normativa

Whistleblowing e tutela dei dati personali, cosa dice la nuova normativa

L’approvazione del decreto legislativo che recepisce la direttiva UE sul whistleblowing comporta implicazioni sul piano della tutela dei dati personali sia di chi segnala i presunti illeciti, sia delle persone segnalate che di eventuali terzi coinvolti nel processo

Pubblicato il 17 Mar 2023

Diego Fulco

Partner netforLegaL, Direttore Scientifico Istituto Italiano per la privacy e la valorizzazione dei dati

Whistleblowing, canale di segnalazione illeciti e tutele per chi segnala

Tutti gli Stati membri dell’Unione europea avrebbero dovuto recepire entro il 17 dicembre 2021 la direttiva (UE) 2019/1937 riguardante la protezione degli informatori (whistleblower), cioè di coloro che segnalano a enti per cui lavorano o con cui collaborano violazioni del diritto compiute da terzi (i cosiddetti segnalati). L’Italia ha attuato la direttiva con notevole ritardo, attraverso il decreto legislativo 24/2023, pubblicato sulla Gazzetta Ufficiale del 15 marzo 2023. In base all’art. 24 del decreto, per gli enti pubblici e per una parte dei soggetti del settore privato che ne sono destinatari le nuove norme produranno effetto a decorrere dal 15 luglio 2023. Per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a duecentoquarantanove, l’obbligo di istituzione del canale di segnalazione interna avrà effetto a decorrere dal 17 dicembre 2023.

Dopo una rapida lettura delle principali novità introdotte nel nostro ordinamento dal decreto, ci soffermeremo sulle implicazioni – tutt’altro che banali – dell’architettura di whistleblowing che viene introdotta con la protezione dei dati personali dei whistleblower, dei segnalati e di eventuali terze persone coinvolte.

Whistleblowing, c’è la legge: tutto ciò che aziende e PA devono fare per adeguarsi

Whistleblowing, come avviene la tutela di chi segnala

La direttiva (UE) 2019/1937 parte dal presupposto che i whistleblowers svolgono un ruolo importantissimo nella denuncia e nella prevenzione di violazioni di norme e nella salvaguardia del benessere della società. Obiettivo del legislatore è che contrastare condotte che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato e aumentare il grado di osservanza delle norme giuridiche in settori in cui le violazioni possono arrecare un grave pregiudizio al pubblico interesse (fra cui gli appalti pubblici, la lotta contro le frodi e la corruzione, la tutela dell’ambiente, i servizi finanziari, la sicurezza dei prodotti, i trasporti, gli alimenti, le reti e i sistemi informativi e la stessa protezione dei dati personali).

Per ottenere questo risultato, la direttiva impone agli Stati membri di obbligare un’ampia platea di soggetti pubblici e privati a mettere a disposizione dei potenziali whistleblower canali di segnalazione efficaci, riservati e sicuri e a proteggere i whistleblower da eventuali ritorsioni. Per i lavoratori, l’esigenza di protezione deriva dalla loro vulnerabilità economica nei confronti del soggetto da cui dipendono, di fatto, per il lavoro. Il decreto legislativo 24/2023 stabilisce che il licenziamento conseguente alla segnalazione, alla denuncia all’autorità giudiziaria o contabile o alla divulgazione pubblica effettuate ai sensi del decreto è nullo.

La medesima necessità di impedire ritorsioni vale per i lavoratori con contratti atipici, compresi i lavoratori a tempo parziale e i lavoratori con contratti a tempo determinato e tutte le persone che hanno un contratto di lavoro o un rapporto di lavoro con un’agenzia interinale. Un tema di protezione si pone anche per i lavoratori indipendenti, i contraenti, i subappaltatori e i fornitori: anche costoro, quando segnalano presunti illeciti, sono esposti a ritorsioni come la risoluzione o l’annullamento del contratto di servizi, della licenza o del permesso, la perdita di opportunità commerciali, la perdita di reddito, forme varie di coercizione, intimidazioni o vessazione, l’inserimento nelle liste nere, il boicottaggio o danni alla reputazione.

Whistleblowing, a chi si rivolge la nuova normativa

In sé, il whistleblowing non è una novità nel nostro ordinamento. Esso è già operante per il settore pubblico in virtù del decreto legislativo 165/2001. Inoltre, è stato previsto per il settore privato dal decreto legislativo 231/2001 in materia di prevenzione dei crimini d’impresa e dala legge 179/2017 in materia di anti-riciclaggio. Gli elementi innovativi del decreto legislativo 24/2023 sono:

  • l’estensione della platea dei destinatari degli obblighi;
  • l’estensione delle condotte potenzialmente illecite ritenute meritevoli di segnalazione:
  • l’integrazione del classico canale di segnalazione (interno agli enti) con un canale di segnalazione esterno affidato all’Autorità anti-corruzione (ANAC) che permette un’escalation laddove necessario;
  • il rafforzamento della tutela dei whistleblowers con norme e garanzie volte ad evitare che siano scoraggiati dal segnalare per paura delle conseguenze o che, qualora abbiano segnalato violazioni, siano penalizzati.

Sono destinatari degli obblighi derivanti dal decreto tutti gli enti del settore pubblico. Fra i soggetti del settore privato, lo sono quelli che hanno impiegato, nell’ultimo anno, la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato, quelli che rientrano nell’ambito di applicazione delle normative europee indicate dalla direttiva (UE) 2019/1937 come rilevanti (anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati), quelli che adottano modelli di organizzazione, gestione e controllo ai sensi del decreto legislativo 231/2001 (anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati).

Potranno essere segnalate tanto violazioni già perpetrate, quanto violazioni non ancora commesse, ma che molto verosimilmente potrebbero esserlo, quanto ancora atti od omissioni che il whistleblower abbia fondato motivo di ritenere violazioni, nonché tentativi di nascondere violazioni.

Whistleblowing, i canali per le segnalazioni

I whistleblowers avranno a disposizione due canali: la segnalazione interna all’ente (naturalmente, se questo è fra i soggetti destinatari del decreto) e la segnalazione esterna all’Autorità nazionale anticorruzione (ANAC). Ai fini dell’attivazione del canale di segnalazione interna, gli enti devono sentire le rappresentanze o le organizzazioni sindacali. La segnalazione dovrà poter essere effettuata per iscritto o a voce (ad esempio a un numero telefonico dedicato), a seconda di come il whistleblower preferisce.

In aggiunta (e questo costituisce un’assoluta novità), per i whistleblowers è introdotta la possibilità di fare una segnalazione all’ANAC se nello specifico contesto lavorativo l’attivazione del canale di segnalazione interna non è obbligatoria o se il canale non è attivo o non è stato congegnato nel rispetto dei requisiti normativi; se il whistleblower ha già fatto una segnalazione interna, ma la stessa non ha avuto seguito o si è conclusa con un provvedimento finale negativo; se il whistleblower ha fondato motivo di ritenere che, se effettuasse una segnalazione interna, alla stessa non sarebbe dato efficace seguito (ad esempio nel caso in cui sia coinvolto nella violazione il responsabile ultimo del suo contesto lavorativo) ovvero che la stessa segnalazione possa determinare il rischio di ritorsione; se il whistleblower ha fondato motivo di ritenere che la violazione segnalata possa costituire un pericolo imminente o palese per il pubblico interesse. Entro tre mesi dalla data di entrata in vigore del decreto, l’ANAC, sentito il Garante privacy, adotterà linee guida relative alle procedure per la presentazione e la gestione delle segnalazioni esterne. L’ANAC ha l’obbligo di trasmettere eventuali segnalazioni relative a violazioni esulanti dalle proprie attribuzioni alle competenti autorità, amministrative o giurisdizionali.

Il decreto legislativo 24/2023 mira a proteggere i whistleblowers sia dalle ritorsioni dirette – quelle rivolte direttamente a loro, come ad esempio il licenziamento, il mobbing, la calunnia, ecc. -, sia dalle ritorsioni indirette – quelle destinate a persone fisiche o giuridiche diverse dai whistleblowers, come ad esempio le persone operanti all’interno del medesimo contesto lavorativo che assistono i whistleblowers nel processo di segnalazione (i cosiddetti “facilitatori”), quelle contro i loro colleghi di lavoro o i loro parenti che sono in una relazione di lavoro con il loro datore di lavoro o il loro cliente o destinatario dei servizi, quelle verso enti di cui il whistleblower è proprietario, per cui lavora o a cui è altrimenti connesso in un contesto lavorativo, come l’annullamento della fornitura di servizi, l’inserimento in una lista nera o il boicottaggio -.

Whistleblowing in Italia, come avviene la protezione dell’identità

Il legislatore italiano ha preferito evitare le segnalazioni totalmente anonime, optando piuttosto per un sistema dove è protetta la riservatezza dell’identità sia del whistleblower, sia della persona segnalata, sia di qualsiasi altra persona comunque menzionata nella segnalazione, nonché la riservatezza del contenuto della segnalazione e della relativa documentazione. Ciò, anche tramite il ricorso a strumenti di crittografia.

Le persone designate dagli enti a ricevere o a dare seguito alle segnalazioni, nella misura in cui sono espressamente autorizzate dagli enti a trattare tali dati personali, potranno conoscere l’identità del whistleblower senza bisogno di un espresso consenso di quest’ultima. Viceversa, l’identità della persona segnalante e qualsiasi altra informazione da cui possa evincersi tale identità (direttamente o indirettamente) potranno essere rivelate a persone diverse da quelle designate dagli enti a ricevere o a dare seguito alle segnalazioni solo dietro consenso espresso del whistleblower (debitamente informatone).

Whistleblowing, perché si rischia di finire dalla padella alla brace: tutti i nodi della nuova normativa

L’identità delle persone coinvolte e delle persone menzionate nella segnalazione dovrà essere tutelata sia dagli enti pubblici e privati destinatari delle nuove norme sia dall’ANAC – fino alla conclusione dei procedimenti avviati in ragione della segnalazione – nel rispetto delle medesime garanzie previste in favore della persona segnalante. Nel procedimento disciplinare, l’identità della persona segnalante non potrà essere rivelata laddove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione (anche se conseguenti alla stessa). La segnalazione potrà essere usata ai fini di un procedimento disciplinare nei confronti della persona segnalata solo se:

  • tale procedimento sia fondato, in tutto o in parte, sulla segnalazione;
  • la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato;
  • la persona segnalante, dopo aver ricevuto una comunicazione scritta delle ragioni della rivelazione, abbia dato il consenso alla rivelazione della propria identità.

Segnalazioni e trattamento dei dati

Il decreto legislativo 24/2023 individua in modo chiaro ruoli e responsabilità per i trattamenti connessi alla gestione delle segnalazioni, risolvendo i dubbi interpretativi scaturiti dal parere reso dal Garante privacy all’AODV il 12 maggio 2020 sulla qualificazione soggettiva ai fini privacy dell’Organismo di Vigilanza eventualmente designato da enti ai sensi del decreto legislativo 231/2001.

In quel parere, il Garante aveva chiarito che il ruolo naturale dei componenti dell’Organismo di Vigilanza è di persone autorizzate dall’ente per il quale svolgono le loro funzioni; tuttavia, aveva menzionato i soli trattamenti svolti nell’attività di vigilanza, senza menzionare i trattamenti derivanti da segnalazioni. Probabilmente ciò era dipeso dal fatto che la precedente cornice normativa non permetteva un’indicazione certa. L’art. 13 del decreto legislativo chiarisce che i trattamenti di dati personali relativi al ricevimento e gestione delle segnalazioni sono svolti dagli enti destinatari della normativa in qualità di Titolari. Il Garante, nel suo parere sullo schema di decreto dell’11 gennaio 2023, ha riconosciuto come corretta quest’individuazione dei ruoli dei soggetti coinvolti.

Perché è necessaria la DPIA

L’art. 13 ribadisce ciò che era già desumibile dal GDPR e dal provvedimento del Garante dell’11 novembre 2018 sui casi in cui è necessaria la Valutazione d’impatto (DPIA) ai sensi dell’art. 35 del GDPR. Nel mettere a punto il proprio modello di ricevimento e gestione delle segnalazioni interne, gli enti pubblici e privati destinatari delle nuove norme devono condurre una DPIA volta ad analizzare i rischi a carico di tutte le fugure coinvolte (whistleblowers, persone segnalate, terzi) e adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato alla probabilità e alla gravità dei rischi individuati.

Inoltre, gli enti tenuti a creare canali di segnalazione devono disciplinare il rapporto con eventuali fornitori di servizi che trattano dati personali per loro conto (quali, ad esempio, fornitori della piattaforma informatica adottata come canale per la ricezione e gestione delle segnalazioni, ove incaricati dell’amministrazione del sistema) con un data processing agreement ai sensi dell’art. 28 del GDPR. Ancora: i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, devono essere cancellati immediatamente.

L’esercizio dei diritti degli interessati

I diritti degli interessati (specialmente quelli delle persone segnalate) possono essere esercitati nei limiti di quanto previsto dall’articolo 2-undecies del codice privacy, che ne determina la sospensione qualora da essi possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del dipendente che segnala l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio. Resta fermo, ai sensi del codice privacy, che:

  • l’esercizio dei medesimi diritti può essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato (a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti dell’interessato);
  • i diritti dell’interessato possono essere esercitati anche tramite il Garante.

La conservazione delle segnalazioni

La conservazione delle segnalazioni interne ed esterne e della relativa documentazione può protrarsi per il tempo necessario alla loro definizione e, comunque, per non più di cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza e del principio di limitazione della conservazione definito dal GDPR. Secondo il Garante, questo termine massimo di conservazione della documentazione della segnalazione è compatibile con la durata media del termine prescrizionale dei principali illeciti suscettibili di verificarsi.

In teoria, le segnalazioni potrebbero trovare un freno proprio nel timore del potenziale whistleblowers di violare la normativa a protezione dei dati personali. Per evitare che ciò accada, i whistleblowers vengono autorizzati a divulgare (ad es. fornendole ai media, o pubblicandole sui canali social) informazioni anche personali riferite ai segnalati o a terzi oggetto della segnalazione quando:

  • hanno previamente effettuato una segnalazione interna ed esterna, ma non hanno ricevuto riscontro nei termini;
  • hanno fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse;
  • hanno fondato motivo di ritenere che la segnalazione esterna possa comportare il rischio di ritorsioni o possa non avere efficace seguito in ragione delle specifiche circostanze del caso concreto.

Inoltre, qualora fondino le loro segnalazioni su trattamenti di dati personali ai quali non erano autorizzati (ad esempio apertura di una mail indirizzata a un terzo con cui non hanno rapporti, ma loro recapitata per un errore di digitazione di un collega), i whistleblowers sono esonerati da responsabilità purché non abbiano commesso un vero e proprio reato di trattamento illecito di dati personali. Cosa, quest’ultima, che, ai sensi dell’art. 167 del codice privacy, può avvenire solo in presenza: a) del dolo specifico della persona segnalante (fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, perseguito violando specifiche norme, quali quelle sul trattamento dei dati sensibili e dei dati giudiziari), b) del nocumento all’interessato.

Dati personali e presunte infrazioni da segnalare

C’è un aspetto apparentemente secondario che potrebbe rivelarsi rilevante nella concreta applicazione della nuova normativa. La protezione dei dati personali è fra le materie in cui le violazioni possono arrecare un grave pregiudizio al pubblico interesse. Potranno esserci segnalazioni interne, o addirittura esterne (all’ANAC), di presunte infrazioni della normativa a protezione dei dati personali. È, questo, un terreno su cui l’applicazione concreta delle nuove norme potrebbe riservare sorprese, specialmentee nel settore privato.

Veniamo da anni di forte sensibilizzazione di vaste platee aziendali sui principi e sugli adempimenti che i Titolari dovrebbero rispettare. Sono stati anni in cui molti, nei contesti aziendali più vari, si sono interrogati sulla correttezza di trattamenti loro affidati o di cui erano a conoscenza, senza però trasformare le loro riserve o le loro inquietudini in una segnalazione all’eventuale DPO (non veicolabile proteggendo la propria identità) o in una segnalazione all’Organismo di Vigilanza (tradizionalmente percepito come organo competente soprattutto su condotte configurabili come reati-presupposto di responsabilità amministrativa d’impresa). Se questa nuova generazione acculturata e critica sui temi privacydeciderà di riversare eventuali sospetti di non conformità attraverso i canali di segnalazione, avremo nuove, inedite sfide della compliance.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • intelligenza artificiale

    IA: alleata o problema per la sostenibilità? Strategie per un’innovazione responsabile

    22 Apr 2024

    di Riccardo Petricca

    Condividi

  • intelligenza artificiale

    #OpenAIF: colmare il gap formativo ai tempi dell IA

    19 Gen 2024

    di Beatrice Lomaglio e Vivaldo Moscatelli

    Condividi

Prossimo

IA: alleata o problema per la sostenibilità? Strategie per un’innovazione responsabile

Articolo 1 di 3