Whistleblowing: il d.lgs. n. 24/2023 ha recepito la direttiva UE 1937/2019

Definizione di whistleblowing ed evoluzione della normativa in Italia

Con questo termine si indica l'attività di un soggetto che lavora all'interno di un'impresa e decide di segnalare un illecito, una frode o un pericolo di cui è venuto a conoscenza durante lo svolgimento della sua attività lavorativa.

Pertanto, se in inglese « whistleblowing »vuol dire testualmente «usare un fischietto», sul piano legale il termine indica ormai universalmente l'azione di denuncia di un illecito verificatosi all'interno di un'azienda, da parte di un suo dipendente.

Questo tipo di reato è stato disciplinato per la prima volta in Italia con la legge n. 190/2012, recante Disposizioni per la prevenzione e la repressione della corruzione e dell'illegalità nella Pubblica Amministrazione, meglio nota come «Legge Severino».

La normativa era volta a tutelare i lavoratori pubblici che segnalassero eventuali illeciti di cui fossero venuti a conoscenza nello svolgimento della loro attività, ma la stessa non ebbe immediatamente il seguito sperato, per la mancanza di specifiche regole che tutelassero il whistleblower (colui che denunciava) dalla possibilità di subire rappresaglie da parte dei suoi responsabili.

In tale contesto e in risposta alle istanze di tutela avanzate a questo proposito in ambito comunitario, con la legge n. 179/2017, recante «Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato», il Legislatore ha messo a punto una successiva e più organica riforma di questo istituto giuridico, estendendo la disciplina del whistleblowing anche al settore privato.

Nello specifico, la legge ha provveduto ad apportare una modifica all'art. 6 del d.lgs. n. 231/2001 (la legge sulla responsabilità amministrativa, che ha introdotto il concetto di reato per le persone giuridiche), disponendo che ciascuna azienda si munisse di un idoneo modello di organizzazione, gestione e controllo, per prevenire la commissione di reati e illeciti.

Tale modello doveva prevedere:

a) l'istituzione di uno o più canali, che consentissero ai dipendenti tutti (manager e subordinati) di presentare segnalazioni di condotte illecite di cui fossero venuti a conoscenza, in ragione delle funzioni svolte;

b) almeno un canale di segnalazione alternativo, idoneo a garantire la riservatezza dell'identità del whistleblower;

c) il divieto di atti di ritorsione o discriminatori per motivi collegati, direttamente o indirettamente, alla segnalazione;

d) sanzioni disciplinari nei confronti di chi violasse le misure di tutela del whistleblower e, d'altro lato, di chi effettuasse dolosamente segnalazioni infondate.

Tuttavia, nonostante l'introduzione della norma anche in ambito privatistico, le differenze di tutela tra il settore pubblico e quello privato permanevano.

In ambito pubblico, vigeva l'obbligo di trasmettere l'informazione all'ANAC (l'Autorità Nazionale Anticorruzione), che a sua volta l'avrebbe comunicata al Dipartimento della Funzione Pubblica.

In ambito privato, invece, era facoltà della società interessata di comunicare la denuncia all'Ispettorato del Lavoro, ma sempre dietro istanza del lavoratore o whistleblower, oppure di un sindacato designato da quest'ultimo.

La legge n. 179/2017, inoltre, restava applicabile limitatamente agli enti dotati dei modelli organizzativi previsti dal d.lgs. n. 231/2001 e ciò indeboliva una corretta ed ampia applicazione della normativa. Pertanto, l'intervento dell'Unione Europea con la Direttiva EU 2019/1937, ha imposto agli Stati membri di introdurre garanzie aggiuntive a sostegno dei whistleblowers, esigendo che gli stessi mettessero a punto ulteriori disposizioni in questo contesto.

Infine, c'è da segnalare che la normativa italiana vigente fino a quel momento in materia di whistleblowing era stata oggetto di severe critiche all'interno del Rapporto di valutazione dell'Italia sull'attuazione della Convenzione del 1997 sulla corruzione internazionale, ad opera del Working Group on Bribery dell'OCSE.

In tale rapporto, si deplorava che la legislazione italiana non fornisse sufficienti tutele ai whistleblowers nel settore privato, tradizionalmente considerato esposto alle problematiche legate alla corruzione internazionale.

I contenuti della Direttiva UE 2019/1937

La nuova normativa prevista dall'UE è volta ad armonizzare le leggi locali, nell'ottica del rafforzamento dei principi di trasparenza, responsabilità e prevenzione dei reati, sia in ambito pubblico che privato.

Essa individua con maggiore precisione l'ambito della sua applicazione materiale, specificando che la denuncia avanzata dal whistleblower debba trattare di:

a) violazioni che rientrino nell'ambito di applicazione degli atti dell'Unione europea, con riferimento a specifici settori (tra cui appalti pubblici, servizi finanziari, sicurezza dei prodotti e dei trasporti, ambiente, alimenti, salute pubblica, protezione dei consumatori, protezione dei dati, sicurezza delle reti e dei sistemi informatici, concorrenza);

b) violazioni che ledano gli interessi finanziari dell'Unione;

c) violazioni delle norme in materia di corruzione.

È anche previsto un ampliamento della definizione di whistleblower, che viene estesa ai lavoratori autonomi, agli azionisti, ai membri degli organi di amministrazione e di controllo, ai collaboratori esterni, ai tirocinanti (retribuiti e non) e a tutti i soggetti che lavorino sotto la supervisione e direzione di appaltatori, sub-appaltatori e fornitori, oltre che ai cosiddetti facilitatori (ossia coloro che prestano assistenza al lavoratore nel processo di segnalazione) e finanche a soggetti terzi connessi al segnalante, come colleghi e parenti.

Oltre a ciò, la direttiva prevede:

- l'obbligo di istituire canali di segnalazione interni, esterni e pubblici;

- la necessità di adottare procedure per dare seguito alla segnalazione ricevuta, pur tutelando la riservatezza dell'identità del segnalante, con canali di segnalazione sicuri;

- la possibilità di avanzare le segnalazioni anche in forma orale, attraverso linee telefoniche o altri sistemi di messaggistica vocale e - su richiesta della persona segnalante - mediante un incontro diretto entro un termine ragionevole;

- la designazione di una persona o di un servizio imparziale e competente per dare seguito alla segnalazione, entro un termine ragionevole;

- la possibilità di ricorrere a terzi per la gestione delle segnalazioni, per assicurare indipendenza, riservatezza, protezione dei dati e segretezza;

- il divieto di qualsiasi atto ritorsivo o discriminatorio nei confronti del segnalante, inclusi gli atti di discriminazione indiretti, quali ad esempio valutazioni negative della performance, mancate promozioni o referenze negative.

Una grande novità consiste infine nell'estensione dell'apparato normativo a tutti gli enti privati che abbiano più di 50 dipendenti, indipendentemente dalla natura delle loro attività e a prescindere dall'aver adottato i modelli organizzativi previsti dal D.lgs. 231/2001.

Specifiche disposizioni vengono dedicate alla protezione del whistleblower che effettui una divulgazione pubblica, la quale potrà anch'essa beneficiare della protezione della legge, in presenza di una serie di condizioni. Tra queste, l'effettuazione di una regolare segnalazione cui non sia stato offerto riscontro nei termini previsti o il fondato motivo di ritenere che la violazione possa costituire un pericolo imminente e palese per il pubblico interesse.

Tutto questo, ovviamente, sarà valido anche quando si creda che la segnalazione stessa comporti il rischio di ritorsioni, che le relative prove vengano occultate o distrutte, o qualora si ritenga che colui che l'ha ricevuta sia egli stesso colluso con l'autore della violazione o coinvolto nella violazione stessa.

Come appare purtroppo evidente dalla tempistica, la direttiva è stata da noi attuata con grave ritardo, oltre un anno, cioè, dal termine fissato perché gli Stati membri si conformassero. Tale termine era infatti fissato al 17 dicembre 2021, il che ha esposto il nostro paese ad una procedura di infrazione - aperta il 15 febbraio 2023 dalla Commissione Europea - per mancato recepimento e notifica delle misure di attuazione nazionali.

D.lgs. n. 24/2023: l'impatto per l'Italia e l'applicazione del GDPR

Il recepimento della direttiva sul whistleblowing avrà un impatto notevole per tutte le imprese del nostro paese, siano esse pubbliche o private.

Innanzi tutto, come si è accennato, il decreto amplia il novero dei soggetti tenuti ad adeguarsi alla disciplina, rivolgendosi:

a) agli enti privati che nell'ultimo anno abbiano impiegato 50 dipendenti, sia con contratti di lavoro a tempo indeterminato che determinato;

b) agli enti privati che, pur non raggiungendo il numero di 50 dipendenti, operino in settori strategici, come quelli dei prodotti e mercati finanziari, della prevenzione del riciclaggio, della tutela dell'ambiente e della sicurezza dei trasporti;

c) agli operatori che, a prescindere dal numero di dipendenti impiegati, abbiano adottato i modelli di organizzazione e gestione previsti dal d.lgs. n. 231/2001.

Questi ultimi dovranno aggiornare i sistemi di segnalazione a suo tempo implementati, valutandone l'adeguatezza ed attuando le procedure e gli strumenti atti a dare seguito alle allegazioni oggetto delle segnalazioni ricevute. Tutto ciò, con il dovuto grado di diligenza e tempestività, affidando questo compito anche a società terze, specializzate nella fornitura di piattaforme all'uopo sviluppate.

Per tutti gli altri enti che non erano soggetti alla normativa in tema di whistleblowing, si tratterà comunque di conformarsi ad essa e ciò potrebbe rappresentare un'ottima opportunità per adottare un efficace sistema di gestione, adeguato alle regole dettate dal d.lgs. n. 231/2001 e soprattutto al disposto del GDPR.

Ogni azienda dovrà infatti porre particolare attenzione alla tutela della riservatezza, che - com'è intuibile - occupa una posizione di rilievo nell'ambito della nuova normativa.  

Il Decreto 24/2023 prevede infatti che l'identità della persona segnalante - e qualsiasi altra informazione da cui si evinca tale identità - non possano essere rivelate a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, senza il consenso espresso del whistleblower.

In particolare, tale autorizzazione al trattamento dei dati dovrà essere predisposta alla luce delle norme applicabili a livello europeo (gli artt. 29 e 32 del GDPR) e a livello italiano (l'art. 2 del Codice privacy).

Vista la delicatezza di queste informazioni, il documento così allestito comporterà specifici obblighi e limiti nella gestione dei dati - in particolare per quanto attiene alla riservatezza - nel contesto assai sensibile di un eventuale procedimento disciplinare a carico di un soggetto segnalato.

L'identità del segnalante non potrà infatti essere rivelata, qualora la contestazione dell'addebito disciplinare si rivelasse infondata. Se fosse invece fondata, anche solo in parte, la segnalazione sarà invece utilizzabile ai fini del procedimento disciplinare, ma solo in presenza del consenso espresso del segnalante.

Le raccomandazioni del Garante privacy

Alla luce del disposto del decreto, il Garante della privacy ha fornito importanti indicazioni in merito alle attività da svolgere e ai principali adempimenti da rispettare, nell'ottica della protezione dei dati.

Si tratta per lo più di avvertenze che si muovono nell'alveo già previsto dal GDPR, sottolineandone taluni passaggi, ritenuti particolarmente pregnanti per la delicatezza delle informazioni trattate.

Considerata la vulnerabilità degli interessati e gli elevati rischi di effetti ritorsivi o discriminatori ai danni del segnalante, il trattamento dei dati nell'ambito del whistleblowing è certamente da considerarsi ad alto rischio. Ciò implica la necessità di mettere a punto una valutazione d'impatto preventiva al trattamento stesso o DPIA (Data Protection Impact Assesment).

È questo uno degli elementi di maggiore rilevanza nella disciplina europea sul trattamento dei dati personali. Esso esprime i principi di responsabilizzazione, o accountability, che permea l'intero sistema del GDPR e riguarda i titolari del trattamento.

Questi ultimi dovranno porre in atto tutte le misure atte a rispettare i principi previsti dalla legge sulla privacy, come liceità, correttezza, trasparenza, limitazione della finalità, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione.

Un concetto cui il GDPR assegna importanza centrale è costituito dal principio noto come privacy by design e by default, che prevede l'incorporazione delle regole della protezione dei dati trattati fin dalle prime fasi di progettazione di ogni procedura o attività intrapresa.

Questo principio prevede l'attuazione delle misure più adatte a garantire che vengano trattati solo i dati necessari a raggiungere le finalità prestabilite, in modo da ridurre al minimo i rischi connessi. I dati personali che non fossero utili al trattamento di una specifica segnalazione non dovranno essere raccolti: se ciò dovesse capitare accidentalmente, gli stessi dovranno essere immediatamente cancellati.

Occorre dunque sottolineare come, in materia di whistleblowing, sia necessario prestare particolare attenzione alla completezza delle informazioni relative a ciascun trattamento, fornendo informative chiare e complete agli interessati. C'è il rischio, infatti, che eventuali società terze che dovessero fornire piattaforme per il trattamento risultino inadeguate, in quanto pensate ed improntate ad un uso generico.

Se il fornitore potrà essere responsabile del trattamento, insomma, gli obblighi informativi dovranno per forza di cose essere assolti dalla società che si avvale del sistema di whistleblowing, che tratterà i dati in qualità di titolare del trattamento.

Un gruppo di società multinazionale, inoltre, dovrà prestare particolare attenzione alla lingua utilizzata nelle informative, che dovranno risultare comprensibili a tutti e prevedere traduzioni nell'idioma locale.

Così come previsto dalla più ampia normativa del GDPR, bisognerà indicare nel registro dei trattamenti le finalità di acquisizione e gestione delle segnalazioni di condotte illecite, adottando le misure più adeguate per assicurare su base permanente riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento, ivi inclusa l'adozione di strumenti di crittografia, pseudonimizzazione e anonimizzazione, per garantire la riservatezza dell'identità del segnalante.

Allo stesso modo, il periodo di conservazione dovrà essere limitato al necessario e non potrà comunque superare cinque anni dalla data della comunicazione dell'esito finale della procedura.

Infine, come in ogni contesto di trattamento dei dati personali (a maggior ragione, in un ambito delicato come quello del whistleblowing), il titolare del trattamento sarà obbligato a sincerarsi che le persone sotto la sua autorità siano adeguatamente formate e istruite al riguardo.

Conclusioni

Riassumendo, gli adempimenti che riguardano il whistleblowing non fanno che approfondire e radicalizzare quanto già previsto dal GDPR, adattandolo ad un contesto ancora più delicato.

Il rispetto dei dettami fin qui ripercorsi, quindi, è rilevante non solo sotto il profilo formale, posto che eventuali mancanze nell'implementazione delle misure saranno sanzionabili con multe fino a 20 milioni di euro o fino al 4% del fatturato annuo, ma anche da un punto di vista sostanziale.

Assicurarsi che la protezione dei dati degli interessati sia garantita anche nel contesto del whistleblowing rappresenta infatti un punto di forza per ciascuna società, che dovrà accertarsi di svolgere le operazioni di trattamento in sicurezza, evitando non solo le conseguenze negative per la gestione del whistleblower, ma anche possibili data breach potenzialmente dannosi per la sua reputazione, reclami dinanzi al Garante per il trattamento dei dati ed azioni giudiziali avanzate da un gran numero di possibili soggetti terzi.

Per approfondire

D.lgs. 10 marzo 2023, n. 24;

Direttiva 2019/1937 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione;

GDPR - Regolamento generale sulla protezione dei dati (General Data Protection Regulation) n. 2016/679;

GPDP – Garante per la protezione dei dati personali: Segnalazioni di illecito – Whistleblower;

Il recepimento della Direttiva sul Whistleblowing da parte dell'Italia: considerazioni a prima lettura – di Lorenzo Salazar, 20 marzo 2023 – IUS Giuffrè Francis Lefebvre;

“Whistleblowing”: quali le novità per gli enti privati? – di Laura Asti e Federica Pucarelli (Studio legale Stefanelli & Stefanelli), 17 gennaio 2023.