Whistleblowing*

Decreto Legislativo n. 24/2023

Appunti in materia di novità sul whistleblowing

Focus sugli aspetti di data protection

 

 

In sintesi

• La nuova disciplina si applica indistintamente agli enti pubblici e privati, sempre che, per questi ultimi, sia stata impiegata, nell’ultimo anno, una media di 50 lavoratori dipendenti;

• si applica in ogni caso, per gli enti privati, per alcuni settori (ad es. finanziario, assicurativo, bancario) e per le organizzazioni che hanno adottato un MOGC;

• riguarda violazioni di disposizioni normative nazionali o europee che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato e, quindi, un complesso estremamente vasto di disposizioni;

• le segnalazioni possono essere effettuate non solo da dipendenti ma anche da terzi;

• l’oggetto della tutela è l’identità del segnalante, con conseguente diretta applicabilità di tutte le norme data protection;

• permane qualche perplessità in ordine alla difficile tutela del segnalato;

• è possibile, a certe condizioni, effettuare segnalazioni pubbliche;

• è necessaria una rigorosa formazione del personale dedicato.

 

* Parte del materiale fornito ai partecipanti del Corso dell’OdA Varese il 26/05/2023

 

 

La “231”

Il Decreto Legislativo n. 231/2001 disciplina la responsabilità amministrativa delle persone giuridiche, ossia delle società, degli enti e delle associazioni e opera nel caso della commissione di alcuni specifici reati che siano stati commessi nell’interesse o a vantaggio dell’ente stesso.

La normativa, che nel tempo ha visto arricchirsi il numero e la varietà dei reati in relazione ai quali si applica, mira a contrastare, ad esempio, la commissione di atti corruzione, il riciclaggio di denaro, la frode, i reati ambientali o, ancora, quelli sulla sicurezza sul lavoro, le frodi informatiche.

Prevede che, in caso di commissione di uno di questi illeciti da parte di un soggetto “apicale” o di un soggetto sottoposto alla direzione e vigilanza di quest’ultimo, l’ente possa andare esente da responsabilità dimostrando, sostanzialmente, di avere fatto tutto il possibile per evitare che ciò accadesse.

Tale esenzione da responsabilità si ottiene, più correttamente, dimostrando:

• di avere adottato e attuato un efficace Modello di organizzazione e di controllo;

• di avere affidato ad un organismo di vigilanza (OdV) il compito di vigilare sul e monitorare il, funzionamento e rispetto del Modello, delle procedure e presidi adottati per prevenire il compimento dei reati cc.dd. presupposto;

• che, nello specifico, il Modello sia stato fraudolentemente eluso dall’autore o dagli autori del reato e, infine,

• che l’Organismo di Vigilanza abbia correttamente e diligentemente svolto i propri compiti.

 

 

 

Il whistleblowing

Whistleblower è il nome inglese del dipendente che, dall’interno dell’ente, pubblico o privato al quale appartiene, segnala condotte illecite.

Letteralmente significa il “soffiatore nel fischietto”¹.

Anche se, nella pratica, il “segnalante” viene spesso etichettato in modo poco positivo, la funzione preminente del whistleblower è quella di agire nell’interesse pubblico del corretto svolgimento degli affari ed ha una funzione e un ruolo che è fondamentale siano mantenuti e preservati².

L’obiettivo principale del whistleblowing è quello di promuovere la trasparenza, l’etica e la responsabilità all’interno delle organizzazioni, consentendo alle persone di segnalare comportamenti scorretti o illegali senza timore di ritorsioni.

Nel contesto delineato dalla 231, tesa alla prevenzione dei reati mediante un’adeguata predisposizione di modelli e presidi organizzativi, il segnalante assume un ruolo importante, parte integrante di una cultura aziendale basata sull’integrità e sulla correttezza, delle quali fa parte anche la segnalazione di eventuali illeciti.

Si intuisce, di conseguenza, con immediatezza, la necessità di una tutela del segnalante, prevista, con le nuove disposizioni, ad ampio spettro.

Tutte le aziende dovrebbero dunque adottare politiche o procedure interne per incoraggiare i dipendenti a segnalare comportamenti illeciti o non conformi, garantendo al contempo che le segnalazioni siano gestite in modo confidenziale e senza ritorsioni: un tale approccio può aiutare a individuare e prevenire reati aziendali e al contempo fornire un canale sicuro per i segnalanti.

L’iter italiano

La disciplina italiana conosce l’istituto a partire dal 2012: con la L. 190/2012 (“Legge Severino”) è stata infatti introdotta, per gli enti pubblici, una procedura che ha inserito nella 231 l’art. 54 bis, successivamente modificato dalla Legge n. 179 del 30 novembre 2017.

In base a questa norma, “il pubblico dipendente che, nell’interesse dell’integrità della pubblica amministrazione, segnala al responsabile della prevenzione della corruzione e della trasparenza (RPCT) … o all’Autorità Nazionale Anticorruzione (ANAC), o denuncia all’ autorità giudiziaria ordinaria o a quella contabile, condotte illecite di cui è venuto a conoscenza in ragione del proprio rapporto di lavoro, non può essere sanzionato, demansionato, licenziato, trasferito o sottoposto ad altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro determinata dalla segnalazione”.

Con la L. 179/2017, oltre a rimodellare la disciplina prevista per il settore pubblico, è stata introdotta una specifica normativa anche per il settore privato, rafforzando la tutela offerta al segnalante, in particolare per non lasciarlo “esposto” al rischio di ritorsioni da parte del datore di lavoro, che farebbero venir meno ogni stimolo alle segnalazioni.

E’ stato quindi introdotto il divieto di porre in essere atti discriminatori e ritorsivi contro il segnalante, con la previsione della nullità di tali eventuali reazioni (come il licenziamento ritorsivo o discriminatorio) e, al contempo, prevedendo conseguenze negative per il segnalante in caso di responsabilità penali dello stesso, per calunnia, diffamazione o per reati commessi con la segnalazione o, ancora, per eventuali sue responsabilità civili per dolo o colpa grave.

La direttiva UE 1937/2019. Ambito di applicazione

La Direttiva riguarda “la protezione delle persone che segnalano violazioni del diritto dell’Unione”; ha l’obiettivo di garantire un livello di protezione elevato per coloro che segnalano e punta a creare canali di comunicazione sicuri, che permettano di effettuarle sia all’interno di un’organizzazione, sia all’esterno, verso un’Autorità pubblica o attraverso i mass-media.

La direttiva si applica a violazioni che rientrano in settori, disciplinati dall’UE, quali appalti pubblici, servizi finanziari, sicurezza dei prodotti e dei trasporti, ambiente, salute, alimenti, protezione dei dati, diritti dei consumatori, concorrenza, sicurezza dei sistemi e delle reti, in materia di anticorruzione nonché in materia di violazioni che ledono gli interessi finanziari dell’Unione.

Per quanto riguarda le persone, essa si applica non solo ai dipendenti in senso stretto, ma anche agli autonomi, agli azionisti, ai collaboratori esterni, ai tirocinanti, ai fornitori e subfornitori; è prevista, inoltre, l’applicabilità anche ai cc.dd. “facilitatori”, ossia coloro che aiutano il segnalante, così come a terzi come i familiari e i colleghi del segnalante.

Le posizioni di Confindustria e del Garante della Privacy

Lo schema di Decreto Legge, approvato nel dicembre 2022, è stato esaminato, tra altri, da Confindustria³ e dall’Autorità Garante per la protezione dei dati personali⁴.

Confindustria, in sintesi, oltre al rilievo che sarebbe stato preferibile escludere dall’ambito di applicazione le imprese con meno di 50 dipendenti che si sono dotate di un MOG, teme che potrebbero essere divulgate pubblicamente “mere violazioni” dei Modelli; avrebbe, inoltre, preferito un maggiore bilanciamento tra la necessità di far emergere delle violazioni e i rischi di danni reputazionali all’impresa e alle persone coinvolte in caso di segnalazioni che si rivelassero false o infondate; avrebbe, infine, preferito una specifica disciplina per la “persona coinvolta”.

Il Garante della privacy ha, dal canto suo, espresso parere favorevole rispetto allo schema di decreto avendo viste accolte sue precedenti osservazioni critiche⁵.

Il Decreto legislativo n. 24 del 10 marzo 2023

Al fine di garantire che i soggetti segnalanti siano protetti da ritorsioni e conseguenze negative e per incoraggiare l’utilizzo dello strumento, è stato approvato, come detto, a recepimento della Direttiva UE n. 1937/2019, il D.Lgs. in questione.

Il decreto persegue l’obiettivo di rafforzare la tutela giuridica delle persone che segnalano violazioni di disposizioni normative nazionali o europee, che ledono gli interessi e/o l’integrità dell’ente pubblico o privato cui appartengono e di cui siano venute a conoscenza nello svolgimento dell’attività lavorativa⁶.

Tempistiche per adeguarsi

Per le società a partire da 250 dipendenti le norme entrano in vigore il 15 luglio prossimo.

Per quelle del settore privato con personale da 50 a 249 dipendenti il 17 dicembre 2023.

Le principali novità

 

Oggetto delle segnalazioni

Oltre a tutto ciò che potrebbe essere oggetto di segnalazione in quanto “reato presupposto” ai sensi della 231, e/o determinare una violazione del Modello Organizzativo e di Gestione, la tutela viene estesa ai soggetti che segnalano condotte che costituiscono una violazione della normativa nazionale ed europea (illeciti amministrativi, civili, penali, azioni od omissioni che ledono gli interessi finanziari dell’Unione Europea).

Ne deriva, ed è aspetto estremamente rilevante, che è possibile segnalare le violazioni di qualsiasi disposizione interna o europea che tuteli l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato⁷.

Più in particolare e per precisare quanto sopra, è differente l’ambito oggettivo delle segnalazioni a seconda che si tratti di settore pubblico o privato.

Settore pubblico

Sono protette le segnalazioni relative a violazioni del diritto interno e del diritto europeo.

Settore privato

Deve essere fatta distinzione tra:

• Enti senza Modello e più di 50 dipendenti: possono essere segnalate solo violazioni del Diritto UE,

• Enti con Modello e fino a 49 dipendenti: solo le violazioni del Modello (canle interno)

• Enti con Modello e più di 50 dipendenti: le violazioni Modello e del Diritto UE

E’ in ogni caso immediatamente intuibile la portata che una tale disposizione potrebbe avere in relazione a tutte le disposizioni europee e in senso lato di compliance e quindi, ovviamente, anche di protezione dei dati: il dipendente che ritenga, in buona fede, sussistere una violazione potrà segnalare la circostanza mediante il canale predisposto o, se non predisposto o alla segnalazione non fosse dato il seguito necessario, oppure fosse sottostimata, utilizzare la forma, nuova, della segnalazione pubblica per dare evidenza al fatto.

A chi si applica

 

Soggetti pubblici e privati.

Questi ultimi nel caso abbiano impiegato, nell’ultimo anno, almeno 50 lavoratori subordinati.

Per determinati settori, particolarmente regolamentati in ragione dell’attività svolta, come il settore bancario e finanziario o assicurativo, senza tale limite.

Tale limite è parimenti escluso, infine, per tutti gli enti che abbiano adottato il modello previsto dalla 231.

Soggetti segnalanti

Il whistleblower non è più solamente un lavoratore subordinato, ma possono esserlo anche figure quali tirocinanti, collaboratori, azionisti, figure con mansioni di controllo, facilitatori.

Vale la pena sottolineare che anche liberi professionisti e consulenti, lavoratori o soggetti che operano per i fornitori dell’ente, se pure esterni all’organizzazione, ma in contatto con la stessa, possono effettuare segnalazioni.

Destinatari delle segnalazioni

La gestione del canale di segnalazione deve essere affidata ad un soggetto o ad un ufficio autonomo specificamente dedicato, con personale che abbia ricevuto idonea formazione, oppure ad un soggetto esterno all’ente, parimenti competente e formato al riguardo.

L’aspetto della formazione dell’ufficio preposto alla Struttura di Gestione della Segnalazione è fondamentale: poiché la disciplina prevede che non si debba dare seguito alle segnalazioni manifestamente infondate, il personale dovrà avere adeguata competenza al riguardo, con tutto ciò che ne consegue.

Privacy, protezione dei dati personali e tutela della riservatezza

E’ necessario adottare alcuni principi fondamentali della normativa data protection, come ad esempio quello di minimizzazione dei dati (è imperativo raccogliere esclusivamente i dati necessari e non trattare – ergo cancellare o distruggere immediatamente – i dati non strettamente necessari; deve essere eseguita apposita D.p.i.a.; è previsto espressamente un termine massimo di conservazione dei dati di 5 anni (v., più diffusamente, infra).

L’identità del segnalante e la tutela del segnalato

Un aspetto rilevante della normativa riguarda la previsione per la quale, senza il consenso del segnalante, non è possibile rivelare la sua identità: l’art. 12 prescrive che “l’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il consenso espresso” dello stesso, “a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate…”.

“Nell’ambito del procedimento penale, l’identità della persona segnalante è coperta dal segreto nei modi e nei limiti previsti dall’articolo 329 del codice di procedura penale.”

“Nell’ambito del procedimento disciplinare, l’identità della persona segnalante non può essere rivelata, ove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità.”

Permangono, pertanto, aspetti che portano a ritenere la difesa del segnalato piuttosto ardua, per talune ipotesi.

Tempistiche di gestione

Sono stabiliti termini temporali precisi per inviare una comunicazione di ricezione della segnalazione all’interessato (7 giorni) e di risposta alla stessa (entro tre mesi).

Modalità di effettuazione delle segnalazioni

Sono ammissibili e devono essere consentite modalità scritte, per via informatica o cartacea, ma anche orali, ossia tramite linee telefoniche dedicate, sistemi di messaggistica vocale o mediante incontri diretti.

La disciplina, poi, prevede 3 differenti canali di segnalazione:

• canali interni,

• canali esterni,

• la divulgazione pubblica.

 

I canali interni

Devono predisporre, come indicato sopra, affinché la segnalazione possa essere affrontata efficacemente a livello interno, prima che sia possibile effettuarla esternamente, tali canali, le imprese del settore privato che abbiano impiegati almeno 50 lavoratori.

E’ peraltro previsto che anche gli enti con un numero inferiore prevedano questi canali laddove abbiano impiegato “una media di 50 lavoratori” nell’ultimo anno oppure, anche se con un numero inferiore, rientrino nell’ambito di applicazione della 231, ossia abbiano adottato un Modello di Organizzazione e Gestione ai sensi della stessa.

Tali canali devono:

• prevedere una progettazione e realizzazione tali da garantire la riservatezza dell’identità del segnalante e di eventuali terzi, impedendo l’accesso da parte di personale non autorizzato, eventualmente anche con il ricorso alla crittografia;

• prevedere l’invio di un avviso di ricevimento al segnalante entro 7 giorni dallo stesso;

• provvedere alla designazione una persona o un servizio imparziale, competente a dare seguito alle segnalazioni;

• dare un seguito diligente alla stessa anche per le segnalazioni anonime;

• prevedere un termine ragionevole, non superiore a tre mesi (o, se non è stato dato alcun avviso al segnalante, non superiore a tre mesi e 7 giorni), per il riscontro;

• fornire informazioni chiare e facilmente accessibili (per es. sul sito internet) sulle procedure di WB (ossia come effettuare segnalazioni) esterne verso le autorità competenti.

Tali canali possono essere gestiti dall’ente (persona o servizio designato) oppure messi a disposizione tramite servizi terzi (es. i diversi software e applicativi che il mercato propone), con le medesime garanzie di cui sopra.

I canali esterni

Quando non sia possibile istituire appositi canali interni o non siano obbligatori, una persona può effettuare una segnalazione esterna.

Ciò, in particolare, se:

• non è prevista, nel contesto lavorativo, l’attivazione obbligatoria del canale interno o, anche se obbligatorio, non è attivo oppure, anche se attivato, non è conforme a quanto previsto (per es. mancanze in relazione alle necessarie precauzioni di riservatezza);

• la persona segnalante ha già effettuato una segnalazione interna ma non ha avuto seguito o si è conclusa con un provvedimento finale negativo;

• la persona segnalante ha fondati motivi di ritenere che, se effettuasse una segnalazione interna, alla stessa non sarebbe dato efficace seguito ovvero che la stessa segnalazione possa determinare il rischio di ritorsione;

• la persona segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.

Gli Stati membri sono tenuti a designare le Autorità Competenti a dare, negli stessi termini previsti al paragrafo precedente (avviso di ricevimento, seguito diligente, riscontro finale, ecc.) l’adeguato seguito alle segnalazioni di questo tipo e a trasmettere, ove necessario, le informazioni agli organi competenti per ulteriori indagini.

I canali esterni devono

• essere autonomi e indipendenti,

• garantire la completezza, integrità e riservatezza delle informazioni relative alle segnalazioni, impedendo l’accesso a personale non autorizzato e

• permettere la memorizzazione di informazioni su supporti durevoli, per consentire l’effettuazione di ulteriori indagini.

Per quanto riguarda il personale addetto alle segnalazioni, anch’esso deve essere designato specificamente al fine di:

• fornire a qualsiasi persona interessata informazioni sulle procedure per la segnalazione;

• ricevere le segnalazioni e dare loro seguito;

• mantenere i contatti con la persona segnalante al fine di fornire un riscontro e chiedere ulteriori informazioni, se necessario.

L’Autorità Italiana deputata alla creazione di questa tipologia di segnalazioni è ANAC, l’Autorità Nazionale Anticorruzione⁸.

La divulgazione pubblica

Questa tipologia è prevista laddove:

• l’utilizzo degli altri canali non ha dato esito;

• esiste un rischio di ritorsione ove fossero utilizzati gli altri canali;

• la violazione costituisce pericolo imminente o palese per il pubblico interesse.

 

Il ruolo e le attività di Anac

Anac, in relazione all’attivazione del canale esterno (artt. da 7 a 10 del D.Lgs. 24), è tenuta a:

• designare personale specifico e formarlo per la gestione del canale;

• avvisare il segnalante del ricevimento della segnalazione entro 7 giorni salva diversa richiesta dello stesso o l’Autorità ritenga che l’avviso pregiudicherebbe la protezione della riservatezza del segnalante;

• mantenere i rapporti con il segnalante ed eventualmente chiedere integrazioni;

• dare seguito diligente alle segnalazioni;

• svolgere l’istruttoria;

• dare riscontro al segnalante entro 3 mesi o, eventualmente, per giustificate ragioni, entro sei mesi;

• comunicare al segnalante l’esito finale (archiviazione, trasmissione all’autorità competente). L’Autorità è parimenti tenuta a:

• pubblicare sul proprio sito una sezione dedicata, facilmente comprensibile, con tutte le informazioni necessarie e indicazione delle misure di sicurezza adottate;

• relazionare la Commissione europea annualmente sul numero e la tipologia di segnalazioni gestite;

• svolge, anche, una funzione di controllo sui canali di segnalazione interni, in quanto coloro che ritenessero di aver subito ritorsioni nel contesto lavorativo a seguito di segnalazioni potranno comunicarlo all’Autorità che, di conseguenza, avrà facoltà di eseguire accertamenti;

• infine, un ulteriore potere dell’Autorità è quello di irrogare sanzioni pecuniarie ad esito dell’accertamento della mancata istituzione di idonei canali interni di segnalazione; di commissione di atti ritorsivi; di mancate effettuazione delle dovute attività di verifica e controllo successive alla ricezione di una segnalazione.

 

 

Le misure di protezione previste per il segnalante

Il Decreto 24/2023 prevede tre tipologie di misure dedicate alla protezione del segnalante, dei facilitatori e di altri soggetti (soggetti collegati al segnalante che potrebbero subire ritorsioni, come colleghi o parenti nonché degli enti giuridici di cui i segnalanti fanno parte).

Si tratta, in particolare e fermo restando che il segnalante, i cui motivi sono del tutto irrilevanti, debba essere in buona fede, ossia che al momento della segnalazione abbia fondato motivo di ritenere che l’informazione che sta per veicolare sia vera e pertinente:

• del divieto di ritorsione (art. 17);

• della limitazione di responsabilità (art. 20);

• delle misure di riservatezza (art. 12).

 

Gli atti ritorsivi

Il segnalante è protetto contro qualsiasi comportamento, azione od omissione, anche solo tentata o minacciata, posta in essere in ragione della segnalazione, della denuncia, della divulgazione pubblica e che provochi o possa provocare al medesimo, direttamente o meno, un danno ingiusto.

Costituiscono, ad esempio, atti ritorsivi (v. Art. 17):

1. il licenziamento, la sospensione o misure equivalenti;

2. la retrocessione di grado o la mancata promozione;

3. il mutamento di funzioni, il cambiamento del luogo di lavoro, la riduzione dello stipendio, la modifica dell’orario di lavoro;

4. la sospensione della formazione o qualsiasi restrizione dell’accesso alla stessa;

5. le note di merito negative o le referenze negative;

6. l’adozione di misure disciplinari o di altra sanzione, anche pecuniaria;

7. la coercizione, l’intimidazione, le molestie o l’ostracismo;

8. la discriminazione o comunque il trattamento sfavorevole;

9. la mancata conversione di un contratto di lavoro a termine in un contratto di lavoro a tempo indeterminato, laddove il lavoratore avesse una legittima aspettativa a detta conversione;

10. il mancato rinnovo o la risoluzione anticipata di un contratto di lavoro a termine;

11. i danni, anche alla reputazione della persona, in particolare sui social media, o i pregiudizi economici o finanziari, comprese la perdita di opportunità economiche e la perdita di redditi;

12. l’inserimento in elenchi impropri sulla base di un accordo settoriale o industriale formale o informale, che può comportare l’impossibilità per la persona di trovare un’occupazione nel settore o nell’industria in futuro;

13. la conclusione anticipata o l’annullamento del contratto di fornitura di beni o servizi;

14. l’annullamento di una licenza o di un permesso;

15. la richiesta di sottoposizione ad accertamenti psichiatrici o medici.

 

Conseguenze

Gli atti ritorsivi sono nulli; il lavoratore licenziato a causa di una segnalazione ha diritto alla reintegrazione nel posto di lavoro; le rinunce e le transazioni che hanno ad oggetto diritti e tutele previste dal decreto non sono valide, salvo che siano effettuate in sede protetta (art. 2113, comma 4 c.c.).

In caso di controversie, giudiziali o stragiudiziali, aventi ad oggetto un presunto comportamento ritorsivo, si presume che esso sia stato posto in essere a causa della segnalazione o della denuncia: l’onere della prova contraria è in capo all’ente che abbia messo in atto il comportamento.

Parimenti, in caso di richiesta di risarcimento del danno subito a causa di una segnalazione o di una denuncia, il danno è presunto⁹.

Comunicazione degli atti ritorsivi in ambito pubblico e privato

E’ prevista una ulteriore tutela, data dalla possibilità, in ambito pubblico verso Anac e in ambito privato nei confronti dell’Ispettorato Nazionale del Lavoro, di comunicare di aver subito un atto ritorsivo.

Limitazione della responsabilità

E’ espressamente prevista un’esenzione da responsabilità di natura penale, civile o amministrativa per coloro che, in buona fede:

• rivelino informazioni su violazioni coperte dall’obbligo di segreto, relative alla tutela del diritto d’autore o alla protezione dei dati personali;

• rivelino informazioni su violazioni che offendono la reputazione della persona segnalata;

• se sussistono fondati motivi per ritenere che la rivelazione o diffusione delle stesse informazioni fosse necessaria per svelare la violazione.

Le stesse esenzioni sono previste per coloro che ricevono tali segnalazioni.

Esclusione della limitazione della responsabilità e conseguenze

Vale la pena sottolineare che, peraltro, le misure protettive non si applicano laddove sia accertata, anche in primo grado, la responsabilità penale del segnalante per calunnia o diffamazione o, in sede civile, una responsabilità per dolo o colpa grave.

In questo caso, al contrario, è prevista l’irrogazione di una sanzione disciplinare nei confronti del segnalante.

Misure di sostegno

Per quanto riguarda, infine, il terzo aspetto delle misure di protezione, oltre al divieto di ritorsione e alla limitazione della responsabilità viene disposto che le società forniscano informazioni, assistenza e consulenza a titolo gratuito sulle modalità di segnalazione e sulla protezione dalle ritorsioni, sui diritti della persona coinvolta, nonché sulle modalità e condizioni di accesso al patrocinio a spese dello Stato.

Whistleblowing e aspetti data protection

Il D.Lgs. 24 del 2023 dedica un lungo articolo al “trattamento dei dati personali” che, ovviamente, in ciascuna fase, processo o vicenda, deve essere improntato al rispetto delle norme vigenti¹⁰. I rimandi alla normativa privacy sono peraltro presenti anche in altre disposizioni (v. infra).

Minimizzazione

Il primo e più importante principio ricordato dal Decreto 24 è quello di minimizzazione, previsto dal Gdpr all’interno dell’articolo che riguarda ogni tipologia di trattamento, ossia l’art. 5: i dati personali che, manifestamente, non sono utili al trattamento di una specifica segnalazione, non devono essere raccolti o, se accidentalmente raccolti, devono essere immediatamente cancellati.

La prima e più importante disposizione in materia di privacy è dunque quella che stabilisce che i dati che, manifestamente, non sono utili alla trattazione di una specifica segnalazione, non devono essere raccolti, nemmeno parzialmente.

Se l’inutilità diviene manifesta dopo la raccolta, devono essere cancellati o distrutti senza ritardi.

Ne deriva, dal punto di vista della c.d. “privacy by design”, che i sistemi, le procedure, i modelli, i formulari, i form (siano essi cartacei o elettronici, siano essi gestiti dall’ente o affidati ad un soggetto esterno), devono essere “costruiti” pensando alla minimizzazione, per fare in modo che non siano raccolti dati non necessari.

Altrettanto, come visto, dovranno essere implementate procedure e modalità per l’immediata cancellazione delle informazioni non strettamente utili alla trattazione (come visto: manifestamente non utili).

Le limitazioni ai diritti privacy

Come noto il Gdpr prevede, soprattutto negli articoli da 15 a 22, una lunga serie di diritti fondamentali, valevoli per ogni interessato.

Il Decreto Whistleblowing, ma anche il Codice Privacy, all’art. 2, undecies, lett. f), stabiliscono alcune limitazioni a tali diritti: lo scopo, con tutta evidenza, è quello di evitare che il segnalante possa essere identificato o l’istruttoria vanificata, per il tramite di una richiesta di accesso, rettifica, cancellazione, limitazione o di opposizione al trattamento.

In altre parole, sono previste misure che prevedono che il titolare cui siano inviate richieste di esercizio dei diritti che potrebbero recare pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante, possa gestirle (l’ente direttamente oppure il Garante, cfr. art. 2, undecies, comma 3, C. Privacy), mediante un ritardo nei tempi di risposta, una limitazione del trattamento in risposta o una vera e propria esclusione del riscontro stesso o, infine, in caso di esercizio per il tramite del Garante, con una risposta diretta di quest’ultimo.

Il titolare, in questi specifici casi, è tenuto a informare l’interessato che abbia avanzato la richiesta. E’ quindi necessario (art. 13, comma 4, del DEcreto 24) che nelle informative privacy redatte per le procedure di segnalazione “whistleblowing”, siano chiaramente indicate queste ipotesi.

Le ipotesi di contitolarità nel trattamento di dati personali

Allorché, sia in ambito pubblico sia in ambito privato, vi sia condivisione di risorse per il ricevimento e la gestione delle segnalazioni, è necessario stipulare uno specifico accordo ai sensi dell’art. 26 del Gpdr.

Questo articolo, come noto, disciplina i casi in cui due o più titolari abbiano in comune una o più finalità del trattamento. L’accordo deve regolare le rispettive responsabilità in relazione all’osservanza degli obblighi privacy e prevedere specifiche modalità per la resa dell’informativa agli interessati e l’esercizio dei diritti, così come l’eventuale presenza di un unico punto di contatto per gli interessati¹¹.

Le misure di sicurezza del Sistema di Gestione delle Segnalazioni

Gli enti sono tenuti a individuare e, soprattutto, mettere in atto, in relazione ai sistemi per la gestione delle segnalazioni, misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati.

Ciò significa, come visto anche in precedenza, che è necessario “pensare” al Sistema di gestione anche in un’ottica che è tipica della protezione dei dati e, di conseguenza, con un’ottica non solo by default ma anche by design: i sistemi e le procedure di segnalazione devono essere pensate e costruite con riferimento alle norme data protection, sin dalla predisposizione dei moduli per la redazione delle segnalazioni o della presentazione delle stesse online.

Una ulteriore conseguenza dell’applicazione di tali principi, a maggior ragione valida laddove il sistema sia gestito con software e applicativi terzi, è la necessità, prevista specificamente dal comma 6 dell’art. 13 del Decreto, di effettuare una valutazione di impatto ai sensi dell’art. 35 del Gdpr, giacché si tratta, nel caso del whistleblowing, di un trattamento di dati personali che può presentare un rischio elevato per i diritti e le libertà personali del segnalante¹².

Non va, inoltre, dimenticata la necessità di adeguatamente contrattualizzare il rapporto con il fornitore cui siano affidate una o più operazioni di trattamento¹³.

La DPIA

La valutazione di impatto richiesta dalla predisposizione di un sistema di gestione delle segnalazioni whistleblowing deve, sulla base delle disposizioni del decreto in esame, essere relativa a tutto il processo di gestione:

• l’art. 12, infatti, prescrive il rispetto del principio di finalità, per il quale le segnalazioni non possono essere utilizzate per altro scopo che non sia quello di dare seguito alle stesse;

• il medesimo articolo prevede la necessaria riservatezza dell’identità del segnalante, che non deve essere riconoscibile né direttamente né indirettamente, salvo suo specifico consenso;

• ancora l’art. 12 prescrive che solo persone debitamente formate e autorizzate possano conoscere l’identità del segnalante (riservatezza);

• l’art. 4 prevede specifiche misure per garantire, in relazione ai canali di segnalazione, ancora una volta, la riservatezza del segnalante, da attuarsi anche per il tramite di comunicazioni crittografate (sicurezza del trattamento);

• l’art. 13 prescrive il divieto di trattamento dei dati manifestamente inutili alla gestione e trattazione della segnalazione (minimizzazione);

• l’art. 14 prescrive un chiaro termine per la conservazione delle segnalazioni, fissandolo in quello strettamente necessario alla gestione delle stesse e, in ogni caso, fissando un termine massimo pari a 5 anni dall’esito finale della procedura (principi di minimizzazione, pertinenza, adeguatezza e di limitazione della conservazione).

E’ quindi evidente come la finalità di tutto il processo sia quella di tutelare la vulnerabilità del soggetto segnalante, esposto al rischio di ritorsioni.

Ulteriore conferma si trae dal granitico orientamento delle autorità garanti e delle corti in merito alla posizione di “debolezza” del lavoratore rispetto al datore di lavoro e alla posizione di soggezione che egli riveste in ambito lavorativo, come più volte ribadito in diversi provvedimenti¹⁴.

Andranno dunque valutate, nel processo Dpia, l’adeguatezza delle misure tecniche e organizzative adottate per assicurare il rispetto dei principi sopra ricordati, facendo preferibilmente uso di tecniche di crittografia in ogni stadio del procedimento, senza dimenticare, come opportunamente osservato dagli esperti, che le misure atte a garantire riservatezza, integrità e disponibilità delle informazioni dovranno essere accompagnate anche da opportune verifiche per testare e valutare regolarmente l’efficacia dei sistemi adottati, ai sensi dell’art. 32, 1. lett. d) del Gdpr.

Come impostare la procedura in azienda

Per le aziende private era prevista¹⁵:

• la creazione di uno o più canali di informazione (dei quali almeno uno “informatico);

• il divieto di atti ritorsivi nei confronti del segnalante e di relative sanzioni;

• che la denuncia di tali atti fosse indirizzata all’Ispettorato del Lavoro;

• la previsione della nullità dell’eventuale licenziamento.

Le nuove disposizioni modificano l’art. 6 della 231 prevedono la creazione di un canale interno di segnalazione, il divieto di ritorsione e il sistema disciplinare con applicabilità, per quanto riguarda:

• le aziende con oltre 250 dipendenti a partire dal 15 luglio 2023 e, per quanto riguarda

• le aziende sino a 249 dipendenti, a partire dal 17 dicembre 2023.

Ne consegue che l’Organismo di Vigilanza, ossia l’organo destinato al monitoraggio del regolare funzionamento e dell’osservanza del Modello 231 deve istituire il canale interno di segnalazione di cui al Decreto 24 e coordinare le proprie attività con l’ufficio interno che il medesimo decreto prevede come necessario per la gestione delle segnalazioni.

Procedura di segnalazione

Dovrà, poi, essere creata una procedura di gestione delle segnalazioni.

E’ necessario decidere chi gestirà tale procedure, se sarà gestita da un ufficio interno (come ad esempio la compliance, l’internal audit, l’anticorruzione, oppure l’OdV, il Collegio Sindacale, ecc.) oppure se la procedura sia da gestire esternamente, magari da una struttura esterna in caso di gruppo, oppure da un soggetto terzo; si tratterà, dunque, di individuarlo adeguatamente.

Rilevante anche la qualificazione data protection di tale ufficio – struttura che, aderendo al parere del G.P. del 2020 sulla qualificazione soggettiva dell’OdV¹⁶, dovrebbe inquadrarsi anch’esso come “parte dell’ente”.

Invio delle segnalazioni

Dovrà essere possibile inviare le segnalazioni:

• per via cartacea e, di conseguenze, per posta tradizionale, ad uno specifico indirizzo (con indicazione di comunicazione “Riservata”);

• con modalità elettroniche, anche qui ad uno specifico indirizzo email, esterno al dominio della società, gestito dalla Struttura di Gestione della Segnalazione, oppure ad un indirizzo pec, anch’esso gestito dalla SGS; oppure ancora verso una piattaforma informatica esterna, con comunicazione, alert, avviso SGS.

• creando una linea telefonica dedicata, con possibilità, previo consenso del segnalante, di registrare la chiamata, successivamente inviata – gestita dalla Struttura;

• per il tramite di una piattaforma o sistema di messaggistica vocale, con le medesime possibilità appena viste;

• per il tramite di un incontro diretto con la Struttura, che verbalizzerà le dichiarazioni.

La procedura dovrà, necessariamente, specificare le modalità mediante le quali viene assicurata la riservatezza delle stesse, del segnalante, del segnalato, dell’eventuale facilitatore e di tutti i soggetti coinvolti.

Possibili sanzioni

Ulteriore aspetto della Procedura sarà quello di curare e specificare il sistema sanzionatorio previsto per l’ente, in relazione ai seguenti aspetti:

• sanzioni per il segnalato, in caso di segnalazione veritiera;

• per la Struttura, in caso di omissioni o cattiva gestione delle segnalazioni;

• per l’Ente, laddove abbia posto in essere comportamenti ritorsivi o discriminatori;

• per il segnalante stesso, laddove fossero accertate sue responsabilità (diffamazione, calunnia, ecc.).

 

Ulteriori aspetti da considerare

Ancora, vale la pena segnalare l’importanza di prevedere specifiche ipotesi:

• di eventuali conflitti di interessi dovessero palesarsi in capo alle persone che faranno parte della Struttura di Gestione, affinché il processo possa dirsi esente da pecche;

• come gestire le segnalazioni anonime;

• come svolgere le indagini e valutare la segnalazione;

• come documentare gli esiti;

• come gestire le risultanze e quali canali utilizzare per la comunicazione dell’esito finale.

• In relazione alla conservazione della documentazione è previsto un termine massimo di 5 anni dalla comunicazione dell’esito finale.

 

Prevedere la formazione

Sarà necessario prevedere appositi percorsi di formazione che tengano conto delle specificità della Struttura di gestione della segnalazione, che dovrà necessariamente possedere conoscenze e competenze relative sia al “sistema” 231 sia al whistleblowing.

Inutile precisare che i lavoratori, dipendenti e collaboratori, dovranno essere messi al corrente della possibilità di segnalare eventuali illeciti nonché delle modalità con le quali farlo.

Una checklist privacy

Tenendo presenti alcuni recenti provvedimenti sanzionatori dell’Autorità Garante in tema di gestione delle procedure di whistleblowing e in considerazione delle recenti novità legislative, proviamo a indicare qui di seguito una possibile checklist di adempimenti privacy.

• Effettuare una adeguata Dpia su tutto il processo

• Aggiornare il Registro delle attività di trattamento

• Predisporre una adeguata procedura per il Sistema di Gestione delle Segnalazioni che, sin dalla progettazione, tenga conto dei principi di minimizzazione, riservatezza, integrità e disponibilità, possibilmente con utilizzo di crittografia in ogni stadio;

• Definire documenti processi, ruoli, autorizzazioni, istruzioni, formazione, indicazioni sulle flussi di dati, tempistiche di retention;

• In caso di affidamento a canale esterno della gestione, valutare e documentare la scelta dell’ufficio o del fornitore e, in questo caso, adeguatamente impostare le istruzioni generali sul rispetto dei principi necessari alla creazione ma anche alla successiva gestione del Sistema, a maggior ragione se su piattaforma (con conseguenti necessità di definizione degli accessi, delle autenticazioni, preferibilmente forti (MFA), delle autorizzazioni, della crittografia, dei canali di trasmissione;

• In caso di contitolarità definire opportunamente il contenuto dell’accordo ex art. 16 Gdpr;

• Predisporre adeguata informativa per tutto il processo;

• RIvedere le Informative per i lavoratori in relazione alle novità normative;

• Definire canali per l’esercizio dei diritti.

 

Postilla

Merita segnalare che a luglio del 2021 ISO, l’Organizzazione Internazionale per la Standardizzazione, ha emesso la norma 37002:2021: Whistleblowing management system¹⁷”, che costituisce un riferimento importante e internazionale per l’implementazione, la gestione, la valutazione, il mantenimento, il miglioramento di un sistema per gestire il whistleblowing all’interno di una organizzazione.

24 maggio 2023

@credits: pixabay.com