Whistleblowing nel settore privato e protezione dei dati personali
dalla L. 179/2017 alla Direttiva UE 2019/1937
Il whistleblowing nel settore privato è disciplinato dalla L. 179/2017 – e da alcune normative di settore, (bancario, assicurativo, finanziario, ecc.) – che ha introdotto nell’art. 6 del D. Lgs. 231/2001 delle disposizioni specifiche, in forza delle quali i Modelli organizzativi devono prevedere:
- uno o più canali, che consentano ai soggetti indicati nell’art. 5, comma I lettere a) e b)[1] di presentare segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del D. Lgs. 231/2001 e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello, di cui siano venuti a conoscenza in ragioni delle funzioni svolte, con la precisazione che tali canali devono garantire la riservatezza dell’identità del segnalante nelle attività di gestione delle segnalazioni;
- almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante;
- il divieto di atti di ritorsione o discriminatori nei confronti del segnalante per motivi collegati, anche solo indirettamente, alla segnalazione effettuata;
- specifiche sanzioni, all’interno del sistema disciplinare previsto nel Modello organizzativo, per i soggetti che dovessero violare le misure di tutela del segnalante e a carico di coloro che effettuano, con dolo o colpa grave, violazioni che poi si dovessero rivelare infondate.
[1] a) persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso; b) persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a)
La circostanza che la disciplina del whistleblowing sia stata inserita all’interno del D. Lgs. 231/2001 ha comportato la sua obbligatorietà unicamente nei confronti degli enti dotati di Modello organizzativo, che dunque – dopo l’entrata in vigore della L. 179/2016 – hanno proceduto alla modifica ed alla integrazione del sistema di compliance 231 per renderlo rispondente alle indicazioni legislative.
Rispetto all’individuazione del soggetto destinatario delle segnalazioni, non avendo la L. 179/2016 fornito indicazioni, ogni ente ha potuto optare per la soluzione ad esso più confacente (Organismo di Vigilanza, Comitato ad hoc, generalmente costituito da soggetti appartenenti a diverse funzioni aziendali, enti o soggetti esterni con comprovata professionalità). Qualunque sia l’organo deputato a ricevere e gestire le segnalazioni, il coinvolgimento dell’Organismo di Vigilanza, come correttamente evidenziato dalle Linee Guida di Confindustria, è sempre opportuno “per evitare il rischio che il flusso di informazioni generato dal meccanismo di whistleblowing sfugga del tutto al suo monitoraggio”. In ogni caso, qualunque sia l’organo deputato a gestire le segnalazioni, l’Organismo di Vigilanza sarà sempre tenuto a vigilare sull’adeguatezza dei canali predisposti, ivi compreso quello alternativo informatico (casella posta elettronica dedicata, software, piattaforme web gestite da terzi, piattaforme aziendali, ecc.), sul rispetto del divieto di compimento di atti di ritorsione o discriminatori verso il segnalante e sulla idoneità ed efficacia del sistema disciplinare.
La materia del whistleblowing è destinata a divenire nuovamente di grande interesse a seguito del recepimento della Direttiva UE 2019/1937 riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione”, che comporterà l’implementazione del sistema di whistleblowing anche per gli enti che non hanno adottato Modelli organizzativi ex D. Lgs. 231/2001.
La Direttiva dovrà essere recepita dagli Stati membri entro la data del 17.12.2021, con la conseguente applicazione degli obblighi ivi previsti per tutti i soggetti giuridici del settore privato con più di 50 lavoratori e con una proroga sino al 17.12.2023 per quelli con un numero di lavoratori ricompresi tra 50 e 250.
Volendo effettuare un parallelismo con il D. Lgs. 231/2001, la Direttiva – che ha lo scopo di rafforzare l’applicazione del diritto e delle politiche dell’Unione in specifici settori, stabilendo norme minime comuni per garantire un elevato livello di protezione delle persone che segnalano violazioni del diritto dell’Unione – prevede:
- una estensione dell’ambito di applicazione, posto che le segnalazioni potranno riguardare le violazioni del diritto dell’Unione, relativamente a determinati settori (art. 2) tra i quali gli appalti pubblici, la salute pubblica, i servizi i prodotti e i mercati finanziari, la prevenzione del riciclaggio e del finanziamento del terrorismo, la tutela dell’ambiente, la protezione dei consumatori, la protezione dei dati personali e la sicurezza delle reti e dei sistemi informativi;
- un ampliamento della sfera dei soggetti che possono effettuare le segnalazioni (art. 4) tra i quali ad esempio, figurano i lavoratori dipendenti e autonomi, gli azionisti, i membri dell’organo di amministrazione, direzione e vigilanza, i volontari e i tirocinanti retribuiti e non, qualsiasi persona che lavora sotto la direzione di appaltatori, subappaltatori o fornitori, facilitatori, colleghi o parenti dei segnalanti.
Gli enti tenuti ad adeguarsi alla Direttiva dovranno istituire canali di segnalazione interni, che consentano segnalazioni scritte o orali, e individuare un soggetto (interno ed esterno) per la gestione degli stessi. I canali dovranno essere progettati, realizzati e gestiti in modo sicuro, così da garantire la sicurezza dell’identità del segnalante e la protezione degli eventuali terzi citati nella segnalazione.
La Direttiva sancisce l’obbligo di garantire la riservatezza dell’identità del segnalante (art. 16), prevede norme specifiche in tema di conservazione della documentazione inerente alle segnalazioni (art. 18) e indica le misure di protezione da adottare (divieto di ritorsione art. 19, misure di sostegno art. 20, misure di protezione dalle ritorsioni art. 21, misure per la protezione delle persone coinvolte art. 22).
Come noto, nell’ambito dell’intero processo di acquisizione e gestione delle segnalazioni, uno dei temi certamente più delicati è quello della protezione dei dati personali. Nella Direttiva 2019/1937 all’art. 17, del resto, si afferma espressamente che ogni trattamento di dati personali deve essere effettuato a norma del Regolamento UE 2016/679 e della Direttiva UE 2016/680 e che i dati manifestamente non utili al trattamento di una segnalazione non devono essere raccolti e, se accidentalmente raccolti, devono essere cancellati senza indugio.
L’attenzione al tema privacy nell’ambito della gestione e implementazione dei sistemi di whistleblowing è sempre stata altissima.
Già nel 2006, sotto la vigenza della Direttiva 95/46/CE, il Gruppo di Lavoro Art. 29 (c.d. WP 29), poi sostituito dal European Data Protection Board, aveva reso il parere 1/2006 proprio relativo all’applicazione della normativa UE sulla protezione dei dati alle procedure interne per la denuncia delle irregolarità riguardanti la tenuta della contabilità, i controlli contabili interni, la revisione contabile, la lotta contro la corruzione, la criminalità bancaria e finanziaria. Nel 2009, anche il Garante si era occupato della materia, segnalando al Parlamento ed al Governo l’opportunità di valutare l’adozione di apposite disposizioni legislative che individuassero (i) i presupposti di liceità del trattamento effettuato per il tramite di sistemi di segnalazione, (ii) i soggetti che potessero assumere la qualità di “segnalati”, e (iii) la portata del diritto di accesso del segnalato, avuto riguardo all’identità dell’autore della segnalazione.
Dopo l’entrata in vigore della L. 179/2017 e l’applicazione in Italia del Regolamento UE 2016/679, tenuto conto inoltre delle modifiche apportate dal D. Lgs. 101/2018 al Codice Privacy, il Garante nel dicembre del 2019 è tornato in argomento con il parere reso sullo schema di Linee Guida predisposte dall’ANAC, in materia di tutela del dipendente pubblico che segnala illeciti; parere che, sebbene inerente al settore pubblico, fornisce certamente indicazioni di carattere generale utili per la corretta gestione del sistema di whistleblowing.
Nell’ambito poi di un ciclo di attività ispettive, concernenti le funzionalità di alcuni applicativi per l’acquisizione e la gestione delle segnalazioni utilizzate da enti pubblici e privati, il Garante ha effettuato accertamenti che, talvolta, si sono conclusi con ordinanze di ingiunzione, tra le quali meritano di essere segnalate quelle del 23.01.2020 e del 10.06.2021.
Proprio dal descritto quadro di interventi, è possibile trarre preziose indicazioni per la corretta implementazione del sistema di whistleblowing, in particolare se gestito attraverso piattaforme informatiche:
- la titolarità del trattamento è in capo all’ente che implementa la procedura di segnalazione; il rapporto con il soggetto che fornisce l’applicativo deve essere regolamentato ai sensi dell’art. 28 del Regolamento UE 2016/679
- la piattaforma informatica deve rispondere ai requisiti di privacy by design e privacy by default
- la base giuridica del trattamento è rinvenuta nella necessità di adempiere ad un obbligo di legge (al momento, in attesa dell’entrata in vigore della Direttiva UE 2019/1937, il riferimento è alle previsioni contenute nella L. 179/2016 e al D. Lgs. 231/2001)
- il titolare deve rendere disponibile ai segnalanti, in fase di invio della segnalazione, una informativa rispondente ai requisiti previsti dall’art. 13 del Regolamento UE 2016/679
- al segnalato non deve essere preclusa in termini assoluti la facoltà di esercitare i diritti previsti dagli artt. da 15 a 22 del Regolamento UE 2016/679. L’art. 2-undecies del Codice Privacy, infatti, stabilisce detti diritti possano essere esercitati tramite il Garante con le modalità di cui all’articolo 160
- il trattamento deve essere censito nel registro dei trattamenti ai sensi dell’art. 30 del Regolamento UE 2016/679
- devono essere adottate procedure di autenticazione basate su tecniche di “strong authentication”
- devono essere messe in atto misure tecniche ed organizzative adeguate nel rispetto del principio di accountability; è consigliato dunque l’utilizzo di tecniche crittografiche per il trasporto e la conservazione dei dati. Al riguardo, ad esempio, si ritiene che fornisca garanzia adeguate e soddisfacenti il protocollo di rete https e che, con riferimento alla conservazione nel data base dei dati relativi alle segnalazioni, sia necessario adottare la misura della cifratura con riferimento ai dati identificati del segnalante, le informazioni relative alla segnalazione e l’eventuale documentazione allegata
- devono essere adottate adeguate misure a tutela degli interessati con riguardo al tracciamento degli accessi all’applicativo; è stata ad esempio ritenuta non rispondente ai principi del Regolamento UE 2016/679 la registrazione e la conservazione, nei log degli apparati firewall, delle informazioni relative alle connessioni agli applicativi, perché idonei a consentire la tracciabilità dei soggetti che utilizzano la piattaforma, ivi inclusi i segnalanti
- il trattamento dei dati effettuato per il tramite di applicativi informatici deve essere preceduto da una valutazione di impatto, ritenuto che presenti rischi specifici per i diritti e le libertà degli interessati, anche considerata la vulnerabilità degli stessi (segnalanti e segnalati) nel contesto lavorativo.
Merita, da ultimo, di essere segnalata la recente pubblicazione della norma ISO 37002:2021 “Whistleblowing management systems – Guidelines”, che può certamente costituire una valida linea guida per l’implementazione, la gestione ed il miglioramento del sistema di gestione del whistleblowing.