Whistleblowing: tutele anche nelle imprese sotto i 50 dipendenti

Il Consiglio dei Ministri ha approvato, in esame preliminare, 9 decreti legislativi di attuazione di direttive europee o adeguamento della normativa nazionale ad altrettanti regolamenti o direttive dell'Unione Europea. Tra gli schemi di decreti approvati vi è anche quello (“Schema di Decreto”) che deve dare attuazione alla direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione (“Direttiva”).

Occorre innanzitutto chiarire che lo Schema di Decreto è stato predisposto in esecuzione della delega contenuta nella legge n. 127 del 2022 cosiddetta “Legge di Delegazione Europea 2021” nonché il fatto che la legge 53/2021 (“Legge di delegazione europea 2019-2020”) aveva conferito delega al Governo per il recepimento della Direttiva. Tale delega, tuttavia, non è mai stata esercitata e proprio per il mancato recepimento della Direttiva pende una procedura di infrazione. Il termine "generale" di recepimento della Direttiva è scaduto il 17 dicembre 2021; conseguentemente, il termine per l'esercizio della delega era fissato al 10 dicembre 2022 (3 mesi dopo la data di entrata in vigore della legge di delegazione europea). La norma di delega prevede inoltre che gli schemi di decreto legislativo siano sottoposti al parere delle competenti Commissioni parlamentari, che hanno a disposizione 40 giorni dalla trasmissione dell'atto per esprimersi; lo Schema di Decreto è stato trasmesso il 9 dicembre 2022 e le Commissioni dovranno dovevano esprimersi entro il 19 gennaio 2023. Le Commissioni del Senato hanno espresso parere favorevole con rilievi, quelle della Camera, invece, hanno chiesto ed ottenuto dal Governo un rinvio dell'espressione del parere che si renderà non appena sintetizzati gli spunti emersi anche dalle audizioni informali e dal parere del Garante per la protezione dei dati personali, nel frattempo reso, in senso favorevole al testo circolato, in data 24 gennaio 2023.

La Direttiva

La Direttiva, entrata in vigore il 16 dicembre 2019, reca disposizioni volte a fornire ai segnalanti (o whistleblowers) una tutela uniforme in tutti gli Stati UE, introducendo regole che impongano canali di segnalazione efficaci, riservati e sicuri e che garantiscano una protezione effettiva agli informatori. È definito whistleblower la persona fisica che segnala informazioni sulle violazioni acquisite nell'ambito di attività professionali, a prescindere dalla natura di tali attività o del fatto che il rapporto di lavoro sia nel frattempo terminano o non ancora iniziato. Nello specifico, rientrano tra i segnalanti tutelati le persone aventi la qualifica di lavoratori ai sensi dell'art. 45 TFUE, ossia le persone che nel settore privato come in quello pubblico forniscono a favore di terzi e sotto la direzione di questi, determinate prestazioni verso il corrispettivo di una retribuzione. La protezione deve, quindi, essere concessa anche a lavoratori con contratti atipici, nonché a chi ha un contratto con un'agenzia interinale, ai tirocinanti e ai volontari. Le medesime tutele devono, altresì, essere applicate a lavoratori autonomi, consulenti, subappaltatori e fornitori. La Direttiva impegna gli Stati ad estendere le misure di protezione anche ai c.d. facilitatori, ossia coloro che assistono “una persona segnalante nel processo di segnalazione in un contesto lavorativo e la cui assistenza deve essere riservata” ed ai terzi connessi con le persone segnalanti, quali ad esempio colleghi o familiari, e ai soggetti giuridici collegati al segnalante.

Schema di Decreto

Lo Schema di Decreto consta di 25 articoli, ripartiti in 4 Capi, e di 1 allegato. L'articolo 1 individua l'ambito di applicazione oggettiva, ossia le violazioni oggetto di possibile segnalazione ed ha una portata più ampia rispetto alla Direttiva, in quanto ricomprende non solo le violazioni del diritto UE ma anche quelle del diritto nazionale, in entrambi casi occorra che le violazioni ledano l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell'ente privato.

L'articolo 4 dello Schema di Decreto disciplina le modalità di presentazione delle segnalazioni interne, volte a garantire la riservatezza dell'identità del segnalante, e indica i soggetti che necessariamente devono istituire i canali di segnalazione interna. Rispetto alla previsione della Direttiva, che fa riferimento ai “soggetti giuridici del settore privato che hanno da 50 a 249 lavoratori”, non si introduce tale limite minimo poiché il legislatore delegato intende estendere l'applicazione anche a soggetti con meno di 50 dipendenti.

L'articolo 5 dello Schema di Decreto disciplina l'iter procedurale successivo alla segnalazione interna. In particolare, sono stati introdotti specifici termini volti a dare riscontro al segnalante del ricevimento della segnalazione, nonché dell'attività di verifica svolta. Dando attuazione a quanto previsto dalla Direttiva, i soggetti del settore pubblico e del settore privato sono poi chiamati a fornire informazioni chiare e facilmente accessibili anche dall'esterno sui canali e le procedure sia per le segnalazioni interne che per quelle esterne. Si disciplinano poi le condizioni per effettuare le segnalazioni esterne e si subordina il ricorso alle segnalazioni esterne al ricorrere di determinate condizioni, puntualmente indicate dalla norma stessa. Per le segnalazioni esterne, sia per il pubblico che per il privato, quale autorità competente si individua l'ANAC, la quale deve designare personale specificamente  formato per la gestione del canale di segnalazione esterna nonché disporre l'invio delle segnalazioni aventi ad oggetto informazioni sulle violazioni che non rientrano nella propria competenza alla competente autorità amministrativa o giudiziaria, ivi comprese le istituzioni, gli organi o gli organismi UE, dando avviso al segnalante di tale invio.

Passando alla tutela del segnalante, lo Schema di Decreto pone il divieto di ogni forma di ritorsione, fornendo una esemplificazione delle possibili fattispecie ritorsive, sia pur non esaustiva, tra cui si evidenziano quelle del licenziamento, demansionamento, trasferimento di sede e ogni altra azione che comporti effetti negativi sui contratti di lavoro, nonché una serie di altre gravi condotte afflittive, come ad esempio la richiesta di sottoposizione ad accertamenti medici o psichiatrici, e azioni discriminatorie dalle quali conseguono pregiudizi economici o finanziari anche in termini di perdita reddituale o di opportunità. Al riguardo il Centro Studi di Camera e Senato ha segnalato l'opportunità di rivedere la formulazione della norma esplicitando che il danno per il segnalante possa essere conseguenza anche della denuncia oltre che della segnalazione o divulgazione.

Si introduce inoltre una scriminante per il soggetto segnalante, che ne esclude la responsabilità a fronte delle ipotesi in cui vengano rivelate o diffuse informazioni sulle violazioni coperte dall'obbligo di segreto e anche nel caso di violazione delle disposizioni relative alla tutela del diritto d'autore o alla protezione dei dati personali, nonché nell'ipotesi in cui la stessa attività di segnalazione o diffusione offenda la reputazione della persona coinvolta. In ogni caso, resta ferma ogni altra forma di responsabilità per i comportamenti non collegati alla segnalazione o alla denuncia o alla divulgazione pubblica o che non sono strettamente necessari a rivelare la violazione.

Si dispone che dispone che l'ANAC, accertata la natura ritorsiva o ostativa degli atti o delle omissioni commesse, la mancata istituzione di canali di segnalazione o la mancata adozione di procedure per l'inoltro e la gestione delle segnalazioni, applichi le sanzioni amministrative pecuniarie ai soggetti pubblici o privati, tenendo conto della dimensione dell'ente cui si riferisce la segnalazione.

Assenso dal Garante Privacy

In data 24 gennaio 2023 è stato reso noto il parere favorevole allo Schema di Decreto da parte del Garante per la protezione dei dati personali (“Garante Privacy”) il quale si è espresso ai sensi dell'art. 36 Reg. UE 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, ai più noto come GDPR.

Secondo il Garante Privacy, infatti, lo Schema di Decreto recepisce pressoché tutte le indicazioni previamente fornite al Governo, nell'ambito dei lavori preliminari alla stesura dell'odierno testo, con particolare riguardo:

• ad una maggiore determinatezza della nozione di violazione che, in quanto oggetto della segnalazione, condiziona l'ambito oggettivo di applicazione della disciplina;
• al perfezionamento della disciplina degli obblighi di riservatezza di cui all'articolo 12 e dell'oggetto delle linee guida da emanare (su parere del Garante Privacy) ai sensi dell'articolo 10;
• all'integrazione della disciplina, di cui all'articolo 13, del trattamento dei dati personali funzionali al ricevimento e alla gestione delle segnalazioni, con particolare riguardo alla corretta individuazione dei ruoli dei soggetti coinvolti nel trattamento e al divieto di raccolta (con obbligo di cancellazione in caso di acquisizione accidentale) dei dati eccedenti, ai sensi dell'articolo 17 della Direttiva;
• alla revisione del termine massimo di conservazione della documentazione della segnalazione, secondo criteri di compatibilità anche con la durata media del termine prescrizionale dei principali illeciti suscettibili di verificarsi e, comunque, con obbligo di adozione di adeguate misure volte a garantire la riservatezza dell'identità degli interessati.