Direttiva whistleblowing: pubblicato in Gazzetta Ufficiale il d.lgs. 24/2023

Obiettivi e ambito di applicazione della nuova normativa

Con il d.lgs. 24/2023, l'Italia ha recepito la direttiva (UE) 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione europea. Lo fa con più di un anno di ritardo rispetto al termine del 17 dicembre 2021 previsto – per larga parte delle sue prescrizioni - dall'art. 26 della direttiva. Tuttavia, ne estende l'ambito di applicazione alle segnalazioni di violazioni di disposizioni normative non solo dell'Unione europea, ma anche nazionali, che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell'ente privato. L'impostazione dell'Unione europea è così riassumibile: gli «informatori - whistleblowers» svolgono un ruolo decisivo nella denuncia e nella prevenzione di violazioni di norme e nella salvaguardia del benessere della società. L'introduzione di canali di segnalazione efficaci, riservati e sicuri e la garanzia di una protezione efficace dalle ritorsioni sono un modo per favorire l'applicazione della legge in settori come gli appalti pubblici, la lotta contro le frodi e la corruzione, la tutela dell'ambiente, i servizi finanziari, la sicurezza dei prodotti, i trasporti, gli alimenti, le reti e i sistemi informativi e la protezione dei dati personali. I « whistleblowers» non devono essere scoraggiati dal segnalare violazioni.

Enti destinatari delle nuove norme

Il d.lgs. 24/2023 indica una lunga serie di soggetti tenuti ad attivare canali di segnalazione interna, allargando la platea degli attuali destinatari dell'obbligo di permettere il whistleblowing individuabile in base alle norme in vigore (per il settore pubblico, il d.lgs. 165/2001, per il settore privato, il d.lgs. 231/2001 e la l. 179/2017). Di fatto, tutti gli enti del settore pubblico rientrano nel perimetro del decreto legislativo. Fra i soggetti del settore privato, saranno tenuti all'applicazione delle norme quelli che hanno impiegato, nell'ultimo anno, la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato, quelli che rientrano nell'ambito di applicazione delle normative europee indicate dalla direttiva come rilevanti (anche se nell'ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati), quelli che adottano modelli di organizzazione, gestione e controllo ai sensi del d.lgs. 231/2001 (anche se nell'ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati). Per gli enti pubblici e per una parte dei soggetti del settore privato che ne sono destinatari le nuove norme produranno effetto dal 15 luglio 2023. Per i soggetti del settore privato che hanno impiegato, nell'ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a duecentoquarantanove, l'obbligo di istituzione del canale di segnalazione interna avrà effetto dal 17 dicembre 2023.

Violazioni segnalabili

Potranno essere oggetto di segnalazione tanto violazioni già commesse, quanto violazioni non ancora commesse, ma che molto verosimilmente potrebbero esserlo, atti od omissioni che la persona segnalante abbia fondato motivo di ritenere violazioni, nonché tentativi di nascondere violazioni. Mentre finora il whistleblowing è stato un sistema di segnalazioni interne, grazie alla nuova disciplina gli «informatori - whistleblowers» avranno a disposizione due canali: la classica segnalazione interna all’organizzazione con cui a vario titolo collaborano oppure la segnalazione esterna all’Autorità nazionale anticorruzione (ANAC).

La segnalazione interna ed esterna

La segnalazione interna, rivolta all'organizzazione con cui a vario titolo si collabora, costituisce il primo step cui gli «informatori - whistleblowers» devono potere ricorrere. I canali di segnalazione devono essere attivati sentite le rappresentanze o le organizzazioni sindacali. La gestione della segnalazione consiste in passaggi procedurali che vanno dall'avviso di ricevimento al riscontro, previsti nel dettaglio dalla norma.

La segnalazione esterna, rivolta all'ANAC, potrà avvenire se nello specifico contesto lavorativo l'attivazione del canale di segnalazione interna non è obbligatoria o se il canale non è attivo o non è conforme ai requisiti normativi; se la persona segnalante ha già fatto una segnalazione interna, ma la stessa non ha avuto seguito o si è conclusa con un provvedimento finale negativo; se la persona segnalante ha fondato motivo di ritenere che, se effettuasse una segnalazione interna, alla stessa non sarebbe dato efficace seguito (ad esempio nel caso in cui il responsabile ultimo nel contesto lavorativo sia coinvolto nella violazione) ovvero che la stessa segnalazione possa determinare il rischio di ritorsione; se la persona segnalante ha fondato motivo di ritenere che la violazione segnalata possa costituire un pericolo imminente o palese per il pubblico interesse. Entro tre mesi dalla data di entrata in vigore del decreto, l'ANAC, sentito il Garante privacy, adotterà linee guida relative alle procedure per la presentazione e la gestione delle segnalazioni esterne. L'ANAC ha l'obbligo di trasmettere eventuali segnalazioni relative a violazioni esulanti dalle proprie attribuzioni alle competenti autorità, amministrative o giurisdizionali.

Ritorsioni che la nuova disciplina vuole impedire

Le nuove norme mirano a proteggere gli «informatori - whistleblowers» non solo dalle ritorsioni dirette (rivolte a loro), ma anche da quelle indirette, come quelle contro i facilitatori (persone operanti all’interno del medesimo contesto lavorativo che li assistono nel processo di segnalazione) contro i loro colleghi di lavoro o i loro parenti che sono in una relazione di lavoro con il loro datore di lavoro o il loro cliente o destinatario dei servizi. Un’altra ritorsione indiretta potrebbe essere destinata a un soggetto giuridico di cui la persona segnalante è proprietaria, per cui lavora o a cui è altrimenti connessa in un contesto lavorativo, come l’annullamento della fornitura di servizi, l’inserimento in una lista nera o il boicottaggio.

Modalità di segnalazione

Per entrambi i canali di segnalazione (interno ed esterno):

a) la segnalazione dovrà poter essere effettuata per iscritto o a voce (ad esempio a un numero telefonico dedicato), come la persona segnalante preferisce;

b) la protezione della riservatezza dell’identità della persona segnalante e della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione, dovranno essere garantiti – per le segnalazioni effettuate per iscritto attraverso piattaforme elettroniche - mediante il ricorso a strumenti di crittografia.

La divulgazione pubblica delle violazioni

L'art. 15, d.lgs. 24/2023 disciplina le ipotesi in cui, per validi motivi, la persona segnalante può procedere in modo legittimo alla divulgazione pubblica delle informazioni anche personali oggetto della segnalazione. Questo può avvenire se ricorre una delle seguenti condizioni:

a) la persona segnalante ha previamente effettuato una segnalazione interna ed esterna, ma non ha ricevuto riscontro nei termini;

b) la persona segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse;

c) la persona segnalante ha fondato motivo di ritenere che la segnalazione esterna possa comportare il rischio di ritorsioni o possa non avere efficace seguito in ragione delle specifiche circostanze del caso concreto.

La protezione dei dati personali come settore meritevole di segnalazioni

La protezione dei dati personali è indicata, nella direttiva (UE) 2019/1937, come uno dei settori in cui violazioni amministrative, penali o di altro tipo, possono arrecare grave pregiudizio al pubblico interesse, creando rischi significativi per il benessere della società. Sia il settore pubblico che il settore privato devono incoraggiare, fra le segnalazioni, quelle di violazioni della normativa a protezione dei dati personali, e stabilire procedure interne appropriate per il ricevimento delle segnalazioni e il relativo seguito.

Secondo la direttiva (UE) 2019/1937 nelle organizzazioni più piccole del settore privato, fra le persone o i servizi non dedicabili esclusivamente alle segnalazioni, ma competenti a riceverle e a darvi seguito, vi è anche il responsabile della privacy. Soprattutto per chi non ha un Modello di Organizzazione, Gestione e Controllo ai sensi del d.lgs. 231/2001, quest'ipotesi potrebbe essere tutt'altro che remota.

Protezione della riservatezza della persona segnalante e di altre persone

Le persone designate dagli enti a ricevere o a dare seguito alle segnalazioni, nella misura in cui sono espressamente autorizzate dagli enti a trattare tali dati personali, potranno conoscere l’identità della persona segnalante senza bisogno di un espresso consenso di quest’ultima. Solo dietro consenso espresso della persona segnalante (debitamente informatane), l’identità della persona segnalante e qualsiasi altra informazione da cui possa evincersi tale identità (direttamente o indirettamente) potranno essere rivelate a persone diverse da quelle designate dagli enti a ricevere o a dare seguito alle segnalazioni. L’identità delle persone coinvolte e delle persone menzionate nella segnalazione dovrà essere tutelata sia dagli enti pubblici e privati destinatari delle nuove norme sia dall’ANAC - fino alla conclusione dei procedimenti avviati in ragione della segnalazione - nel rispetto delle medesime garanzie previste in favore della persona segnalante. Nel procedimento disciplinare, l’identità della persona segnalante non potrà essere rivelata laddove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione (anche se conseguenti alla stessa). La segnalazione potrà essere usata ai fini di un procedimento disciplinare nei confronti della persona segnalata solo se:

a) tale procedimento sia fondato, in tutto o in parte, sulla segnalazione;

b) la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa dell'incolpato;

c) la persona segnalante, dopo aver ricevuto una comunicazione scritta delle ragioni della rivelazione, abbia dato il consenso alla rivelazione della propria identità.

Ruoli nei trattamenti di dati personali connessi al whistleblowing

Il d.lgs. 24/2023 offre (all'art. 13) una sorta di interpretazione autentica su come le norme del GDPR vadano applicate nel nuovo ecosistema del whistleblowing. Probabilmente, la novità più rilevante sta nella netta indicazione dei ruoli, che pone fine ai dubbi interpretativi scaturiti dal parere reso dal Garante privacy all'AODV il 12 maggio 2020 sulla qualificazione soggettiva ai fini privacy dell'Organismo di Vigilanza eventualmente designato da enti ai sensi del d.lgs.231/2001. In quel parere, il Garante aveva chiarito che il ruolo naturale dei componenti dell'Organismo di Vigilanza è di persone autorizzate dall'ente per il quale svolgono le loro funzioni. Tuttavia, il Garante si era soffermato esclusivamente sul trattamento di dati personali incidentalmente svolto dall'Organismo di Vigilanza nell'attività di controllo, tenendo fuori le attività di trattamento eventualmente scaturenti da segnalazioni. Probabilmente lo aveva fatto perché non esisteva una cornice normativa che permettesse di dare un'indicazione certa. Il d.lgs. 24/2023 chiarisce che i trattamenti di dati personali relativi al ricevimento e gestione delle segnalazioni sono svolti dagli enti pubblici e privati destinatari della normativa in qualità di Titolari. E il Garante privacy, nel suo parere dell'11 gennaio 2023, ha apprezzato la corretta individuazione da parte del Governo dei ruoli dei soggetti coinvolti nel trattamento, avvenuta proprio seguendo le sue indicazioni.

Adempimenti privacy a carico degli enti che si dotano di canali di segnalazione

Il d.lgs. 24/2023 dice esplicitamente ciò che era già desumibile dal GDPR e indicato dal provvedimento del Garante dell'11 novembre 2018 sui casi in cui è necessaria la Valutazione d'impatto (DPIA) ai sensi dell'art. 35 GDPR: gli enti pubblici e privati destinatari delle nuove norme devono definire il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base di una DPIA. Inoltre, devono disciplinare il rapporto con eventuali fornitori di servizi che trattano dati personali per loro conto (quali, ad esempio, fornitori della piattaforma informatica per l'invio e la gestione delle segnalazioni, ove incaricati dell'amministrazione del sistema) con un data processing agreement ai sensi dell'art. 28 GDPR. Ancora: i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente. I diritti degli interessati (specialmente quelli delle persone segnalate) possono essere esercitati nei limiti di quanto previsto dall'art. 2-undecies Codice privacy, che ne determina la sospensione qualora da essi possa derivare un pregiudizio effettivo e concreto alla riservatezza dell'identità del dipendente che segnala l'illecito di cui sia venuto a conoscenza in ragione del proprio ufficio. Resta fermo, ai sensi del comma 3 dell'art. 2-undecies, che: a) l'esercizio dei medesimi diritti può essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all'interessato (a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti dell'interessato);

b) i diritti dell'interessato possono essere esercitati anche tramite il Garante.

Tempi di conservazione di documenti e dati

La conservazione delle segnalazioni interne ed esterne e della relativa documentazione può protrarsi per il tempo necessario alla loro definizione e, comunque, per non più di cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza e del principio di limitazione della conservazione definito dal GDPR. Secondo il Garante privacy, questo termine massimo di conservazione della documentazione della segnalazione è compatibile con la durata media del termine prescrizionale dei principali illeciti suscettibili di verificarsi.

Ambito di esenzione da responsabilità per la persona segnalante

Un ultimo aspetto è legato all'esimente generale (che esclude anche la responsabilità civile e amministrativa, oltre a quella penale) in favore della persona che effettui la segnalazione, denuncia o divulgazione pubblica di informazioni tutelate dalla disciplina di protezione dati personali, purché al momento della rivelazione sussistessero fondati motivi per ritenerla necessaria per svelare la violazione. Viene espressamente esclusa ogni potenziale responsabilità a carico della persona segnalante per violazione dell'altrui privacya meno che l'acquisizione o l'accesso alle informazioni sulle violazioni costituiscano un vero e proprio reatodi trattamento illecito di dati personali. Cosa, quest'ultima, che, ai sensi dell'art. 167 Codice privacy, può avvenire solo in presenza:

a) del dolo specifico della persona segnalante ( fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, perseguito violando specifiche norme, quali quelle sul trattamento dei dati sensibili e dei dati giudiziari);

b) del nocumento all'interessato. Quindi, ad esempio, se una persona riceve per un errore di trasmissione del mittente uno scambio di posta elettronica fra un collega e un terzo, e se da quello scambio comprende che il collega ha in corso un procedimento penale ignoto all'ente con cui collabora e rilevante per spiegare violazioni di norme verificatesi anche in seno all'ente e rimaste senza spiegazione, può segnalare tale violazione senza timore di incorrere in responsabilità civile o amministrativa per aver trattato dati giudiziari che non era autorizzato a trattare. Infatti, manca un dolo specifico di profitto o di danneggiare terzi.

Conclusioni

La nuova disciplina del whistleblowing è una novità importante in sé per la quantità di enti coinvolti, per l'entità dello sforzo organizzativo richiesto a tutti, per l'incoraggiamento delle segnalazioni. Lo è anche per il suo rapporto con la normativa a protezione dei dati personali, che sarà bidirezionale. Gli enti destinatari delle nuove norme dovranno farsi carico di adempimenti per rendere il sistema di whistleblowing conforme al GDPR e al Codice privacy. Inoltre, la protezione dei dati personali è una fra le materie indicate dalla direttiva (UE) 2019/1937 in cui le violazioni possono arrecare un grave pregiudizio al pubblico interesse (col risultato che avremo segnalazioni interne, alle organizzazioni, o esterne, all'ANAC, anche di presunte infrazioni della normativa a protezione dei dati personali). Infine, gli esoneri da responsabilità a favore delle persone segnalanti coprono anche casi in cui costoro fondino le loro segnalazioni su trattamenti di dati personali ai quali essi non erano autorizzati, purché non costituiscano reato.