Estende e rafforza le tutele per chi segnala illeciti la direttiva europea sul whistleblowing che gli Stati dovranno recepire a partire da dicembre 2021. Al centro la difesa della privacy e della data protection. Il quadro complessivo e l’impatto che le nuove norme avranno su tutte le realtà lavorative: dagli impieghi pubblici a quelli privati fino al mondo dei free lance.
Whistleblowing, normativa sovranazionale
La Direttiva (UE) 2019/1937 del Parlamento Europeo e del Consiglio emanata il 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione, si pone lo scopo di “rafforzare l’applicazione del diritto e delle politiche dell’Unione…” “…stabilendo norme minime comuni volte a garantire un elevato livello di protezione delle persone che segnalano violazioni del diritto dell’Unione” (Art. 1 Scopo).
Dai contenuti della Direttiva traspaiono due tipi di obiettivi: uno implicito, relativo alla promozione di un aggiornamento delle normative nazionali, l’altro, maggiormente evidente, è quello di guidare gli enti nel processo di applicazione di misure tecniche volte a garantire un elevato livello di protezione dei soggetti segnalanti. La Direttiva, altresì, risponde all’esigenza di fornire ai segnalatori (whistleblowers) una tutela sovranazionale uniforme e armonizzata introducendo principi comuni.
La Direttiva Europea in esame ha un campo di applicazione nazionale molto esteso rispetto all’attuale normativa. Questo perché l’articolo 4, comma 1, recita testualmente: “La presente Direttiva si applica alle persone segnalanti che lavorano nel settore privato o pubblico…”. Tale comma asserisce, quindi, che le tutele espresse dalla Direttiva dovranno essere garantite anche ai lavoratori dipendenti, ai lavoratori autonomi, ai freelance, ai consulenti, agli appaltatori, nonché ai fornitori ed anche volontari, tirocinanti e richiedenti lavoro. La protezione dovrà essere estesa anche ai membri della famiglia e ai colleghi degli informatori, con l’unico limite che il soggetto giuridico deve avere almeno 50 dipendenti.
Fulcro della nostra analisi è l’articolo 16 (Obbligo di riservatezza) della Direttiva, che sancisce: “Gli Stati membri provvedono affinché l’identità della persona segnalante non sia divulgata, senza il suo consenso esplicito, a nessuno che non faccia parte del personale autorizzato competente a ricevere o a dare seguito alle segnalazioni. Altrettanto vale per qualsiasi altra informazione da cui si possa dedurre direttamente o indirettamente l’identità della persona segnalante”.
Dati identificativi del whistleblower
Quanto sopra enunciato nell’articolo 16 si ricollega con il delicato tema delle segnalazioni anonime. Quando si ha a che fare con casi di corruzione (o presunta corruzione) i soggetti che ne sono venuti a conoscenza sono spesso reticenti a segnalare eventi di questo tipo, soprattutto per timore di eventuali ritorsioni. Per prevenire nocumenti nei confronti del whistleblower i soggetti giuridici dovranno porre in essere tutta una serie di garanzie che possano tutelarli. Tali garanzie dovranno concretizzarsi in processi di segnalazione interni ed esterni (articoli 8 e 11 della Direttiva UE) che possano garantire l’anonimato del whistleblower in tutte le sue fasi, sino all’eventuale processo innanzi all’autorità giudiziaria. È chiaro che nel momento in cui la segnalazione dovesse portare a un vero e proprio processo, i dati identificativi del whistleblower dovranno essere comunicati all’autorità giudiziaria competente nell’osservanza di esplicite norme di legge. Questo però non esime il soggetto giuridico dal dover tutelare tali dati fino al verificarsi o meno del processo.
È evidente come la criticità di maggiore rilevanza stia nel trovare un equilibrio tra il combinare la tutela e la riservatezza del segnalatore con la necessità di comunicare dati identificati, o riferiti a quest’ultimo, nell’osservanza di un obbligo “necessario” e “proporzionato”, “imposto dal diritto dell’Unione o nazionale” (articolo 16, comma 2). Se la faccenda, da un punto di vista dottrinale, trova una soluzione logica e lineare, non è altrettanto logico come questi dati debbano essere trattati in un’ottica di tutela della privacy e della data protection del whistleblower.
Le tutele di cui la Direttiva UE parla vengono ulteriormente ampliate dalle disposizioni degli articoli 19 (Divieto di ritorsione) e 20 (Misure di sostegno) della stessa. Il primo dei due articoli asserisce alla responsabilità degli Stati di porre in essere le “misure necessarie” affinché il whistleblower non incorra in minacce o in tentativi di ritorsione. Le misure asserite nell’articolo 19, però, non sono intese in ottica “esterna” al soggetto giuridico ma bensì “interna”. Ossia sono volte e tutelare il soggetto segnalante da nocumenti che potrebbe provenire dallo stesso soggetto giuridico a cui il whistleblower ha presentato la segnalazione.
Se il rischio arriva dall’interno dell’azienda
Tra questi vi sono, infatti: il divieto di licenziamento, di retrocessione di grado, di sospensione della formazione, di coercizione e di discriminazione. L’articolo 20, invece, provvede a fornire una serie di supporti al segnalatore, come il fornire informazioni e offrire consulenze gratuite e facilmente accessibili, nonché il patrocinio gratuito a carico dello Stato.
La direttiva, quindi, pone l’attenzione non solo sulle conseguenze che il segnalatore potrebbe subire una volta che i suoi dati siano stati pubblicati (perché necessari per il processo) ma sottolinea come il segnalatore può essere “colpito” anche dallo stesso soggetto giuridico a cui ha comunicato la segnalazione. Quindi, alla luce di quanto sopra esposto, è evidente come la delicatezza delle segnalazioni sia una tematica molto complessa e che l’organo legislativo italiano non mancherà di recepire le disposizioni della Direttiva UE.
Il disposto degli articoli 19 e 20 asserisce che sono “gli Stati”, ovviamente, a dover garantire tali tutele, ma dovendo contestualizzare queste ultime all’interno delle realtà imprenditoriali private è lecito aspettarsi un forte coinvolgimento delle imprese (in qualità di soggetti attivi) per tutelare i dipendenti all’interno delle loro strutture.
Al fine di garantire la tutela dei segnalatori, i soggetti giuridici (infatti) saranno obbligati a strutturare (come accennato in precedenza) procedure di gestione interna ed esterna che riescano a garantire la segretezza e la confidenzialità delle segnalazioni e del loro contenuto e a darne “relativo seguito” (articoli 9 e 13 della Direttiva).
Le procedure corrette da seguire
Queste procedure, da un punto di vista interno, si concretizzano in una serie di azioni che devono essere strutturate in modo da tutelare il whistleblower in tutte le fasi del processo di segnalazione al fine di:
- Garantire la segregazione delle informazioni comunicate
- Identificare ruoli e responsabilità dei soggetti coinvolti nei processi di segnalazione
- Effettuare controlli sugli accessi
- Garantire la sicurezza delle informazioni
Più nel dettaglio, i soggetti giuridici dovranno:
- Creare software per effettuare le segnalazioni tramite moduli online (proprietari o di outsourcer)
- Avere a disposizione archivi (cartacei o digitali) per conservare le segnalazioni e la relativa documentazione
- Individuare e incaricare appositi dipendenti affinché gestiscano le segnalazioni e diano supporto ai whistleblower
- Assicurarsi che solo i soggetti autorizzati possano accedere ai dati contenuti nelle segnalazioni
- Garantire la data protection dei dati personali del whistleblower e di terze parti nominate nella segnalazione
- Svolgere corsi di formazione interna sui rischi e sulle best practice in tema di gestione delle segnalazioni per i dipendenti incaricati
- Formare e istruire i dipendenti quali potenziali segnalatori
- Istaurazione di canali di comunicazione dedicati (verbale e non) sia interni che esterni
- Testare l’efficacia e la sicurezza delle procedure di segnalazione interne ed esterne
- Utilizzare tecniche di criptazione
- Porre in essere processi di risk assessment
Le sopracitate attività devono essere applicate sia per i processi di segnalazione interni, sia per quelli esterni. Questo lascia supporre che le singole persone giuridiche potranno strutturare tali processi in base alle rispettive caratteristiche e disponibilità, ma è altrettanto vero che sarà necessario un intervento a livello nazionale per creare uno o più sistemi che mettano in contatto i singoli soggetti giuridici con gli enti pubblici competenti.
In base a quanto sopra esposto è evidente che la Direttiva in analisi avrà un effetto significativo sulle imprese e il relativo personale. Questa infatti si applicherà a tutte le realtà lavorative dello Stato, a prescindere dalla loro area di attività e dalle dimensioni. Tutte queste attività si concretizzeranno in costi da dover affrontare.
Il tempo per conformarsi c’è, dato che la Direttiva dovrà trovare applicazione in tutti gli Stati membri entro il 17 dicembre del 2021. Tale termine potrà slittare al 17 dicembre del 2023 per i soggetti giuridici con più di 50 dipendenti e meno di 250, secondo quanto previsto dall’art. 26, Recepimento e periodo transitorio.