Whistleblowing: ok del Garante privacy al recepimento della direttiva UE

L’istituto del whistleblowing – introdotto nell’ordinamento italiano con la Legge 190/2012, che ha inserito nel D.Lgs. 165/2001 l’art. 54-bis – è finalizzato a tutelare i soggetti che segnalano condotte illecite di cui siano venuti a conoscenza nell’esercizio delle proprie mansioni.

L’istituto de quo prevede una serie di misure di protezione nei confronti del soggetto segnalante (c.d. whistleblower), che stabiliscono:

• l’obbligo della tutela dell’identità del segnalante;
• il divieto di ritorsioni nei confronti del denunciante, con conseguente nullità di eventuali atti discriminatori adottati dall’amministrazione/ente e reintegra nel posto di lavoro;
• la sottrazione della disciplina del diritto di accesso di cui alla l. n. 241/1990 rispetto alla segnalazione.

La normativa sul whistleblowing - originariamente prevista solo per i soggetti pubblici – è stata in seguito integrata e rafforzata dalla l. n. 179/2017 che ha esteso anche al settore privato la tutela del whistleblower allo scopo di incentivare la collaborazione dei lavoratori e favorire l'emersione dei fenomeni corruttivi.

Il quadro normativo fin qui descritto è stato completato con l’adozione della Direttiva (UE) 2019/1937, pubblicata sulla Gazzetta Ufficiale dell’Unione Europea il 26 novembre 2019, che si pone l’obiettivo di armonizzare la normativa a tutela del dipendente segnalante a livello europeo, garantendo uno standard minimo di protezione.

Il parere del Garante sullo schema di decreto

In ragione dell’evidente impatto di tale istituto in ambito privacy (si pensi all’acquisizione e gestione di dati personali, anche appartenenti a particolari categorie di dati e relativi a condanne penali e reati) e del ruolo centrale che la protezione dei dati personali riveste in tale contesto, la Presidenza del Consiglio dei ministri ha richiesto all’Autorità Garante per la Protezione dei Dati Personali di esprimere il proprio parere sullo schema di decreto volto al recepimento della citata direttiva europea.

Giova precisare che, già nell’elaborazione dello schema, il Governo aveva tenuto in debito conto di tutte le indicazioni fornite dall’Autorità nell’ambito dei lavori preliminari alla stesura dello stesso.

Nello specifico, particolare attenzione è stata posta:

• alla revisione della nozione di violazione che, in quanto oggetto della segnalazione, condiziona l'ambito oggettivo di applicazione della disciplina;
• al perfezionamento della disciplina degli obblighi di riservatezza e dell’oggetto delle linee guida da emanare (su parere del Garante);
• all’integrazione della disciplina del trattamento dei dati personali funzionali al ricevimento e alla gestione delle segnalazioni, con particolare riguardo alla corretta individuazione dei ruoli dei soggetti coinvolti nel trattamento e al divieto di raccolta (con obbligo di cancellazione in caso di acquisizione accidentale) dei dati eccedenti;
• alla revisione del termine massimo di conservazione della documentazione della segnalazione, secondo criteri di compatibilità anche con la durata media del termine prescrizionale dei principali illeciti suscettibili di verificarsi e, comunque, con obbligo di adozione di adeguate misure volte a garantire la riservatezza dell’identità degli interessati.

In ottemperanza ai rilievi suesposti, lo schema (attualmente al vaglio delle Commissioni parlamentari) prescrive quanto segue:

• il canale di segnalazione deve garantire la riservatezza assoluta del segnalante, delle persone coinvolte e del contenuto della segnalazione stessa (anche mediante il ricorso alla crittografia);
• le segnalazioni possono essere effettuate in forma scritta - anche con modalità informatiche -  in forma orale, per telefono o attraverso sistemi di messagistica vocale, oppure mediante un incontro diretto. Le informazioni sulle modalità di segnalazione devono essere pubblicate nel sito internet del datore di lavoro in modo chiaro, visibile e accessibile;
• in caso di assenza o inefficacia dei canali di segnalazione interna, di timore di ritorsione o pericolo per l’interesse pubblico, è stata prevista per il whistleblower la possibilità di effettuare la segnalazione utilizzando un canale esterno attivato presso l’Autorità Nazionale Anti Corruzione (ANAC) che mantenga le medesime modalità e garanzie di riservatezza;
• le segnalazioni potranno essere conservate solo per il tempo necessario alla loro definizione e comunque per non più di cinque anni a decorrere dalla data di comunicazione dell’esito finale.

Pertanto, in considerazione del “complessivo e più puntuale adeguamento, dell’odierno testo, alle rappresentate esigenze di garanzia del diritto alla protezione dei dati personali dei soggetti coinvolti dall’applicazione della disciplina e l’assenza di criticità residue” l’Autorità Garante ha espresso il proprio parere favorevole in merito al decreto.