Il whistleblowing – la segnalazione di potenziali illeciti – rappresenta, per le società che intendono adottare tali sistemi, non solo un’occasione per rafforzare la propria corporate governance ma anche, osservando i principi di data protection e cybersecurity, per dimostrare di essere attivamente accountable.
Whistleblowing al centro della scena
Negli ultimi mesi il whistleblowing è stato oggetto di attenzione da parte del legislatore Europeo e – in Italia – in ambito data protection, anche da parte dell’Autorità Garante a riprova dell’importanza che esso riveste non solo per la corporate governance delle società che operano quali titolari del trattamento sul profilo privacy (nel prosieguo, singolarmente o collettivamente, “Società”), ma anche per gli imprescindibili profili di tutela dei diritti degli interessati che la fattispecie in esame determina.
Il quadro di riferimento: l’Italia
A livello normativo il whistleblowing è caratterizzato da un quadro di riferimento assai complesso e composito per quanto, come si evincerà nel prosieguo, coerente, da un lato, nelle finalità di strutturazione del processo e, dall’altro, di tutela dei soggetti coinvolti.
In Italia, la legge di riferimento in materia di whistleblowing è attualmente la Legge n. 179/2017.
In ambito pubblico, in particolare, tale legge ha modificato l’articolo 54 bis del D. Lgs. 165/2001 in materia di tutela del dipendente o collaboratore che segnala illeciti stabilendo il principio per cui il dipendente che denunzia all’autorità giudiziaria o segnala al responsabile della prevenzione della corruzione e della trasparenza o all’Autorità Nazionale Anticorruzione (“ANAC”) condotte illecite di cui sia venuto a conoscenza in ragione del proprio rapporto di lavoro non può essere sanzionato, licenziato, demansionato, trasferito o sottoposto ad altra misura organizzativa avente effetti negativi sulle condizioni di lavoro[1].
La legge in parola ha anche esteso, nell’ambito del D.Lgs. n. 231/2001 (relativo alla responsabilità amministrativa degli enti derivante da reato), la stessa tutela a favore dei dipendenti che lavorano in aziende private anche in relazione alla tutela del segnalante contro eventuali discriminazioni, atti o licenziamenti ritorsivi, tutela della riservatezza del segnalante, ecc. ed ha integrato la disciplina del segreto aziendale, professionale, scientifico e industriale.
Il quadro di riferimento: l’Europa
A livello europeo, il quadro giuridico relativo alle segnalazioni di illeciti, finora frammentato, dopo anni di discussioni ed elaborazioni, ha raggiunto una forma di coordinamento con la nuova Direttiva UE 2019/1937 (“Direttiva”), approvata definitivamente dal Parlamento Europeo il 16 aprile 2019 e pubblicata il 26 novembre 2019 e che dovrà essere recepita da parte degli Stati Membri entro il mese di dicembre 2021 (la Direttiva infatti non è immediatamente applicabile alle persone fisiche e giuridiche degli Stati Membri).
Posto che la Direttiva, la cui disciplina si applica alle aziende private con almeno 50 dipendenti o 10 milioni di Euro di fatturato e alle aziende che operano in settori ad alto rischio (servizi finanziari, settori soggetti al riciclaggio di denaro o al finanziamento del terrorismo), estende la platea di coloro che possono effettuare segnalazioni (non solo dipendenti, ma anche lavoratori autonomi, appaltatori, sub-appaltatori, fornitori), prevede che siano creati canali sicuri di segnalazione e stabilisce misure di sostegno e protezione per i soggetti coinvolti, saranno inevitabili gli impatti sulla Legge n. 179/2017 e sarà necessario realizzare adeguamenti di processo/procedurali da parte delle Società che hanno scelto di dotarsi di sistemi di segnalazione degli illeciti.
Quando si fa riferimento al whistleblowing non è però possibile limitarsi alla disamina delle norme che ne regolano l’applicazione, essendo opportuno – se non addirittura necessario – richiamare anche la disciplina della protezione delle persone fisiche con riguardo al trattamento dei dati personali (cd. data protection).
Normativa privacy e cybersecurity
La normativa privacy in tema whistleblowing è dettata
- dal Regolamento europeo in materia di protezione dei dati personali n. 679/2016 (“GDPR“): adottato il 25 maggio 2016 e definitivamente applicabile dal 25 maggio 2018;
- dal Decreto Legislativo n. 196/2003 (“Codice della Privacy”): così come novellato dal Decreto Legislativo n. 101/2018
nonché da una serie di decisioni e pareri emessi da parte di alcune autorità competenti, quali:
- il Parere n. 1/2006 del Gruppo di lavoro 29 (WP29) (emesso nel periodo di efficacia della Direttiva CE 95/46 ma ancora valido nelle sue considerazioni e principi) sull’applicazione delle norme comunitarie in materia di protezione dei dati personali agli schemi interni di denuncia nei settori della contabilità, dei controlli contabili interni, della revisione contabile, della lotta alla corruzione, della criminalità bancaria e finanziaria;
- il Parere del Garante per la protezione dei dati personali (doc. web. 1693019) del 10 dicembre 2009 indirizzato al Parlamento e al Governo italiano e relativo all’individuazione dei reati commessi da soggetti operanti all’interno di organizzazioni attraverso sistemi di segnalazione;
- le Linee guida emanate dal Garante europeo della protezione dei dati personali (“EDPS”) il 18 luglio 2016 sulla protezione dei dati personali nell’ambito di una procedura di denuncia all’interno delle istituzioni dell’UE e che forniscono indicazioni pratiche a tali istituzioni e organismi (e comunque utili anche per le aziende private).
Data protection e cybersecurity in 13 step
Dalle leggi, dalle decisioni e dai pareri delle autorità competenti sopra citati, si possono dedurre alcuni principi di data protection che devono necessariamente essere presi in considerazione dalle Società nel design e nella implementazione di un sistema di whistleblowing, quali:
- Accountability: secondo il GDPR, prima di implementare il sistema di segnalazione che comporta un trattamento di dati, le Società devono attuare le misure necessarie per limitare i rischi e l’impatto connesso sui dati trattati e garantirne la protezione (adeguate misure tecniche e organizzative come misure informatiche, crittografia, ecc.) nonché la riservatezza dei dati e delle informazioni relative all’autore della segnalazione e al soggetto segnalato (come raccomandato dal WP29 e dall’EDPS nonché dalla Legge n. 179/2017). Pertanto, per essere accountable, le Società, quali titolari del trattamento, devono valutare il progetto (privacy by design) e procedere ad una valutazione di impatto sulla privacy, aggiornare i registri del trattamento, scegliere il fornitore adeguato, informare gli interessati e autorizzare al trattamento solo personale specifico;
- Base giuridica: il sistema di segnalazione interna deve essere basato su una valida base giuridica che si può riscontrare nell’adempimento di un obbligo di legge (ove esistente e/o applicabile) o nel perseguimento di un legittimo interesse delle Società che agiscono in qualità di titolari del trattamento o di terzi a cui i dati possono essere comunicati. L’interesse legittimo è valido a condizione che non prevalga sull’interesse o sui diritti e le libertà fondamentali dell’interessato;
- Dati trattati: ai sensi dell’art. 5 (1) GDPR, i dati personali devono essere esatti, corretti e aggiornati, trattati secondo principi di liceità, correttezza e trasparenza, per motivi legittimi ed espliciti, e trattati in modo da garantirne la sicurezza;
- Conservazione dei dati: il WP29 nel citato parere n. 1/2006 suggerisce, secondo il principio di minimizzazione, di (i) cancellare i dati derivanti da una segnalazione interna di denuncia entro 2 mesi dalla conclusione dell’indagine sui fatti indicati nella segnalazione, (ii) in caso di azione giudiziaria nei confronti del denunciante e del soggetto segnalato, di conservare i dati fino alla conclusione del procedimento e alla scadenza del termine per l’impugnazione dell’eventuale sanzione disciplinare applicata, e (iii) cancellare immediatamente i dati personali relativi a segnalazioni non fondate (tali indicazioni dovranno essere coordinate con i termini previsti dalla Direttiva n. 2019/1937 rispetto ai riscontri da fornire ai segnalanti);
- Informativa agli interessati: le Società sono tenute a fornire informazioni chiare e complete sul sistema di segnalazione mediante l’informativa ai sensi dell’art. 13 del GDPR (che ha abrogato l’art. 13 del Codice Privacy) in cui si garantisce la riservatezza sull’identità del segnalante durante l’intera procedura e si dichiara che ogni abuso della procedura sarà sanzionato. A questo proposito, l’EDPS ha concepito un’informativa alle persone interessate (il segnalante e il soggetto segnalato) in “due fasi” e, quindi, sulla base di una dichiarazione generale sulla privacy (ad esempio, pubblicata sul sito web della singola Società) e di una dichiarazione sulla privacy più specifica per ogni soggetto coinvolto nella procedura (e da inviare eventualmente via e-mail). L’informativa sulla privacy al soggetto segnalato può essere rinviata ad un momento successivo se ciò può compromettere l’indagine sulla condotta illecita;
- Riservatezza sull’identità: all’identità del segnalante e del soggetto segnalato deve essere garantita riservatezza durante la procedura di verifica e possono essere applicate sanzioni disciplinari in caso di violazione di tale obbligo. Il nome del segnalante non deve essere rivelato durante il procedimento disciplinare nei confronti del soggetto segnalato, a meno che il segnalante non acconsenta a rivelare il suo nome;
- Anonimato: la segnalazione anonima è ammissibile a condizione che il primo destinatario della segnalazione ne esamini l’ammissibilità, che la segnalazione sia elaborata più rapidamente per evitare abusi e che sia adeguatamente documentata in modo da riportare fatti precisi e concordanti;
- Bilanciamento degli interessi: gli interessi del segnalante e del soggetto segnalato devono essere bilanciati: caso per caso, il diritto di accesso del soggetto segnalato ai sensi dell’articolo 15 GDPR deve essere limitato a garantire il diritto del segnalante. In nessun caso il soggetto segnalato può esercitare il diritto di accesso per la raccolta di informazioni sul segnalante (cfr. art. 2 undecies, lett. f) D.Lgs. n. 196/2003 come novellato dal decreto legislativo n. 101/2018), salvo il caso in cui il segnalante abbia agito in modo ingannevole e abbia mentito e l’identità del segnalante sia rilevante ai fini della difesa del soggetto segnalato (nello stesso senso anche l’art. 1, comma 9 della Legge n. 179/2017);
- Gestione delle segnalazioni e delle indagini (gestione interna): come indicato nel parere n. 1/2006 del WP29 e richiamato dall’EDPS nel 2016, i sistemi di segnalazione richiedono un attento esame delle modalità di raccolta e trattamento delle medesime segnalazioni. Un organo specifico all’interno delle Società sarà dedicato alla gestione delle segnalazioni e delle indagini e sarà composto da personale debitamente formato e contrattualmente vincolato alla riservatezza. Tale organo dovrà essere separato dagli altri dipartimenti (es., separato dalle Risorse Umane) e dovrà essere gestito da funzionari specificamente nominati a tal fine;
- Gestione delle segnalazioni e delle indagini (gestione esterna): le Società possono decidere di ricorrere a fornitori di servizi esterni ai quali affidare in outsourcing parte del sistema, principalmente per la raccolta delle segnalazioni. Questi fornitori esterni devono essere vincolati ad un rigoroso obbligo di riservatezza e impegnarsi a rispettare i principi in materia di protezione dei dati. Quando le Società o i gruppi di Società si rivolgono a fornitori esterni di servizi per esternalizzare parte della gestione del sistema di segnalazione, tali fornitori operano in qualità di responsabili delle operazioni di trattamento che ne derivano, sulla base di un contratto specifico, e devono rispettare il GDPR e osservare come detto rigorosi obblighi di riservatezza. Essi trattano le informazioni solo per le specifiche finalità per le quali sono state raccolte e comunicano le informazioni trattate solo a determinati soggetti della Società responsabile dell’indagine. Essi rispetteranno inoltre i periodi di conservazione dei dati a cui è vincolata la Società titolare del trattamento, la quale è tenuta a verificare periodicamente il rispetto dei principi del GDPR da parte dei fornitori esterni;
- Localizzazione del trattamento dei dati: secondo il WP 29, nel caso di una multinazionale/gruppo di Società, l’indagine viene effettuata localmente in uno Stato membro dell’UE e le informazioni non devono essere automaticamente condivise con le altre Società del gruppo. Tuttavia, come delineato dal WP 29, i dati ricevuti possono essere comunicati all’interno del gruppo se tale comunicazione è necessaria all’indagine in base alla natura e alla gravità del presunto reato/condotta o in base alla composizione del gruppo societario e tale comunicazione è necessaria per l’indagine, a seconda della natura o della gravità della condotta scorretta segnalata (ad esempio, nel caso in cui la segnalazione si riferisca a un amministratore o a un manager della società o se il soggetto segnalato è dipendente di un’altra società del gruppo). La natura e la struttura dei gruppi multinazionali fa sì che i fatti e gli esiti di eventuali segnalazioni debbano essere condivisi in tutto il gruppo, anche al di fuori dell’UE, secondo adeguate garanzie (quali le standard contractual clauses “SCC” o le binding corporate rules, “BCR”). In questo caso, i dati devono essere comunicati solo in condizioni di riservatezza e sicurezza all’organo competente dell’entità giuridica destinataria, che fornisca garanzie equivalenti per la gestione delle segnalazioni di irregolarità quale incaricata della gestione di tali segnalazioni raccolte nella Società collocata all’interno dell’UE. Tenendo conto del principio di proporzionalità, la natura e la gravità del presunto reato dovrebbero in linea di principio determinare a quale livello, e quindi in quale paese, dovrebbe avvenire la valutazione della segnalazione;
- Misure di sicurezza: ai sensi del GDPR, secondo i principi di privacy by design e privacy by default, le Società devono adottare le misure di sicurezza ed organizzative adeguate a tutelare i dati dei soggetti interessati che si avvalgono dei sistemi di whistleblowing. Le Società devono quindi assicurarsi di adottare adeguate misure cybersecurity e cioè che il sistema di segnalazione degli illeciti sia logicamente separato da altri sistemi all’interno dell’infrastruttura aziendale (quando tali sistemi sono gestiti internamente) ovvero assicurarsi che adeguate misure di sicurezza ed organizzative siano adottate dai terzi fornitori di tali sistemi (sul punto, anche nel prosieguo al paragrafo 4). Inoltre, i sistemi di segnalazione devono essere accessibili solo a soggetti a ciò debitamente autorizzati, adottando anche processi “SoD” (segregation of duties – ovvero di separazione di compiti) appropriati per evitare conflitti di interesse per soggetti che possono accedere a sistemi diversi ovvero a parti diverse di uno stesso sistema (in ciò richiamando anche i principi del D.Lgs. 231/2001);
- Data Protection Impact Assessment (DPIA): dal momento il whistleblowing ha un impatto sui diritti e le libertà degli interessati (segnalante e segnalato), nel momento in cui le Società approntano misure tecniche ed organizzative per gestire i sistemi di segnalazione, ai sensi dell’art. 35 GDPR, e secondo le indicazioni del WP 29 (parere n. 248/2017) riprese anche dal Garante Italiano, sarà necessario procedere ad un DPIA prima che i trattamenti originati dal sistema di segnalazione abbiano inizio.
Gli interventi del Garante italiano
Il Garante Italiano ha avuto modo di pronunciarsi recentemente in relazione al whistleblowing. In particolare, in occasione
- del Parere sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001” – Tutela del dipendente pubblico che segnala illeciti c.d. whistleblowing” predisposto dall’ANAC – doc. web. n. 92157634 del 4/12/2019:
in cui il Garante ha espresso (ai sensi dell’art. 1, comma 5 della Legge n. 179/2017) parere favorevole sullo schema proposto dall’ANAC che, seppure rivolto a datori di lavoro pubblici contiene indicazioni anche per le segnalazioni da parte di dipendenti di imprese fornitrici della P.A. a condizione che siano (i) introdotte specifiche modifiche finalizzate alla tutela della corretta gestione delle segnalazioni, anche alla luce degli esiti delle attività ispettive avviate nel corso del 2019, (ii) precisate le misure tecniche che i titolari del trattamento adotteranno secondo i principi di privacy by design e privacy by default, (iii) siano adottate misure ulteriori a tutela dell’identità dei soggetti interessati anche a fronte di una più puntuale connotazione dei fatti che possono essere oggetto di segnalazione e (iv) sia definito puntualmente il ruolo dei soggetti coinvolti;
- del Provvedimento del 23/10/2020 (doc. web. 9269618):
in cui il Garante ha comminato una sanzione amministrativa per un importo di Euro 30 milioni all’Università La Sapienza di Roma per non avere verificato che le misure tecnico-organizzative e i software utilizzati per le segnalazioni fossero adeguati a tutelare la riservatezza di chi invia le segnalazioni, non essendo sufficiente recepire le misure del fornitore degli applicativi utilizzati per gestire le medesime segnalazioni.
Nel caso di specie, nel dicembre 2018 l’Università La Sapienza di Roma aveva notificato al Garante, ai sensi dell’art. 33 del GDPR, l’avvenuta diffusione di dati personali trattati per il tramite della piattaforma che l’Ateneo, all’epoca dei fatti, utilizzava per l’acquisizione e la gestione delle segnalazioni di illeciti da parte dei propri dipendenti e di soggetti terzi, nell’ambito della disciplina del c.d. whistleblowing. In particolare, l’Ateneo aveva notificato la “dispersione di dati personali comuni” (nome, indirizzo e-mail) relativi a 2 segnalanti tramite la piattaforma whistleblowing (fornita dalla Società Agic Technology srl)” su motori di ricerca.
La Sapienza era venuta a conoscenza della dispersione dei dati il 12.12.2018, rappresentava di aver notificato la violazione dei dati personali al Garante entro le 72 ore dal momento in cui ne era venuta a conoscenza, di aver comunicato la violazione dei dati personali ai due interessati in data 30 gennaio 2019 e di aver anche richiesto a diversi motori di ricerca di rimuovere i singoli contenuti indicizzati.
Il Garante, quindi, dopo aver appurato in istruttoria che il tool del fornitore non prevedeva alcuna cifratura (cd. crittografia end-to end) dei dati personali relativi, tra l’altro, all’identità del segnalante e alle informazioni relative alla segnalazione, né l’adozione di un protocollo di trasmissione che garantisse una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, sia di autenticità del sito web visualizzato dal segnalante, ha accertato l’illecito trattamento dei dati e l’omesso adempimento degli obblighi di sicurezza imposti dal GDPR e – tenuto conto che la violazione ha riguardato solo due persone e che l’Ateneo ha attivamente cooperato nel corso dell’istruttoria – ha inflitto alla Sapienza di Roma una sanzione amministrativa contenuta.
- del piano ispettivo del Garante per il periodo gennaio – giugno 2020 e il provvedimento doc. web. n. 9269607 del 06/02/2020:
in cui il Garante ha inserito i trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (whistleblowing) nel proprio piano ispettivo per il periodo gennaio – giugno 2020.
In conclusione, sulla scorta dei principi legali e delle indicazioni fornite dai provvedimenti a livello europeo e del Garante Italiano, le Società che adottano sistemi di segnalazione degli illeciti devono quindi ricordarsi non solo di conformarsi alla normativa whistleblowing, ma anche a quella in tema di data protection e cybersecurity.
Ciò, adottando le misure più adeguate a tutelare i diritti e le dignità dei soggetti coinvolti (i soggetti interessati), disegnando il processo e le procedure sin dalle fasi iniziali secondo i principi di privacy by design e by default (estensivamente rivolti anche ai profili giuslavoristici e del D. Lgs. 231/2001, questi ultimi, per le aziende private) e dandone evidenza – utile in caso di ispezione da parte del Garante – così da risultare non solo formalmente e passivamente compliant, ma anche concretamente e attivamente accountable.
Note
- Con Delibera n. 782 Adunanza del 4 settembre 2019, l’ANAC ha per la prima volta comminato una sanzione di 5.000,00 Euro al responsabile di provvedimenti ritorsivi messi in atto nei confronti del c.d. whistleblower.