Chi lavora per un’azienda o per un ente pubblico è spesso il primo a venire a conoscenza di eventuali illeciti commessi all’interno della propria organizzazione e si trova quindi in una posizione privilegiata per poter informare coloro che sono in grado di risolvere il problema, sia all’interno che all’esterno dell’organizzazione. Per questo motivo in numerosi ordinamenti sono state introdotte normative che prevedono l’adozione da parte di aziende ed enti pubblici di sistemi interni di segnalazione di presunti illeciti (cosiddetto whistleblowing) (ad esempio, il Sarbanes-Oxley Corporate Reform Act negli Stati Uniti ed il Public Interest Disclosure Act in Gran Bretagna).
Il Garante italiano ha recentemente fornito alcuni limitati chiarimenti sul whistleblowing nel settore pubblico nel proprio parere sulle linee guida dell’Autorità nazionale anticorruzione (ANAC). Tuttavia, rimangono aperti svariati interrogativi, come verrà illustrato qui di seguito.
Il whistleblowing in Italia
In Italia, l’istituto giuridico del whistleblowing è stato introdotto per la prima volta in ambito pubblico nel 2012. A partire dal 2017 sono state poi introdotte specifiche misure a tutela dei c.d. whistleblower nel settore privato, modificando la normativa sulla responsabilità amministrativa delle persone giuridiche (c.d. Legge 231). Tale regolamentazione del whistleblowing è stata adottata dal legislatore italiano anche su insistenza del Garante della Privacy, il quale aveva riscontrato come l’incertezza normativa sussistente in materia inasprisse le criticità che il fenomeno in questione comporta in rapporto alla normativa sulla protezione dei dati personali. La gestione delle segnalazioni di condotte illecite attraverso sistemi di whistleblowing dà infatti luogo a “trattamenti” di dati personali; deve quindi rispettare gli obblighi imposti dalla normativa sulla privacy (oggi costituita in primis dal GDPR).
In passato, le difficoltà riscontrate nel conciliare l’adozione di sistemi di whistleblowing con il rispetto degli obblighi imposti dalla normativa sulla protezione dei dati personali sono state affrontate anche dall’Article 29 Working Party il quale ha fornito indicazioni su come adottare sistemi di whistleblowing conformi alla Direttiva 95/46/CE (oggi sostituita dal GDPR). Tali indicazioni rimangono in parte rilevanti anche dopo l’entrata in vigore del GDPR. Tuttavia, ad oggi, non esistono linee guida dettagliate che affrontino in maniera esaustiva il tema del whistleblowing in rapporto al GDPR, ad eccezione delle linee guida adottate dalle autorità di controllo tedesche.
Presupposti di liceità del trattamento/base giuridica
Il primo profilo problematico attiene ai presupposti di liceità del trattamento che verrebbe attuato mediante l’adozione di sistemi di whistleblowing. Come è noto, ciascun trattamento di dati personali deve trovare fondamento in una base giuridica. È evidente che nel caso del whistleblowing quest’ultima non può identificarsi nel consenso dei soggetti “segnalati”. Pertanto, le alternative possibili sono sostanzialmente le seguenti: l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento, l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, ovvero il perseguimento di un legittimo interesse del titolare del trattamento o di terzi.
In Italia, le prime due basi giuridiche sono principalmente rilevanti in ambito pubblico, visto che le pubbliche amministrazioni sono tenute per legge a adottare sistemi di whistleblowing. Il Garante pare essere dello stesso avviso, dato che ha chiarito nel proprio parere sulle linee guida ANAC che “i trattamenti di dati personali effettuati dalle amministrazioni e dagli altri enti tenuti all’applicazione della normativa di settore sono necessari per adempiere un obbligo legale al quale è soggetto il titolare del trattamento, (artt. 6, par. 1, lett. c), 9, par. 2, lett. b), e 10 del Regolamento in relazione all’art. 54-bis, cit.), nonché per l’esecuzione di un compito di interesse pubblico contemplato dall’ordinamento (artt. 6, par. 1, lett. e), e 9, par. 2, lett. g), del Regolamento)”.
Per contro, nel settore privato non sussiste alcun obbligo specifico di istituire sistemi di whistleblowing. Non pare quindi possibile sostenersi che il trattamento di una segnalazione effettuata tramite un sistema di whistleblowing eventualmente adottato da un soggetto privato possa avvenire per la necessità di adempiere ad un obbligo legale.
Tuttavia, ai sensi della normativa vigente, l’adozione di un sistema di whistleblowing è uno degli elementi che consente alle aziende private di limitare la propria responsabilità amministrativa per i reati commessi nel loro interesse o a loro vantaggio dai propri dipendenti. Ciò parrebbe costituire un “interesse legittimo” del titolare, quantomeno rispetto al trattamento di segnalazioni relative a condotte illecite che costituiscono reati presupposto ai sensi della Legge 231. Ne deriva che, in ambito privato, la base giuridica applicabile potrebbe essere il perseguimento di un interesse legittimo del titolare, come hanno peraltro sostenuto le autorità di controllo tedesche nelle linee guida sopra citate.
Ambito oggettivo di applicazione dei sistemi di segnalazione
Un ulteriore profilo problematico riguarda l’ambito oggettivo di applicazione dei sistemi di segnalazione adottati, ovvero il tipo di condotte illecite che è possibile segnalare attraverso un sistema di whistleblowing. Ciò in quanto la normativa di settore, sia nel settore pubblico che in quello privato, circoscrive l’ambito di applicazione dei sistemi di segnalazione ad alcuni illeciti specificamente elencati. Non è chiaro quindi se sia possibile istituire volontariamente sistemi di whistleblowing che consentano di segnalare illeciti ulteriori rispetto a quelli elencanti dalla normativa di settore, quali molestie, mobbing o violazioni della normativa sulla privacy. A tale proposito, si noti che l’assenza di una specifica copertura normativa in relazione ad uno specifico illecito da segnalare potrebbe rendere più difficile identificare una base giuridica appropriata, anche in termini di legittimo interesse. Sul punto, il Garante parrebbe incline a preferire un’interpretazione restrittiva, dato che nel suo parere sulle linee guida ANAC ha sottolineato come “la gestione di segnalazioni riferite anche a circostanze generiche riconducibili ad una fase antecedente all’eventuale commissione di possibili illeciti, rischia di comportare trattamenti di dati personali non pienamente riconducibili all’ambito di trattamento previsto dalla disciplina di settore”.
Valutazione d’impatto sulla protezione dei dati (DPIA)
Pur non avendo il Garante espressamente incluso la gestione di segnalazioni di presunti illeciti nella lista di trattamenti ritenuti ad alto rischio e soggetti al requisito di una valutazione d’impatto sulla protezione dei dati (DPIA), è bene ribadire come tale elenco non sia esaustivo e in pratica sia spesso necessario effettuare un valutazione d’impatto prima di istituire un nuovo sistema di segnalazione. Tanto è vero che le autorità di controllo francese e tedesca hanno incluso i sistemi di whistleblowing tra i trattamenti ad alto rischio per cui è necessario effettuare una DPIA.
Rispetto dei principi applicabili al trattamento di dati personali
Come già detto, qualsiasi trattamento di dati personali tramite sistemi di segnalazione di illeciti dovrebbe avvenire conformemente al GDPR. È pero necessario prestare particolare ai principi relativi al trattamento dei dati personali definiti all’articolo 5 del Regolamento, e al principio della privacy by design e by default stabilito all’articolo 25 del regolamento. La traduzione di tali principi in misure concrete non è cosa facile. Tuttavia, può essere utile trarre ispirazione dalle misure tecniche ed organizzative individuate dalle linee guida dell’ANAC – di fatto avallate dal Garante. Ad esempio, le linee guida in questione invitano l’ente che adotta un sistema di segnalazione di illeciti ad “aver cura, fin dalla fase di ricezione della segnalazione, di calibrare la tutela della riservatezza accordata al segnalante con quella del segnalato al fine di proteggere entrambi dai rischi cui in concreto tali soggetti sono esposti, avendo particolare riguardo a tale aspetto nella fase di inoltro della segnalazione a terzi”.
Obblighi di informativa
Gli obblighi di informativa previsti dal GDPR impongono al titolare di informare gli interessati in maniera chiara e completa sull’esistenza, le finalità ed il funzionamento del sistema di segnalazione, i destinatari delle segnalazioni ed i diritti esercitabili dai soggetti “segnalati”. Non è chiaro quale sia il livello di dettaglio richiesto, ma è interessante notare come l’informativa relativa al sistema di segnalazione istituito dal Garante stesso sia alquanto stringata.
Esercizio del diritto di accesso, rettifica e cancellazione da parte dell’interessato
Ai sensi dell’articolo 2-undecies del Codice della Privacy, l’esercizio del diritto di accesso, rettifica e cancellazione da parte degli interessati (inclusi i soggetti segnalati) può essere limitato qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalate. Tuttavia, il Garante ha chiarito nel proprio parere sulle linee guida ANAC come “al soggetto segnalato, presunto autore dell’illecito, non è, preclusa in termini assoluti la possibilità di esercitare i diritti previsti dagli artt. da 15 a 22 del Regolamento (UE) 2016/679. L’art. 2-undecies del Codice, infatti, stabilisce al suo comma 3, in relazione alle specifiche limitazioni ai diritti dell’interessato dallo stesso previste al comma 1 proprio con riferimento all’istituto del whistleblowing, che in tale ipotesi i diritti in questione possono essere esercitate per il tramite del Garante”.
Gli scenari futuri alla luce della Direttiva sulla protezione dei whistleblower
Il quadro normativo finora descritto potrebbe in parte mutare con l’attuazione da parte dell’Italia della Direttiva Ue 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione. La Direttiva in questione dovrà essere recepita entro il 17 dicembre 2021, e obbliga tutti gli Stati membri ad introdurre nei propri ordinamenti specifiche misure a protezione delle persone che segnalano violazioni di specifiche norme di derivazione comunitaria (come ad esempio le norme sui medicinali). È quindi legittimo aspettarsi un ampliamento delle categorie di illeciti coperte dall’ambito di applicazione oggettivo delle norme italiane sul whistleblowing. Il recepimento della direttiva potrebbe essere anche una buona occasione per ripensare in maniera critica alla normativa nazionale in materia di whistleblowing, e per risolvere in via normativa alcune delle criticità riscontrate.
A questo proposito è bene ribadire come la direttiva non pregiudichi il potere degli Stati membri di estendere la protezione prevista dal diritto nazionale relativamente a settori o atti non contemplati nella direttiva stessa, e che gli Stati membri possono introdurre o mantenere disposizioni più favorevoli ai diritti delle persone segnalanti di quelle previste dalla direttiva. Pertanto, l’Italia, così come gli altri Stati membri, godrà di ampi margini di manovra nel recepire la direttiva, potendo ad esempio aggiungere categorie di illeciti segnalabili.
