l'analisi

Whistleblowing: cosa cambia per le aziende, i nodi della nuova legge

Il Decreto attuativo che implementa la Direttiva (UE) 2019/1937 sul whistleblowing fornisce molte indicazioni su come trattare dati personali tramite un canale di segnalazione e non si tratta solo dei dati inerenti alla persona segnalata. Non sempre, però, le disposizioni sono di immediata realizzazione

Pubblicato il 05 Mag 2023

Fabia Cairoli

Data and Privacy, Legal Counsel

Benedetta Merlini

Dentons Europe Studio Legale Tributario

Il whistleblowing si prepara alle sfide della Direttiva UE

Si modifica il whistleblowing con un più ampio ambito di applicazione e una disciplina stringente sulla riservatezza. La tutela della privacy, che parte da un adeguato sistema digitale di segnalazione, è in capo al datore di lavoro e all’impresa, e in questo ambito vi è ancora maggiore attenzione alle condotte ritorsive.

Whistleblowing e tutela dei dati personali, cosa dice la nuova normativa

Cosa dice la legge

La pubblicazione del Decreto Legislativo 10 marzo 2023, n. 24 (che implementa la Direttiva (UE) 2019/1937) costituisce il tassello mancante al potersi procedere con l’implementazione di sistemi di segnalazione in presenza di condotte contrarie alla normativa. In particolare, il Decreto attuativo si riferisce a soggetti pubblici e privati, aggiornando la normativa sinora in vigore, tra cui il Decreto Legislativo 8 giugno 2001, n. 231.

A seconda della tipologia di soggetti, il Decreto diversifica gli obblighi delle imprese, le violazioni che è possibile segnalare e i differenti canali di segnalazione (canale interno, canale esterno, divulgazione vera e propria e la denuncia all’autorità). A partire dal 15 luglio 2023, le disposizioni del Decreto attuativo produrranno effetto per tutte le imprese, ad eccezione di quelle aventi fino 249 lavoratori, per cui l’obbligo di istituzione di un canale di segnalazione interna è posticipato al 17 dicembre 2023.
Sull’iter di implementazione della Direttiva (UE) 2019/1937 da parte di altri Paesi dell’Unione Europea.

Implementazione del whistleblowing: 5 previsioni chiave

Tra i principali elementi di novità per le segnalazioni si nota:

  • l’estensione dell’ambito di applicazione,
  • una disciplina più stringente sulla riservatezza dei segnalanti,
  • la dettagliata individuazione delle condotte ritorsive,
  • la previsione della possibilità di rivolgersi all’Autorità Nazionale Anticorruzione (nota come “ANAC”) e
  • la previsione di sanzioni disciplinari.

In particolare, il Decreto riguarderà i datori di lavoro che (a) nell’ultimo anno hanno impiegato una media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato, e che, in caso contrario, (b) rientrano tra i soggetti obbligati al rispetto della normativa in materia di mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo, oppure (c) che rientrano nell’ambito di applicazione del D. lgs. 231/2001 e hanno adottato i modelli di organizzazione e gestione ivi previsti.

Sui datori di lavoro grava il compito di garantire la riservatezza del segnalante (il cd whistleblower), per tutelarne l’identità. In linea di principio, l’identità del segnalante e qualsiasi altra informazione da cui essa può direttamente o indirettamente evincersi, non possono essere rivelate a persone diverse da quelle competenti a ricevere le segnalazioni, se non dietro consenso espresso del segnalante stesso.

Le condotte che costituiscono ritorsione – e sono conseguentemente sanzionabili dall’ANACsono ampiamente esemplificate, ricomprendendo come tali, ad esempio, (i) il licenziamento, la sospensione o altre misure equivalenti, (ii) la retrocessione di grado o la mancata promozione, (iii) l’adozione di misure disciplinari o di altre sanzioni, anche pecuniarie, (iv) il mutamento di funzioni, il cambiamento del luogo di lavoro, la riduzione dello stipendio, la modifica dell’orario di lavoro, (v) la sospensione o restrizione di accesso alla formazione, (vi) la coercizione, l’intimidazione, le molestie o l’ostracismo, (vii) eventuali referenze o note di merito negative.

L’onere di provare che tali condotte ritorsive sono motivate da ragioni estranee alla segnalazione è a carico del datore di lavoro; in ogni caso, coloro che subiscono ritorsioni hanno la possibilità di rivolgersi all’ANAC che, qualora il soggetto appartenga al settore privato, provvede ad informare l’Ispettorato nazionale del lavoro.

L’ANAC ha poi facoltà di applicare una sanzione amministrativa pecuniaria da 10.000 a 50.000 euro nei confronti di coloro che hanno messo in atto condotte ritorsive. Sono inoltre previste ulteriori sanzioni, rispettivamente da 10.000 a 50.000 euro e da 500 a 2.500 euro, nel caso in cui non siano stati istituiti canali o non siano state adottate procedure per effettuare, gestire e analizzare le segnalazioni e laddove si accerti la responsabilità penale del segnalante per i reati di diffamazione o di calunnia.

Il trattamento dei dati personali al centro dell’attenzione del legislatore

Il Decreto attuativo fornisce molte indicazioni su come trattare dati personali tramite un canale di segnalazione e non si tratta solo dei dati inerenti alla persona segnalata. Non sempre, però, le disposizioni sono di immediata realizzazione.

I riferimenti più facilmente comprensibili sono quelli che si limitano a rilevare l’esistenza di requisiti già previsti dalla normativa privacy:

  • la minimizzazione nel trattamento, evitando di raccogliere dati non strettamente necessari;
  • la trasparenza circa la gestione dei dati raccolti, riflessa nel noto documento di informativa;
  • le istruzioni al personale che tratterà i dati personali; e
  • la redazione di una valutazione di impatto.

Oltre a ciò, le imprese sono tenute a rispettare ulteriori adempimenti della normativa privacy, in particolare devono:

  • essere in grado di dimostrare che i trattamenti effettuati siano ad essa conformi nel rispetto del principio di accountability;
  • disciplinare mediante accordo per il trattamento dei dati personali (altresì conosciuto come DPA) il rapporto giuridico con il responsabile dei dati;
  • trattare dati sensibili o giudiziari solo in presenza di chiare condizioni di liceità;
  • documentare gli eventuali trasferimenti dei dati personali;
  • aggiornare il registro delle attività di trattamento laddove adottato; e
  • implementare una policy per la gestione degli incidenti di sicurezza in ordine ai dati personali.

Le disposizioni che sollevano dubbi

Oltre a tali disposizioni, ve ne sono alcune che sollevano non pochi dubbi.

In primis, non è chiaro quanto concerne la contitolarità del trattamento nella gestione della segnalazione: ad esempio, ci si chiede se essa sussista quando un’impresa fornisce la piattaforma a diversi enti del gruppo, laddove i dati siano segregati e non vi sia alcuna compartecipazione nella gestione delle segnalazioni.

In secondo luogo, potrebbe essere opportuno per le imprese aggiornare la policy di gestione delle richieste di esercizio dei diritti degli interessati – potenzialmente limitabili ai fini di tutela del whistleblower – tenendo conto della nuova formulazione dell’art. 2-undecies, lett. f) del Codice per la protezione dei dati personali, a cui il Decreto dà forma.

In terzo luogo, solleva alcuni dubbi l’adozione di un’idonea base giuridica per il trattamento: verosimilmente, si tratterà della base normativa, che, tuttavia, potrà essere utilizzata unicamente per le segnalazioni che rientrano nell’ambito di applicazione della normativa applicabile; pertanto, il titolare, laddove ritenesse utile la gestione di segnalazioni di altra natura da parte dell’impresa, dovrà considerare anche l’ulteriore base giuridica del legittimo interesse per trattare i dati personali ad esse relativi.

Inoltre, sulla scia di quanto affermato dal Gruppo di Lavoro Articolo 29 nel Parere 1/2006, ci si domanda se le imprese dovrebbero prevedere un’informativa privacy ad hoc da consegnare a fronte di una segnalazione, che contenga le seguenti informazioni:

  • la società responsabile del canale di segnalazione;
  • i fatti che costituiscono oggetto della segnalazione;
  • i dipartimenti ed i terzi che potrebbero venire a conoscenza del procedimento perché coinvolti nelle investigazioni;
  • la modalità di esercizio dei diritti degli interessati, salvo che vi sia il rischio di danneggiare il canale e la segnalazione e le investigazioni.

L’adempimento pare superato laddove l’informativa sia stata già resa ma, certamente, si potrebbe sostenere che vi siano informazioni non note al momento dell’istituzione del canale di segnalazione.

Per una maggiore completezza della procedura di gestione delle segnalazioni, il datore di lavoro potrebbe considerare, se del caso, di delineare un modello base di informativa integrativa, per le informazioni che sopravvengono nel corso del rapporto di lavoro, ricevute per il tramite di un soggetto diverso dall’interessato (essenzialmente soddisfacendo il requisito di cui all’art. 14 GDPR).

Conclusioni

Infine, per quanto riguarda il periodo di conservazione della documentazione relativa alle segnalazioni, che non deve oltrepassare cinque anni dall’avvenuta gestione della procedura, il Decreto pare suggerire che le imprese adottino un periodo di tempo inferiore, sempre a seconda delle valutazioni condotte caso per caso. A questo riguardo, lo stesso Parere 1/2006 del Gruppo di Lavoro prevedeva che i dati personali trattati da un sistema di whistleblowing dovessero essere cancellati entro due mesi dal completamento dell’indagine sui fatti denunciati nella segnalazione, oppure senza ritardo se la segnalazione risultasse infondata. Sarà interessante valutare le diverse casistiche che potrebbero presentarsi.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Avvocato civilista, la cassetta degli attrezzi digitali: cosa serve a uno studio legale