In data 15 marzo 2023 è stato pubblicato Gazzetta Ufficiale il D.lgs. 10 marzo 2023 n. 24 che recepisce la Direttiva 2019/1937 sul whistleblowing e pone una disciplina normativa volta a garantire un elevato livello di protezione per coloro che effettuano segnalazioni di minacce o pregiudizi al pubblico interesse di cui sono venuti a conoscenza nell’ambito delle loro attività professionali.
Il D.lgs. 24/2023, nel recepire la Direttiva UE 2019/1937, introduce quindi una disciplina strutturata per garantire la protezione degli “informatori/segnalanti” o c.d. “whistleblowers”.
Il Whistleblowing è uno strumento fondamentale di compliance aziendale, tramite il quale i dipendenti, oppure terze parti (per esempio un fornitore o un cliente), di un’azienda possono segnalare in modo riservato e protetto eventuali illeciti riscontrati durante la propria attività lavorativa.
Whistleblower in inglese significa “soffiatore di fischietto”: il termine è una metafora del ruolo di arbitro o di poliziotto assunto da chi richiama e richiede l’attenzione su attività non consentite, ovvero illegali, affinché vengano fermate. Il “whistleblower” (segnalatore o segnalante, in italiano) è di fatto colui che lavora in un’azienda (pubblica o privata) e decide di segnalare un illecito, una frode o un pericolo che ha rilevato durante la sua attività professionale (o, nel caso di un cliente, nel corso della sua esperienza di cliente di un’azienda).
Come anticipato, destinatari degli obblighi disposti dal Decreto sono tutti gli enti del settore pubblico e per una parte dei soggetti del settore privato, ovvero gli enti privati, che hanno impiegato, nell’ultimo anno, la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato; che, seppur nell’ultimo anno, non hanno raggiunto la media di almeno cinquanta lavoratori subordinati, rientrano nell’ambito di applicazione delle normative europee indicate dalla direttiva UE 2019/1937 come rilevanti, adottano modelli di organizzazione, gestione e controllo ai sensi del D.Lgs. n. 231/2001.
Il D.lgs. 24/2023 prevede che le segnalazioni possano essere effettuate attraverso tre diversi canali di segnalazione: interna, esterna, tramite divulgazione pubblica.
Si parla di whistleblowing “interno” quando la segnalazione viene fatta da un dipendente dell’azienda attraverso canali di segnalazione interni all’azienda. Questi strumenti hanno allo scopo di garantire una via di comunicazione a tutti coloro che sono a conoscenza di illeciti o atti non etici avvenuti all’interno dell’organizzazione.
Al contrario, quando la denuncia viene fatta pubblicamente, ad esempio all’autorità giudiziaria o alla stampa, si parla di whistleblowing di tipo “esterno”. Questa forma di segnalazione viene scelta in modo particolare da coloro che non possiedono particolare fiducia nei confronti della propria azienda o che non considerano adeguati i sistemi e/o le procedure interne di gestione dei casi.
Gli scenari sono tanti e diversi, ma molto spesso le segnalazioni riguardano i seguenti ambiti: corruzione; discriminazione e molestie sul posto di lavoro; violazioni della legge e reati penali; violazioni dei diritti umani; corruttibilità attiva e passiva; mala amministrazione o mala gestione; insider trading; uso improprio dei dati.
Il Decreto dispone quindi la protezione dei Whistleblowers (segnalanti) che segnalano violazioni di disposizioni normative nazionali o dell’Unione europea di cui sono venuti a conoscenza in un contesto lavorativo pubblico o privato.
In pratica i c.d. “segnalatori” non potranno subire, da parte degli enti e società per cui lavorano, ritorsioni di alcun genere tra le quali: licenziamento o la sospensione; retrocessione, mancata promozione, demansionamento, trasferimento, riduzione della retribuzione; modifica dell’orario di lavoro, note di
demerito, sospensione della formazione; misure disciplinari e relative sanzioni; intimidazioni, coercizione, molestie, ostracismo discriminazioni o trattamenti sfavorevoli; mancata conversione di contatti a tempo determinato, danni di qualunque genere e attraverso qualunque canale (anche social), perdita di reddito o opportunità, revoche di permessi particolari o di licenze; verifiche mediche e controlli psichiatrici.
Adottare un sistema di whistleblowing costituisce un vantaggio per le aziende: significa rafforzare il proprio sistema di controllo interno e avere la possibilità di scoprire eventuali frodi e criticità prima che diano luogo a più gravi danni e/o responsabilità. L’adozione di tale sistema però comporta implicazioni sul piano della tutela dei dati personali sia di chi segnala i presunti illeciti, sia delle persone segnalate, che di eventuali terzi coinvolti nel processo.
Il D.lgs. 24/23 individua chiaramente ruoli e responsabilità per i trattamenti connessi alla gestione delle segnalazioni, risolvendo i dubbi interpretativi: l’art. 13 della norma in parola chiarisce che i trattamenti di dati personali relativi al ricevimento e gestione delle segnalazioni sono svolti dagli enti destinatari della normativa in qualità di Titolari.
Il Garante, nel suo parere sullo schema di decreto dell’11 gennaio 2023, ha riconosciuto come corretta quest’individuazione dei ruoli dei soggetti coinvolti.
L’art. 13 ribadisce di fatto ciò che già veniva appreso dal GDPR e dal provvedimento del Garante dell’11 novembre 2018 sui casi in cui è necessaria la Valutazione d’impatto (DPIA) ai sensi dell’art. 35 del GDPR. Nel mettere a punto il proprio modello di ricevimento e gestione delle segnalazioni interne, gli enti pubblici e privati destinatari delle nuove norme devono condurre una DPIA volta ad analizzare i rischi a carico di tutte le figure coinvolte (whistleblowers, persone segnalate, terzi) e adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato alla probabilità e alla gravità dei rischi individuati, nel rispetto del principio della privacy by design.
Inoltre, gli enti tenuti a creare canali di segnalazione devono disciplinare il rapporto con eventuali fornitori di servizi che trattano dati personali per loro conto (quali, ad esempio, fornitori della piattaforma informatica adottata come canale per la ricezione e gestione delle segnalazioni, ove incaricati dell’amministrazione del sistema) con un data processing agreement ai sensi dell’art. 28 del GDPR.
La conservazione delle segnalazioni interne ed esterne e della relativa documentazione può essere prolungata per tutto il tempo necessario alla loro definizione e, comunque, per non più di cinque anni (a parere del Garante, mentre ANAC definisce come termine massimo 10 anni) a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza e del principio di limitazione della conservazione definito dal GDPR. Secondo il Garante, questo termine massimo di conservazione della documentazione della segnalazione è compatibile con la durata media del termine prescrizionale dei principali illeciti suscettibili di verificarsi.
Non sempre la segnalazione ha necessità di essere protetta dall’anonimato; infatti, i whistleblowers vengono autorizzati a divulgare (ad es. fornendole ai media, o pubblicandole sui canali social) informazioni anche personali riferite ai segnalati o a terzi oggetto della segnalazione quando hanno previamente effettuato una segnalazione interna ed esterna, ma non hanno ricevuto riscontro nei termini; hanno fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse; hanno fondato motivo di ritenere che la segnalazione esterna possa comportare il rischio di ritorsioni o possa non avere efficace seguito in ragione delle specifiche circostanze del caso concreto.
Inoltre, qualora le loro segnalazioni siano fondate su trattamenti di dati personali ai quali non erano autorizzati (ad esempio apertura di una mail indirizzata a un terzo con cui non hanno rapporti, ma ricevuta per un errore di digitazione di un collega), i whistleblowers sono esonerati da responsabilità purché non abbiano commesso un vero e proprio reato di trattamento illecito di dati personali.
L’Autorità anticorruzione, ANAC, ha predisposto le linee guida per la corretta gestione delle segnalazioni cosiddette “esterne”, sulle quali il Garante ha espresso parere favorevole, confermando che le linee guida prodotte rispettano i principi di protezione dei dati delle persone coinvolte in tutto il processo di gestione della segnalazione, con particolare riguardo alla riservatezza dell’identità del segnalante e del contenuto della segnalazione stessa; tale garanzia può essere data da diversi strumenti operativi, fra cui, ad esempio, la crittografia.
Le violazioni possono essere inviate ad Anac in modalità telematica, attraverso specifica piattaforma online, oppure tramite i canali tradizionali (quali ad esempio il servizio telefonico o l’incontro in presenza). Le Linee guida contengono inoltre chiarimenti utili sui principali aspetti del nuovo quadro normativo e forniscono indicazioni e princìpi che i datori di lavoro potranno tenere in considerazione nell’attivazione dei propri canali di segnalazione interna, offrendo una vera e propria linea guida di comportamento. Le Linee guida di Anac chiariscono altresì l’ambito delle condotte segnalabili e confermano l’esigenza di garantire – nel caso delle segnalazioni tramite piattaforma informatica – la non tracciabilità del segnalante per non invalidare le tutele di riservatezza previste dalla legge, ma di tracciare, a tutela della sicurezza del trattamento, le operazioni effettuate dal personale autorizzato a gestire le segnalazioni.
Con circolare n. 64 del 13 luglio 2023 l’Inps interviene sul tema fornendo le istruzioni operative per la corretta gestione delle segnalazioni da parte dei dipendenti e collaboratori (a vario titolo) dell’Istituto. Tale circolare precisa che le tutele sono destinate ai soggetti (che siano dipendenti, collaboratori, liberi professionisti ed altre categorie) che segnalano violazioni di cui sono venuti a conoscenza nell’ambito della propria attività lavorativa, comprendendo anche i cosiddetti facilitatori, ovvero persone vicine ai segnalanti, quali colleghi, parenti o affetti stabili.
Anche in questo caso l’INPS precisa che risulta espressamente vietato il licenziamento, la sospensione, il demansionamento, il trasferimento o qualsiasi altro comportamento ritorsivo nei confronti dei segnalatori. Oggetto delle segnalazioni possono essere sia violazioni già commesse, sia violazioni che verosimilmente potrebbero esserlo.
La segnalazione potrà essere di due tipologie: interna mediante la rappresentazione della violazione al Responsabile della prevenzione della corruzione e della trasparenza (RPCT), per il tramite di apposita procedura informatica accessibile dalla homepage della rete intranet seguendo il percorso “Funzioni centrali” > “Direzione centrale Supporto agli Organi e Internal Audit” > sezione Anticorruzione/trasparenza” > “Whistleblower”; esterna inviata ad ANAC (Autorità Nazionale Anti Corruzione); quest’ultimo dovrà dare riscontro al whistleblower entro 3 mesi oppure, qualora ricorrano giustificate e motivate ragioni, entro 6 mesi dalla data di avviso di ricevimento della segnalazione esterna.
In riferimento alle modalità di gestione e alle tempistiche di conservazione del dato l’Inps chiarisce che assume le disposizioni già fornite dal Garante, che definisce il tempo massimo di conservazione del dato nella misura di 5 anni, rispetto alla misura di 10 anni stabilita da Anac. Il documento si conclude con l’indicazione delle misure per la segnalazione in capo ai collaboratori che, diversamente dai dipendenti, dovranno inoltrate al RPCT tramite il “Modulo segnalazioni whistleblowing”, debitamente compilato e sottoscritto, richiesta mediante casella di posta elettronica whistleblowing@inps.it. Il modulo è pubblicato nella sottosezione di primo livello “Altri contenuti” > “Prevenzione della corruzione” della sezione “Amministrazione Trasparente” del portale internet istituzionale, ed è editabile on line.
Come specificato nell’art.13 del D.Lgs.24/2023 e come già espresso dal Garante per la Privacy e da Anac (Agenzia Nazionale Anti Corruzione), l’introduzione delle procedure collegate al whistleblowing comportano la gestione del trattamento ai fini privacy; a tal proposito è consigliabile prevedere in azienda una checklist operativa, a supporto delle attività aziendali.
Vediamo ora uno schema di linea guida operativa. Nella fattispecie, qualora si introduca una piattaforma per la denuncia degli illeciti, il fornitore della piattaforma per il whistleblowing deve sempre essere nominato quale responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 679/2016 (GDPR); tutti i componenti della squadra di lavoro coinvolta nella gestione dell’adempimento devono sempre essere nominati autorizzati e debitamente istruiti in merito al trattamento dei dati personali (ai sensi dell’art. 4, par. 10, 29, 32 del Regolamento (UE) 679/2016 e art. 2-quaterdecies del d.lgs. 196 del 2003); gli interessati (nello specifico il segnalante) devono ricevere idonea informativa ai sensi dell’art. 13 GDPR; il whisthleblowing deve essere inserito quale trattamento specifico all’interno del registro redatto ai sensi dell’art. 30 GDPR; le segnalazioni e gli allegati alla segnalazione devono essere sottratti al diritto di accesso e all’accesso civico generalizzato; la piattaforma deve registrare e conservare in modo sicuro i log di accesso, mentre deve assolutamente essere evitato il tracciamento dei log del segnalante, anche nel caso in cui l’accesso sia mediato da un firewall o da un proxy server; le informazioni devono essere scambiate attraverso protocolli sicuri (HTTPS); il titolare deve adottare ogni idonea misura di sicurezza ai sensi dell’art. 32 GDPR, procedendo con l’analisi di impatto del trattamento del dato (DPIA); le segnalazioni devono essere conservate per un arco di tempo non superiore al conseguimento delle finalità per cui sono state trattate. La stessa ANAC, in assenza di un periodo di conservazione indicato dal legislatore o dal Garante privacy, ha individuato tale termine in 10 anni dal ricevimento della segnalazione, fatte salve differenti esigenze dovute all’instaurazione di un eventuale giudizio; il titolare, prima di procedere all’implementazione del sistema, deve svolgere una valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR.
