Oggi entra in vigore la legge che delega il Governo al recepimento di diverse direttive e altri atti dell’Unione Europea tra le quali, all’articolo 23, si segnala anche la direttiva (UE) 2019/1937 riguardante la protezione delle persone che segnalano violazioni. I whistleblower.
La direttiva, che avrà un impatto rilevate sulle norme italiane che disciplinano la materia, stabilisce che gli Stati membri dovranno conformarsi alle disposizioni europee entro il 17 dicembre 2021 lasciando tuttavia ulteriori due anni di tempo alle aziende private che hanno tra i 50 e i 250 dipendenti.
Whistleblowing “rafforzato”, cosa cambia per le aziende con la direttiva Ue
Perché è un passo importante per la nostra normativa
Prima di entrare nel merito delle novità introdotte dalla nuova regolamentazione risulta opportuno effettuare un breve excursus dell’istituto a livello nazionale, significativo per la valutazione del contesto normativo generale. Il nostro Paese passerà, nell’arco temporale di una decina d’anni, dalla totale assenza di previsioni, a una quasi completa regolamentazione del whistleblowing.
È del 2012 infatti la “legge Severino”, dal nome della ministra proponente, che attraverso l’articolo 54-bis ha aggiunto al “Testo Unico del pubblico impiego”, per la prima volta nel nostro ordinamento giuridico, alcune timide disposizioni a tutela del dipendente pubblico che segnala illeciti. Si tratta di soli 4 commi, fin da subito oggetto di ampie e motivate critiche, ma che rappresentano una svolta culturale determinante.
Cinque anni dopo vedrà la luce invece la prima regolamentazione italiana specificamente destinata alla protezione dei whistleblower che tiene conto, seppur in maniera limitata, anche dei rapporti di lavoro in ambito privato attraverso l’introduzione di alcune modifiche ai modelli organizzativi previsti dal D.Lgs. n. 231/2001. Questa volta il legislatore circoscrive l’intervento in appena tre articoli cercando di aggiustare il tiro delle disposizioni precedenti al fine di aumentarne gli effetti normativi senza tuttavia apportare particolari innovazioni. Nonostante, anche in questo caso, il testo della norma sconti numerosi dubbi interpretativi, contenga diverse contraddizioni e sia tutto sommato poco coraggiosa nell’ affrontare la questione legata alla gestione delle segnalazioni anonime, un altro passo avanti significativo è stato effettuato nell’ottica del rafforzamento dell’istituto.
Obiettivo direttiva su whistleblowing
Venendo ora alla direttiva, risulta chiaro come il legislatore europeo abbia inteso operare lungo due direttrici principali: l’armonizzazione del quadro normativo nei Paesi già in possesso di alcune previsioni adeguate (di cui fa parte l’Italia soprattutto per le disposizioni promulgate in ambito pubblico) e l’istituzione di presidi minimi in materia di whistleblowing da applicarsi nel resto degli Stati ancora privi di qualsiasi normazione.
La protezione riguarda indistintamente il settore pubblico e quello privato (in riferimento a organizzazioni con almeno 50 lavoratori) e si applica alle segnalazioni che concernono precise violazioni di rilevanza giuridica comunitaria: appalti pubblici, servizi finanziari, riciclaggio e finanziamento del terrorismo, sicurezza dei prodotti, sicurezza dei trasporti, tutela dell’ambiente, sicurezza nucleare, sicurezza alimentare, salute pubblica, tutela dei consumatori e della protezione dei dati personali. Sono esclusi dall’ambito di applicazione le norme speciali già emanate in materia (specificate nella seconda parte dell’allegato alla direttiva), le questioni di sicurezza nazionale, il segreto medico e quello professionale che restano di competenza esclusiva del legislatore nazionale.
La norma mira a irrobustire la tutela dei whistleblower contro ogni forma di ritorsione, fornire protezione in caso di divulgazioni pubbliche, aumentare la trasparenza e di conseguenza la prevenzione dei reati. Per raggiungere tali obiettivi innanzitutto la direttiva amplia sensibilmente l’ambito di applicazione rispetto a quanto ora fin ora previsto nel nostro ordinamento estendendo le tutele non solo ai dipendenti ma anche ai lavoratori autonomi, agli azionisti e membri del Consiglio di Amministrazione, ai tirocinanti anche se non retribuiti, ai volontari oppure a quei soggetti che non hanno ancora iniziato il rapporto di lavoro oppure che lo hanno terminato, ai collaboratori esterni e qualsiasi persona che lavora sotto la supervisione e direzione di appaltatori, sub-appaltatori o fornitori. Rientrano nella protezione anche tutte le persone che assistono i segnalanti a qualsiasi titolo nelle varie fasi della denuncia (definiti dalla norma “facilitatori”), i suoi colleghi e parenti.
Il funzionamento dei canali di segnalazione
In linea con le best practices internazionali sono previsti tre canali di segnalazione differenti per effettuare le denunce: uno interno, uno esterno e uno pubblico. Soprattutto l’ambito privato sarà quello che risentirà maggiormente delle novità relative al sistema di reporting interno: l’obbligo riguarderà infatti tutti i soggetti giuridici privati con almeno 50 dipendenti, indipendentemente dal modello organizzativo 231 adottato per i reati presupposto di tale normativa. Le organizzazioni che impiegano un numero di lavoratori tra le 50 e le 250 unità potranno altresì adottare canali di segnalazione comuni.
I canali di segnalazione devono garantire la possibilità di veicolare le denunce non solo in forma scritta ma anche orale sia per mezzo di linee telefoniche dedicate o sistemi di messaggistica vocale, sia attraverso incontri in presenza con le funzioni appositamente designate dalle organizzazioni. Gli enti devono avvertire entro 7 giorni il segnalante della ricezione della denuncia e fornire un riscontro adeguato entro 3 mesi.
Sia per il settore pubblico che per quello privato è necessario prevedere canali di segnalazione esterni gestiti da autorità competenti dotate di autonomia e indipendenza: se l’Autorità nazionale anticorruzione (ANAC) già dal 2009 vigila sulla trasparenza e l’integrità delle amministrazioni pubbliche non è ancora chiaro a quale autorità verranno delegate tali incombenze in ambito privato. Tali autorità avranno gli stessi obblighi di riscontro nei confronti del segnalante: avvertire della ricezione della denuncia entro 7 giorni e di darvi seguito formalmente entro 3 o 6 mesi nei casi di particolare complessità. Il whistleblower può scegliere liberamente se utilizzare il canale interno o quello esterno anche se la normativa, in assenza di rischi di ritorsioni, suggerisce in via preliminare l’utilizzo dei canali interni perché solitamente possono rivelarsi più efficaci.
La terza opzione per il segnalante è rappresentata dalla divulgazione pubblica che deve tuttavia rispettare precise condizioni per poter beneficiare delle protezioni stabilite dalla direttiva: il previo utilizzo del canale interno o di quello esterno a cui non è seguita una risposta adeguata, che i due canali di cui sopra non siano stati utilizzati per rischi legati a ritorsioni o a possibili collusioni dei gestori dei sistemi con l’autore delle violazioni e infine che sussista un “pericolo imminente e palese per il pubblico interesse”.
La conformità dei sistemi di reporting digitali
La protezione dell’identità del whistleblower al fine di scongiurare il pericolo di ritorsioni o discriminazioni è ovviamente al centro degli obblighi imposti dal legislatore, che considera cruciale impedire l’accesso ai dati relativi alle segnalazioni a tutti i soggetti non autorizzati, sia in riferimento al personale interno che alle terze parti. I canali di segnalazione digitali, interni ed esterni, devono essere dunque progettati, implementati e gestiti in modo da garantire “la completezza, l’integrità e la riservatezza delle informazioni”. Interessanti indicazioni in tal senso si possono trovare nel recente parere fornite dal Garante Privacy all’ANAC sullo schema di linee guida in materia di whistleblowing.
L’acquisizione e la successiva gestione delle denunce rappresentano infatti a tutti gli effetti un trattamento di dati personali, anche potenzialmente appartenenti alle categorie particolari meritevoli di maggiore tutela, nell’ipotesi impossibile da escludere che siano contenuti nella segnalazione stessa o nei documenti ad essa allegati condanne penali o reati riferiti a persone fisiche a vario titolo implicate. Significativi in tal senso sono i suggerimenti relativi al rafforzamento delle modalità di accesso ai sistemi di segnalazione quali per esempio l’autenticazione forte a due fattori da prevedersi soprattutto nei contesti rischiosi, l’”accesso selettivo” ai dati delle denunce, da parte dei diversi soggetti, previamente autorizzati al trattamento, dotati di privilegi in linea con le loro mansioni (in merito si ricorda che anche i singoli membri dell’OdV 231 devono essere autorizzati al trattamento). Il Garante Privacy sottolinea inoltre come le linee guida dell’ANAC debbano essere riviste prevedendo l’eliminazione dei riferimenti all’identità del segnalante qualora le esigenze istruttorie richiedano l’intervento di altri uffici e specifica che la piattaforma per la gestione delle denunce non deve essere configurata per inviare messaggi di notifica automatica alla casella di posta elettronica individuale assegnata al dipendente che ha effettuato la segnalazione per evitare l’identificazione dello stesso.
Da ultimo, ma non meno importanti, sono le specifiche relative all’utilizzo di protocolli di comunicazione sicuri di trasporto dei dati, la tracciabilità delle attività relative sia agli accessi che alle operazioni effettuate dai soggetti autorizzati al trattamento e degli Amministratori di Sistema (con specifica esclusione del monitoraggio delle attività del whistleblower), e la previsione della nomina come responsabili esterni delle società informatiche fornitrici dei servizi di whistleblowing o che effettuano manutenzioni hardware e software.
Il nodo privacy
Gli aspetti legati alla sicurezza dei dati, l’adozione di misure di sicurezza tecniche e organizzative adeguate al livello di rischio del trattamento sono trattate diffusamente anche nel recente provvedimento correttivo e sanzionatorio emesso dall’Autorità Garante nei confronti di Università degli studi di Roma “La Sapienza” in cui sono state rilevate gravi criticità proprio in relazione misure tecniche adottate per il controllo degli accessi, per il trasporto e per la conservazione dei dati del sistema informatico di segnalazione adottato dall’Ateneo.
Anche una cittadina ungherese Kecdkemét è stata sanzionata per la violazione della normativa europea sulla protezione dei dati per aver divulgato illecitamente l’identità di un whistleblower a terzi non autorizzati durante un’attività di investigazione scaturita a seguito di una denuncia. In relazione alla sicurezza dei sistemi di whistleblowing in generale risultano determinanti le scelte in merito alla cifratura dei dati sia in transito che a riposo (at rest) per garantire effettivamente l’anonimato digitale del whistleblower che rappresenta, nei casi più rilevanti, una precondizione per stimolare l’effettuazione di denunce di fatti particolarmente gravi. Occorre prediligere soluzioni di crittografia basate su algoritmi pubblici notoriamente forti allo “stato dell’arte” e definire procedure per la corretta gestione delle chiavi di cifratura. Sottoporre le architetture informatiche a periodici test di sicurezza applicativa piuttosto che testare la robustezza dell’infrastruttura informatica sono fondamentali per tenere sotto controllo le misure di sicurezza nel tempo.
Il trattamento dei dati effettuati attraverso canali di comunicazione digitali possono inoltre rientrare nell’obbligo di condurre una valutazione di impatto privacy ai sensi dell’art. 35 del Regolamento UE 2016/679 e devono rispettare i principi di privacy by design e by default a partire della definizione del modello di gestione delle segnalazioni che verrà adottato. Risulta fondamentale in tal senso definire correttamente il form di raccolta delle segnalazioni al fine di poter ottenere informazioni complete e qualificate limitando il trattamento dei dati a ciò che è strettamente necessario, essere in grado di comprovare che i dati siano sufficienti, pertinenti e non eccessivi, evitare la raccolta di dati aggiuntivi, limitare la trasmissione di documenti elettronici contenenti dati personali allo stretto indispensabile, cancellare i dati personali che non sono più utili. Occorre inoltre definire periodi di conservazione dei dati personali in linea con le esigenze di gestione delle segnalazioni eliminando le informazioni identificative al termine del periodo definito.
Requisiti in ambito pubblico e software
In ambito pubblico, ove si intenda avvalersi di fornitori esterni che erogano il servizio in modalità Software as a service (Saas), sono da considerare attentamente le previsioni dell’AGID in materia. Tra i requisiti richiesti ai fornitori vi sono la sicurezza applicativa, l’aderenza a best practices e standard internazionali per la sicurezza delle informazioni nel contesto cloud, la disponibilità di report sugli incidenti di sicurezza, la garanzia di livelli di servizio minimi garantiti, la protezione dei dati e la portabilità in tutte le fasi della fornitura.
In merito ai software di whistleblowing si segnala inoltre un’interessante guida dell’U4 Anti-corruption Resource Centre e Transparency International che evidenzia le principali minacce digitali, fornendo alcune indicazioni sulle possibili soluzioni.
Completando gli aspetti di conformità più strettamente di natura legale si evidenzia la necessità di identificare correttamente le basi giuridiche dei trattamenti che sono effettuati dalle amministrazioni e dagli altri enti privati tenuti all’applicazione della normativa di settore: necessità di adempiere un obbligo legale al quale è soggetto il titolare del trattamento, nonché l’esecuzione di un compito di interesse pubblico contemplato dall’ordinamento (per gli enti e le amministrazioni pubbliche ovviamente).
Inoltre, in relazione alla conservazione della documentazione inerente le segnalazioni, ove si utilizzino sistemi di messaggistica, linee telefoniche oppure si debba verbalizzare il contenuto degli incontri di svolti di persona con il whistleblower potrebbe essere necessario prevedere la raccolta del consenso allorquando si intendano registrare tali dati secondo quanto stabilito dall’articolo 18 della direttiva. Di tali aspetti dovrà poi essere fornita agli interessati idonea informativa in ossequio ai principi di trasparenza al fine di garantire l’esercizio dei diritti degli interessati.
