Whistleblowing: la protezione dei dati e i soggetti coinvolti

Il 9 marzo 2023 il Consiglio dei Ministri ha approvato in via definitiva il decreto legislativo 10 marzo 2023 n. 24 di attuazione della direttiva europea 2019/1937 (cd. Direttiva Whistleblowing) che disciplina la protezione dei whistleblower, ossia coloro che segnalano violazioni di disposizioni normative, nazionali o dell'Unione europea, che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell'ente privato di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato.

Le nuove norme introdotte dal decreto in esame, che aveva ricevuto parere favorevole dal l'Autorità Garante per la protezione dei dati personali (di seguito anche solo “l'Autorità” o “il Garante”) nel mese di gennaio 2023, hanno inziato a produrre i loro effetti in Italia a decorrere dal 15 luglio 2023, con riferimento alle imprese che hanno impiegato, nell'ultimo anno, una media di lavoratori subordinati pari o superiore a 250 unità.

Il decreto ha previsto che ogni ente, sia pubblico sia privato, debba attivare i propri canali di segnalazione (interno, esterno e pubblico) che garantiscano - anche tramite il ricorso a strumenti di crittografia - la riservatezza dell'identità del whistleblower, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e relativa documentazione.

Per i soggetti del settore privato che hanno impiegato, nell'ultimo anno, una media di lavoratori subordinati inferiore a 249 unità (con contratti di lavoro a tempo indeterminato o determinato) l'obbligo di istituzione del canale di segnalazione interna ha effetto a decorrere dal 17 dicembre 2023; fino ad allora, continua ad applicarsi l'art. 6, comma 2-bis, lettere a) e b), D.Lgs. 231/2001, nella formulazione vigente fino a quella data (per coloro che hanno adottato un c.d. modello 231).

La normativa in esame mira alla tutela dell'identità del segnalante. Pertanto, è evidente il suo impatto nelle politiche di trattamento dei dati personali adottate dai soggetti destinatari (si pensi all'acquisizione e gestione di dati personali, anche appartenenti a particolari categorie di dati e relativi a condanne penali e reati) tenuti al rispetto dei principi del Regolamento (UE) n. 2016/679 (di seguito anche “GDPR”) espressamente richiamato, in più occasioni, dal d.lgs. n. 24/2023.

Il presente elaborato focalizza l'attenzione sulle implicazioni del d.lgs. n. 24/2023 in ordine al trattamento dei dati personali.

Trattamento di dati personali

Una corretta gestione della procedura relativa al whistleblowing, perfettamente integrata all'interno di un sistema di gestione dei dati e finalizzata alla tutela della riservatezza degli stessi - tanto appartenenti al segnalante, quanto a colui nei confronti del quale è stata mossa un'accusa - favorisce il ricorso all'istituto de quo.

A tal fine, il legislatore dedica l'art. 13 del decreto in esame alla disciplina del trattamento dei dati personali che avviene in occasione delle segnalazioni, soffermandosi anche sulla previsione di una corretta compliance alla normativa privacy a opera di tutti i soggetti coinvolti a vario titolo nell'organizzazione. Di seguito, gli adempimenti specifici previsti per i soggetti destinatari dalla normativa:

• obbligo di conformità alle normative applicabili in materia di protezione dei dati personali;
• obbligo di rispettare il principio di minimizzazione;
• limitazioni all'esercizio dei diritti degli interessati - di cui agli artt. 15-22 (accesso, opposizione, limitazione del trattamento, ecc.) del GDPR - in virtù del fine perseguito dalla normativa in commento;
• obbligo per il soggetto ricevente - titolare del trattamento - di fornire al whistleblower e alle persone coinvolte (presunto trasgressore, testimoni e soggetti terzi) idonee informazioni ai sensi degli artt. 13 e 14 del GDPR in merito ai trattamenti di dati personali relativi al ricevimento e gestione delle segnalazioni; 
• obbligo di assegnare la gestione del canale a una persona o a un ufficio autonomo dedicato e con personale specificatamente formato;
• obbligo per i soggetti del settore pubblico e privato, che condividono risorse per il ricevimento e la gestione delle segnalazioni, di determinare in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi in materia di protezione dei dati personali;
• obbligo di rispettare il principio di limitazione della conservazione per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione;
• obbligo di effettuare una valutazione d'impatto e, più in generale, di definire il proprio modello di ricevimento e gestione delle segnalazioni interne individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati.

Giova precisare che la tutela della riservatezza, fondamento della normativa in esame, non deve essere confusa con la necessità di garantire l'anonimato. La garanzia di riservatezza è un chiaro elemento di incoraggiamento a effettuare segnalazioni pertanto è di fondamentale importanza adottare dei meccanismi volti a prevenire efficacemente accessi illegittimi ai dati personali.

Soggetti coinvolti

Il decreto in esame, vede coinvolti nel processo di segnalazione numerosi soggetti sia in qualità di parte “tutelata” (segnalante, facilitatori, colleghi, parenti o affetti stabili del whistleblower), sia in qualità di parte “obbligata alla tutela”  (soggetto ricevente, soggetto interno o esterno a cui viene affidata la gestione del canale di segnalazione).

Con riferimento ai soggetti cui si applicano le tutele della normativa in esame, come anticipato, il modello di ricevimento e gestione delle segnalazioni interne dovrà essere focalizzato sugli aspetti che riguardano la tutela dell'identità del segnalante. L'identità del whistleblower non potrà essere rivelata senza il <<consenso espresso>> del segnalante, fatta eccezione che ci si trovi nell'ambito di:

• un procedimento penale, dove l'identità del segnalante è sempre coperta dal segreto istruttorio ex art. 329 c.p.p.;
• un procedimento incardinato dinanzi alla Corte dei Conti, dove l'identità del segnalante non può essere rivelata fino alla chiusura della fase istruttoria;
• un procedimento disciplinare, dove l'identità della persona segnalante non potrà essere rivelata ove la contestazione dell'addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione potrà essere utilizzata, ai fini del procedimento disciplinare, solo in presenza del consenso espresso del segnalante.

Infine, si rammenta la necessità di inquadrare i ruoli dei diversi soggetti che intervengono nella gestione di un sistema di whistleblowing ai sensi del GDPR. In ragione della tipologia di organizzazione che ha implementato la procedura di segnalazione, potranno essere coinvolti nelle attività di trattamento differenti soggetti.

Tali soggetti – una persona singola o un ufficio autonomo dedicato, con personale specificatamente formato - a cui viene assegnata la gestione del canale possono essere interni o esterni all'organizzazione.

Qualora siano individuati dei soggetti esterni quali destinatari delle segnalazioni, essi dovranno essere qualificati quali Responsabili del trattamento e, allo scopo, dovrà essere redatto apposito contratto ex art. 28 del GDPR.

Ancora, i soggetti interni all'organizzazione che intervengono nella gestione delle segnalazioni, saranno da considerarsi autorizzati al trattamento ai sensi del combinato disposto degli artt. 29 e 32, par. 4, del GDPR e dell'art. 2-quaterdecies del d.lgs. n. 196/2003 e dovranno ricevere apposite e specifiche istruzioni da parte del Titolare in merito ai trattamenti di loro competenza.

Parecchie perplessità sorgono in merito al caso in cui sia individuato quale destinatario l'Organismo di Vigilanza (anche “OdV”) exd.lgs. n. 231/2001 composto da membri completamente o parzialmente esterni. Alla luce del parere del Garante del 21 maggio 2020, infatti, si prefigura la possibilità che l'OdV acquisisca, per il medesimo Titolare del trattamento, una duplice veste: soggetto autorizzato per i flussi informativi e Responsabile del trattamento in relazione al canale di segnalazione interna (il tema sarà oggetto di successivo apposito approfondimento).

Infine, gli eventuali soggetti terzi (es. fornitori di sistemi di segnalazione per il tramite di canali informatici) che possono, anche solo potenzialmente, trattare per conto del titolare i dati dei soggetti interessati, dovranno essere qualificati quali Responsabili del trattamento e dovrà essere redatto apposito contratto ex art. 28 del GDPR.

Provvedimenti del Garante

In Italia, il Garante ha avuto modo di ribadire a più riprese che gli enti devono prestare la massima attenzione nell'impostazione e gestione dei propri sistemi di whistleblowing, garantendo la riservatezza dei segnalatori. In tal senso, nel corso del triennio 2020 – 2022, l'Autorità ha sanzionato con un serie di provvedimenti alcune aziende interessate da data breach causati dalla mancata adozione di idonee modalità di trattamento dei dati acquisiti tramite sistemi di whistleblowing. Di seguito si riportano le violazioni più ricorrenti individuate:

• utilizzo di sistemi informatici privi dei requisiti di sicurezza richiesti dalla normativa, tanto da consentire l'identificazione di chi utilizzava tali sistemi, tra cui i potenziali segnalanti;
• mancata consegna dell'informativa privacy per finalità di segnalazione degli illeciti;
• assenza di una Valutazione di impatto, nonostante il trattamento dei dati personali mediante i sistemi di acquisizione e gestione delle segnalazioni di presunte condotte illecite presenti rischi specifici per i diritti e le libertà degli interessati;
• mancato inserimento di tali operazioni nel registro delle attività di trattamento.

Il Garante, inoltre, ha evidenziato più volte come il soggetto ricevente – Titolare del trattamento - che adotti procedure tecnologiche per la segnalazione di possibili comportamenti illeciti debba verificarne l'idoneità, sotto il profilo delle misure tecnico-organizzative adoperate e dei software utilizzati, a tutelare la riservatezza di chi invia le denunce.

In definitiva, il soggetto ricevente, nell'adempimento relativo all'attivazione del canale interno, non può conformarsi semplicemente a quelle che sono le specifiche tecniche messe a disposizione dall'eventuale fornitore terzo del programma, dal momento che, operando come titolare del trattamento, rimane sempre e comunque in capo a quest'ultimo la “responsabilità generale” del trattamento dei dati personali che avviene in occasione delle segnalazioni.