cui il whistleblower abbia agito con dolo o colpa grave potrebbe comportare che, in vari casi, il soggetto danneggiato da segnalazioni infondate rimanga privo di protezione per i danni subiti quale conseguenza della segnalazione falsa o insussistente[59]. Inoltre, prevedere che la sanzione disciplinare possa essere irrogata dopo che è stata accertata la responsabilità penale e civile del whistleblower sembra porsi in contrasto con i principi di tempestività e dell’immediato venir meno del vincolo fiduciario, in virtú dei quali il potere disciplinare dovrebbe essere esercitato subito dopo che il datore di lavoro abbia riscontrato l’illecito disciplinare[60].

Qualsiasi trattamento di dati personali relativo a una segnalazione di whistleblowing deve essere effettuato conformemente al RGPD e alla normativa italiana sulla tutela dei dati personali[61], ad esempio, per quanto riguarda il principio di minimizzazione, le norme sulla limitazione dell’esercizio dei diritti dell’interessato, le informazioni da fornire all’interessato e i principi di privacy by design e by default.

Le indicazioni dell’ANAC

Lo schema di ‘Linee guida in materia di whistleblowing sui canali interni di segnalazione’, pubblicate dall’ANAC il 7 novembre 2024[62], completano e integrano le indicazioni già fornite con la Delibera del 12 luglio 2023, n. 311[63]. È previsto il conseguimento di un parere da parte del Garante per la protezione dei dati personali.

Tali linee guida forniscono utili delucidazioni sul coordinamento tra il sistema di segnalazione eventualmente in essere ai sensi dell’art. 6, comma 2 bis del Decreto legislativo n. 231/2001 e il sistema previsto dal Decreto legislativo n. 24/2023.

Le imprese possono decidere se mantenere entrambi i sistemi separati o se istituire un unico canale nel quale far confluire le segnalazioni sia di violazioni del Modello organizzativo ex Decreto legislativo n. 231/2001  che di violazioni previste dal Decreto n. 24/2023. Tuttavia, l’ANAC si esprime a favore della seconda delle predette opzioni. Il doppio canale, infatti, rischierebbe di essere una duplicazione e di porsi in contrasto con l’esigenza di semplificazione e razionalizzazione dei presidi aziendali. Inoltre, osserva l’ANAC, la presenza di due canali potrebbe ingenerare più confusione e rendere più gravosa, per i potenziali segnalanti, l’individuazione del canale di cui avvalersi.

L’organismo di vigilanza

Ove si optasse per la duplicità del canale, il segnalante avrebbe la seguente alternativa:

• effettuare la segnalazione relativa alla violazione del Modello organizzativo all’Organismo di Vigilanza (OdV);
• utilizzare il canale di segnalazione istituito in base alla normativa sul whistleblowing, così godendo di tutte le tutele previste da tale normativa.

L’OdV, nel ricevere la segnalazione, dovrebbe richiedere al segnalante se intenda beneficiare delle tutele garantite dalla legge al whistleblower e, in caso di risposta affermativa, dovrebbe trasmettere la segnalazione al gestore delle segnalazioni ai sensi della normativa sul whistleblowing (se soggetto diverso dall’OdV) e darne notizia al segnalante.

Lo schema di linee guida include vari suggerimenti su come garantire il coordinamento tra il gestore delle segnalazioni dei whistleblowers e l’OdV (qualora tali organismi non coincidano) nelle ipotesi in cui la segnalazione abbia ad oggetto una violazione del Modello organizzativo ex Decreto legislativo n. 231/2001.

Per quanto riguarda le modalità di gestione dei canali di segnalazione nell’ambito di gruppi societari, l’ANAC, ribadendo quanto indicato dalla Commissione europea, ritiene che i gruppi di società possano valutare le seguenti soluzioni differenziate a seconda che si tratti di gruppo di medie o di grandi dimensioni:

• per i gruppi di medie dimensioni (fino a duecentoquarantanove dipendenti) è ammessa la condivisione di un canale interno, attraverso l’istituzione di una piattaforma unica che, però, deve essere ramificata a livello di gruppo, consentendo al segnalante di scegliere da un elenco le società presso cui effettuare la segnalazione;
• per i gruppi di grandi dimensioni (più di duecentoquarantove dipendenti) la condivisione del canale interno e della gestione delle segnalazioni non è consentita. I gruppi societari di grandi dimensioni possono anche optare per l’esternalizzazione del servizio di ricezione e gestione della segnalazione ad un fornitore terzo, con cui si dovrebbe concludere un contratto di affidamento che disciplini anche aspetti relativi al trattamento dei dati personali.

In vari punti, le linee guida suggeriscono alle imprese di implementare i canali interni di segnalazione con modalità tali da garantire un’adeguata tutela dei dati personali.

Ad esempio, le segnalazioni di whistleblowing andrebbero acquisite e gestite preferibilmente con apposita piattaforma informatica, che, se adeguatamente progettata e configurata, consente di adottare stringenti misure di sicurezza e assicurare un più elevato livello di protezione dei dati personali degli interessati, sia nella fase di acquisizione delle segnalazioni che in quella di gestione delle stesse. In particolare, si raccomanda di cifrare i dati a riposo e mantenere una interlocuzione riservata con la persona segnalante, con la precisazione che “la prima di tali funzionalità consente di mitigare eventi di data breach come, ad esempio, nel caso di accesso abusivo effettuato da terzi a seguito di attacco informatico”, mentre “la seconda funzionalità consente, tramite l’adozione di un codice identificativo della segnalazione (es. Key Code), noto solo alla persona segnalante, di mantenere le interlocuzioni con la stessa (art. 5, d.lgs. n. 24/2023), garantendo la riservatezza dell’identità del whistleblower”.

In ogni caso, lo strumento adottato per l’acquisizione e la gestione delle segnalazioni dev’essere progettato tenendo conto dei principi di ‘privacy by design’ e ‘by default’, tenendo anche conto delle osservazioni formulate dal DPO (ove presente).

Il canale affidato a soggetti terzi

Ove sia affidato a soggetti terzi il compito di gestire il canale di segnalazione per conto di un soggetto giuridico del settore privato, l’ANAC ricorda che, come chiarito dalla Commissione europea, le terze parti devono offrire adeguate garanzie di indipendenza, riservatezza, protezione dei dati personali e segretezza, e, inoltre, il loro ruolo dev’essere limitato alla ricezione delle segnalazioni, senza poter includere lo svolgimento di indagini e dell’istruttoria in generale, né la gestione della segnalazione, posto che queste ultime funzioni competono solo al gestore delle segnalazioni di ciascun ente privato.

Inoltre, il fornitore esterno, sia laddove gestisca per conto di una delle società del gruppo il sistema di segnalazione come soggetto esterno, sia nel caso in cui svolga solo il ruolo di fornitore esterno dell’infrastruttura, può trattare dati personali in qualità di responsabile del trattamento. Per cui troveranno applicazione le condizioni previste dall’art. 28 del GDPR.

L’ANAC afferma che, laddove un gruppo societario opti per la condivisione del canale interno, è fondamentale che tale scelta non pregiudichi il rispetto degli obblighi di riservatezza e di tutela dei dati personali della persona segnalante e degli altri soggetti tutelati. A tal fine, tutte le società del gruppo, in quanto contitolari del trattamento, devono definire, ai sensi dell’art. 26 del GDPR, in appositi accordi interni, le responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR.

L’ANAC sottolinea che il gestore delle segnalazioni deve avere una buona conoscenza in campo giuridico, etico e dell’integrità e deve ricevere un’adeguata formazione in materia di whistleblowing e di trattamento dei dati personali.

Ove il gestore sia affiancato da altri soggetti con funzioni di supporto – scelta ritenuta da ANAC condivisibile “soprattutto nell’ambito di enti di grandi dimensioni, al fine di evitare un aggravamento degli oneri in capo al gestore e il rischio di compromettere l’efficiente gestione della segnalazione”, i soggetti chiamati a svolgere il ruolo di supporto al gestore devono essere in possesso dei requisiti di autonomia e imparzialità, individuati, con i rispettivi compiti, nell’atto organizzativo, e anche preventivamente e necessariamente autorizzati al trattamento dei dati personali.

Il DPO: cosa dice l’Anac

L’ANAC ritiene che, per quanto possibile, la figura del DPO non debba coincidere con il gestore delle segnalazioni, “al fine di non limitare l’effettività dello svolgimento delle attività riconducibili alle due diverse funzioni, tenuto conto dei numerosi compiti e delle responsabilità” attribuiti a tali ruoli aziendali.

Oltre a sottolineare l’importanza della formazione sia per i gestori che per i destinatari della procedura di whistleblowing, l’ANAC suggerisce di prevedere la presenza di sostituti dei gestori non solo nelle ipotesi di conflitto di interessi, ma anche nel caso di una loro assenza temporanea. Tali sostituti dovranno soddisfare i requisiti previsti per i gestori, tra cui quello di essere autorizzati al trattamento dei dati personali.

Note

[1][1] Si veda il testo redatto da Transparency International Italia, ‘Protezione delle “vedette civiche”: il ruolo del whistleblowing in Italia’, 2009, p. 93.

[2] Direttiva (UE) 2019/1937 del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione, pubblicata in GU L 305 del 26.11.2019, p. 17–56.

[3] La Convenzione delle Nazioni Unite del 2003 contro la corruzione (c.d. Convenzione di Merida) è stata ratificata dall’Italia con la legge 3 agosto 2009, n. 116 (‘Ratifica ed esecuzione della Convenzione dell’Organizzazione delle Nazioni Unite contro la corruzione, adottata dalla Assemblea generale dell’ONU il 31 ottobre 2003 con risoluzione n. 58/4, firmata dallo Stato italiano il 9 dicembre 2003, nonché norme di adeguamento interno e modifiche al codice penale e al codice di procedura penale’), pubblicata in GU n.188 del 14-08-2009.

[4] Con la legge 28 giugno 2012, n. 110 (‘Ratifica ed esecuzione della Convenzione penale sulla corruzione, fatta a Strasburgo il 27 gennaio 1999’), pubblicata in GU n.173 del 26-07-2012, il Parlamento italiano ha ratificato la Convenzione penale di Strasburgo del 1999.

[5] Con la legge 28 giugno 2012, n. 112 (‘Ratifica ed esecuzione della Convenzione civile sulla corruzione, fatta a Strasburgo il 4 novembre 1999’), pubblicata in GU n.174 del 27-07-2012, il Parlamento italiano ha ratificato la Convenzione civile sulla corruzione, fatta a Strasburgo nel 1999.

[6] Raccomandazione del Consiglio sull’Integrità Pubblica, C(2017)5, del 26 gennaio 2017, che aggiorna e sostituisce la Raccomandazione del 1998 sul miglioramento della condotta etica nel servizio pubblico.

[7] La Raccomandazione del Consiglio sulla corruzione nelle operazioni commerciali internazionali è stata adottata il 21 novembre 1997.

[8] La Raccomandazione per rafforzare la lotta contro la corruzione dei pubblici ufficiali stranieri nelle transazioni economiche internazionali è stata adottata dal Consiglio dell’OCSE il 26 novembre 2009.

[9] G20 Anti-Corruption Action Plan.

[10] Study on Whistleblower Protection Frameworks, Compendium of Best Practices and Guiding Principles for Legislation.

[11] OECD Study, ‘Whistleblower Protection Frameworks, Compendium of Best Practices of the Guiding principles’, summit a Bali del Gruppo di Lavoro Anti-Corruzione del G20, maggio 2011.

[12] Enron era una grande società di energia, materie prime e servizi avente sede in Texas. Il metodo contabile di Enron è stato rivisto da un metodo contabile tradizionale basato sui costi storici a un metodo contabile mark-to-market (MTM) nel 1992. Enron ha utilizzato veicoli speciali per nascondere il proprio debito e le attività tossiche agli investitori e ai creditori. Il prezzo delle azioni Enron è passato da 90,75 dollari al suo picco a 0,26 dollari al momento del fallimento.Si veda l’articolo ‘Enron Scandal and Accounting Fraud: What Happened?’ di Troy Segal, 3 dicembre 2024, su https://www.investopedia.com/.

[13] WorldCom era una società statunitense di telecomunicazioni fondata nel 1983. La società ha fornito servizi scontati a lunga distanza ai propri clienti e ha perseguito un’aggressiva strategia di acquisizione che l’ha portata a diventare la più grande impresa nel suo settore negli Stati Uniti. WorldCom era in difficoltà finanziarie e utilizzava tecniche contabili fraudolente per nascondere le proprie perdite agli investitori e ad altri. La società ha dichiarato bancarotta a causa dello scandalo e diverse figure chiave sono state punite, tra cui il CEO e il CFO. Si veda l’articolo ‘The Rise and Fall of WorldCom: Story of a Scandal’ di Adam Hayes, 14 giugno 2024, su https://www.investopedia.com/.

[14] Direttiva 95/46/CE del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, in GU L 281 del 23/11/1995, pagg. 31–50, abrogata dal RGPD.

[15] McDonald’s, CNIL Délibération n° 2005-110 (26 maggio 2005) e Exide Technologies/CEAC, CNIL Délib. n° 2005-111 (26 maggio 2005).

[16] Whistleblowing – opinion Dutch DPA – gennaio 2006.

[17] Il Gruppo per la tutela dei dati personali (articolo 29), istituito in virtù dell’art. 29 della direttiva 95/46/CE, è stato l’organo consultivo indipendente dell’UE per la tutela dei dati personali e del diritto alla privacy. I suoi compiti erano fissati all’art. 30 della direttiva 95/46/CE.

[18] Parere 1/2006 relativo all’applicazione della normativa UE sulla protezione dei dati alle procedure interne per la denuncia delle irregolarità riguardanti la tenuta della contabilità, i controlli contabili interni, la revisione contabile, la lotta contro la corruzione, la criminalità bancaria e finanziaria, 1 febbraio 2006 – WP 117.

[19] Ai sensi dell’art. 7(c) della direttiva 95/46/CE, il trattamento di dati personali poteva essere effettuato quando fosse necessario per adempiere un obbligo legale al quale fosse soggetto il titolare del trattamento

[20] Ai sensi dell’art. 7(f) direttiva della 95/46/CE, il trattamento di dati personali poteva essere effettuato quando fosse necessario per il perseguimento dell’interesse legittimo del titolare del trattamento oppure dei soggetti a cui venissero comunicati i dati, a condizione che non prevalessero l’interesse o i diritti e le libertà fondamentali della persona interessata.

[21] Art. 14(a) della direttiva 95/46/CE.

[22] Ai sensi dell’art. 11 della direttiva 95/46/CE, in caso di dati non raccolti presso la persona interessata, al momento della registrazione dei dati o qualora sia prevista una comunicazione dei dati a un terzo, al più tardi all’atto della prima comunicazione dei medesimi, il titolare del trattamento doveva fornire alla persona interessata un’informativa sul trattamento dei suoi dati personali e sui diritti ad essa riconosciuti dalla normativa UE.

[23] L’art. 17, comma 1 della direttiva 95/46/CE prevedeva l’obbligo del titolare del trattamento di “attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali”.

[24] Parere WP 217 adottato il 9 aprile 2014.

[25] Parere WP 249 adottato l’8 giugno 2017.

[26] Si veda N. Parisi, La funzione del whistleblowing nel diritto internazionale ed europeo, in LavoroDirittiEuropa, 2/2020, p. 12 e 13.

[27] Si veda N. Parisi, La funzione del whistleblowing nel diritto internazionale ed europeo, cit., p. 14.

[28] Ai sensi dell’art. 15 della direttiva (UE) 2019/1937, una persona che effettua una divulgazione pubblica beneficia della protezione prevista dalla direttiva se ha prima segnalato, internamente ed esternamente o direttamente esternamente, ma non è stata intrapresa tempestivamente un’azione appropriata in risposta alla segnalazione oppure ha fondati motivi di ritenere che la violazione potesse costituire un pericolo imminente o palese per il pubblico interesse (come nel caso in cui sussista una situazione di emergenza o il rischio di danno irreversibile), oppure, in caso di segnalazione esterna, sussiste il rischio di ritorsioni o le prospettive che la violazione sia affrontata efficacemente siano scarse per via delle circostanze del caso di specie (come nel caso in cui possano essere occultate o distrutte prove o in cui un’autorità possa essere collusa con l’autore della violazione o coinvolta nella violazione stessa).

[29] Da tempo l’autorità di protezione dei dati personali francese (CNIL) ritiene che le segnalazioni anonime creino un elevato rischio di diffamazione e possano avere un effetto ‘deflagrante’ per le imprese. Nella sua risoluzione del 30 gennaio 2014 (autorizzazione unica AU-004), la CNIL afferma che le imprese non devono incoraggiare le persone a effettuare segnalazioni anonime e, al contrario, le segnalazioni anonime dovrebbero restare eccezionali. La CNIL ritiene vi siano condizioni specifiche applicabili alla segnalazione anonima, vale a dire: dev’essere accertata la gravità dei fatti denunciati e i fatti devono essere sufficientemente precisi, e la segnalazione anonima dev’essere trattata con specifiche cautele. Ad esempio, il primo destinatario della segnalazione dovrebbe valutare se sia opportuno divulgare i fatti oggetto della denuncia prima di farlo.

[30] Regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, pubblicato in GU L 119 del 4.5.2016, p. 1–88.

[31] Si veda Transparency International, ‘The Impact of the New General Data Protection Regulation (GDPR) on Whistleblowing’, 2018.

[32] La direttiva (UE) 2019/1937 richiama espressamente l’art. 13 del RGPD, relativo alle informazioni da fornire qualora i dati personali siano raccolti presso l’interessato, nonché le corrispondenti disposizioni contenute nella direttiva (UE) 2016/680 del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, pubblicata in GU L 119 del 4.5.2016, pagg. 89–131, e nel Regolamento (UE) 2018/1725 del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, pubblicata in GU L 295 del 21.11.2018, pagg. 39–98.

[33] Il consenso dell’interessato è definito dall’art. 4(11) del RGPD come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

[34] Si veda l’art. 9 del RGPD.

[35] Si veda l’art. 10 del RGPD.

[36] Si veda l’art. 14, paragrafi 1 e 2 del RGPD.

[37] L’art. 14, paragrafo 3 del RGPD dispone: “il titolare del trattamento fornisce le informazioni di cui ai paragrafi 1 e 2: a) entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati; b) nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato; oppure c) nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali”.

[38] Si veda l’art. 14, paragrafo 5 del RGPD.

[39] Ai sensi dell’art. 15, paragrafo 1 del RGPD, “l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un’autorità di controllo; g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione (…) e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”. Inoltre, ai sensi del successivo paragrafo 2, “Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate (…) relative al trasferimento”. Infine, in base al paragrafo 3, “il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi (…)”.

[40] L’art. 14, paragrafo 4 del RGPD sottolinea che “il diritto di ottenere una copia (…) non deve ledere i diritti e le libertà altrui”.

[41] Si veda l’art. 23, paragrafo 1 del RGPD.

[42] Si veda l’art. 35 del RGPD.

[43] Ex art. 4(12) del RGPD, per violazione dei dati personali (data breach) si intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

[44] Si veda l’art. 33 del RGPD.

[45] Si veda l’art. 34 del RGPD.

[46] Si veda l’art. 28 del RGPD.

[47] Si veda la Raccomandazione 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE adottata dal Comitato Europeo per la Protezione dei Dati (‘EDPB’) il 18 giugno 2021.

[48] La Commissione Europea ha adottato decisioni di adeguatezza per: Andorra, Argentina, Canada (organizzazioni commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Repubblica di Corea, Svizzera, Regno Unito, Stati Uniti (organizzazioni commerciali che partecipano al quadro normativo sulla privacy dei dati UE-USA), e dell’Uruguay.

[49] Si veda l’art. 25 del RGPD.

[50] Si veda l’art. 30 del RGPD.

[51] Si veda l’art. 37 del RGPD.

[52]EDPS, ‘Guidelines on processing personal information within a whistleblowing procedure’, dicembre 2019.

[53] Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, in GU L 295 del 21.11.2018, pagg. 39–98.

[54] Decreto legislativo 10 marzo 2023 , n. 24, Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali, in GU n.63 del 15-03-2023.

[55] La Legge 6 novembre 2012, n. 190 (c.d. Legge Severino) è intervenuta sulla regolamentazione generale del pubblico impiego, che ha previsto una prima tutela embrionale a favore dei whistleblower nel settore pubblico.

[56] Con la Legge 30 novembre 2017, n. 179 si è previsto: una disciplina più articolata per la tutela dei whistleblower nel settore pubblico; la modifica dell’art. 6 del Decreto legislativo n. 231/2001 (recante ‘Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300’, in GU n.140 del 19-06-2001), che estende le tutele per i whistleblower al settore privato. In particolare, la Legge n. 179/2017 è intervenuta sul testo dell’art. 6 del D.Lgs. n. 231/2001, che imponevano nuovi obblighi alle imprese che avevano già adottato i modelli organizzativi, prescrivendo da un lato, l’introduzione di canali interni all’ente che consentono ai segnalanti di effettuare segnalazioni di condotte illecite rientranti nel campo di applicazione del Decreto 231/2001 in via riservata, individuando dall’altro lato, le tutele da garantire a favore del soggetto che segnala condotte illecite di cui era venuto a conoscenza in ragione delle funzioni svolte all’interno dell’ente.

[57] Quindi, è confermato l’obbligo di dotarsi di un canale di whistleblowing per le imprese che, a prescindere dalle dimensioni, abbiano adottato un modello di organizzazione, gestione e controllo ai sensi del D.Lgs. n. 231/2001.

[58] Si veda l’art. 5 del Decreto.

[59] S. Carrà – E. Rabagliati, Il whistleblowing dopo il faticoso recepimento della Direttiva Ue, Guida al Lavoro, 7 aprile 2023, p. 10-24.

[60] S. Carrà – E. Rabagliati, citato.

[61] Decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, in GU n.174 del 29-07-2003 – Suppl. Ordinario n. 123.

[62] Schema rimasto in consultazione pubblica fino al 9 dicembre 2024.

[63] Le ‘Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne’ sono state approvate dall’ANAC con Delibera n°311 del 12 luglio 2023. Tali linee guida riguardano i canali di segnalazione attivati dagli enti del settore pubblico.