Il ruolo privacy dell’organismo di vigilanza nel whistleblowing

Le nuove disposizioni introdotte dal D.Lgs. 24/2023, in attuazione alla Dir. UE 2019/1937 (cd. Direttiva Whistleblowing)hanno iniziato a produrre i loro effetti in Italia a decorrere dal 15 luglio 2023, con riferimento alle imprese che hanno impiegato, nell'ultimo anno, una media di lavoratori subordinati pari o superiore a 250 unità.

Il decreto – finalizzato a tutelare coloro che segnalano violazioni di disposizioni normative, nazionali o dell'Unione europea, che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell'ente privato di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato - ha previsto che ogni ente, sia pubblico sia privato, debba attivare i propri canali di segnalazione (interno, esterno e pubblico).

Per i soggetti del settore privato che hanno impiegato, nell'ultimo anno, una media di lavoratori subordinati inferiore a 249 unità (con contratti di lavoro a tempo indeterminato o determinato) l'obbligo di istituzione del canale di segnalazione interna ha effetto a decorrere dal 17 dicembre 2023; fino ad allora, continua ad applicarsi l'art. 6, c. 2-bis, lett. a) e b), D.Lgs. 231/2001, nella formulazione vigente fino a quella data (per coloro che hanno adottato un c.d. modello 231).

Diretta conseguenza dell'applicazione della disciplina è la necessità di inquadrare i ruoli dei diversi soggetti che intervengono nella gestione di un canale di whistleblowing ai sensi del Regolamento EU 2016/679 (GDPR). Tale gestione, infatti potrà essere assegnata a soggetti interni o esterni all'organizzazione  (es. il responsabile della funzione compliance ovvero un ente o soggetto esterno che si occupi di gestire la prima fase di ricezione delle segnalazioni).

A tal proposito, parecchie perplessità sorgono in merito al caso  in cui sia individuato quale destinatario delle segnalazioni l'Organismo di Vigilanza (anche “ OdV ”) ex D.Lgs. 231/2001 composto da membri completamente o parzialmente esterni.

La qualificazione ai fini privacy dell'ODV

Come noto, il D.Lgs. 231/2001 prevede che un Ente non risponda per reati commessi nel suo interesse o a suo vantaggio da soggetti che ricoprono funzioni apicali e da persone sottoposte alla loro direzione o vigilanza, ove dimostri di avere «adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire i reati della specie di quello verificatosi» e di avere «affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo», il compito di vigilare sul funzionamento e sull'osservanza di detti modelli e di curarne l'aggiornamento.

Il legislatore lascia all'ente la possibilità di prevedere, a seconda del modello organizzativo prescelto, una composizione dell'OdV monosoggettiva o plurisoggettiva, con la presenza di membri sia interni sia esterni all'ente.

I compiti assegnati all'OdV richiedono che questo sia dotato di autonomi poteri di iniziativa e di controllo, pertanto lo stesso si caratterizza per:

• autonomia e indipendenza;
• professionalità;
• continuità d'azione.

Ebbene, la dottrina si è divisa circa la qualificazione soggettiva da attribuire all'OdV in materia di privacy, in virtù della piena autonomia e dell'indipendenza summenzionate che caratterizzano l'Organismo nell'esercizio delle proprie funzioni. Semplificando le varie posizioni:

• parte della dottrina considera tale organismo quale Titolare del trattamento, proprio in ragione delle citate caratteristiche;
• secondo altri addetti ai lavori, esso è qualificabile quale Responsabile del trattamento, poiché l'OdV riceve e utilizza (tratta) dati personali pur sempre nel rispetto di quanto previsto dal MOGC e, comunque, in assenza di alcun potere decisionale in materia privacy;
• infine, vi è anche chi propone una terza soluzione, ossia considerare l'OdV e i suoi membri quali Autorizzati/Incaricati, trattandosi di soggetti interni all'Impresa/Ente.

Sulla vexata quaestio si è espressa l' Autorità Garante , con parere del 21 maggio 2020, affermando che l'OdV, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato «parte dell'ente» e i singoli componenti debbano essere designati quali soggetti autorizzati.

Tuttavia, il Garante nel medesimo parere - non esente da critiche e differenti prese di posizione in dottrina - precisa come esso abbia ad oggetto «solo il ruolo, ai fini privacy, che l'OdV assume con riferimento ai flussi di informazioni rilevanti ai sensi dell'art. 6, c. 1 e 2, D.Lgs. 231/2001, rimanendo escluso il nuovo e diverso ruolo che l'organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell'ambito della normativa di whistleblowing».

Pertanto, resta da comprendere la qualificazione soggettiva dell'OdV, composto da membri esterni, quale soggetto gestore del canale di segnalazione.

A tal proposito, è doveroso richiamare la posizione espressa da Autorità Nazionale Anticorruzione (ANAC) nelle Linee guida del 12 luglio 2023 secondo cui, qualora siano individuati dei soggetti esterni quali destinatari delle segnalazioni, essi debbano essere qualificati quali Responsabili del trattamento e, allo scopo, debba essere redatto apposito contratto ex art. 28 del GDPR.

Si prefigura pertanto la possibilità che l'Organismo di Vigilanza acquisisca, per il medesimo Titolare del trattamento, una duplice veste:

• soggetto autorizzato per i flussi informativi rilevanti;
• responsabile del trattamento in relazione al canale di segnalazione interna, per il quale, in ogni caso, dovrà verosimilmente utilizzare mezzi e strumenti (il canale medesimo) messi a disposizione dal Titolare stesso.

Accettando tale duplice qualificazione soggettiva, si verificherebbe di fatto un paradosso: l'OdV si troverebbe a operare quale autorizzato - non godendo, pertanto, di apprezzabili margini di autonomia operativa - nell'ambito di attività (gestione dei flussi informativi) per le quali tale organo dovrebbe operare secondo l'autonomia e indipendenza prescritta dalla legge; al contrario, l'OdV verrebbe qualificato quale Responsabile del trattamento nella gestione di un canale di segnalazione individuato e implementato da un Ente/Impresa (Titolare del trattamento), sottoposto a rigidi vincoli normativi e per il quale sarebbe garantita pochissima autonomia di azione.

Il medesimo problema (amplificato, addirittura) si porrebbe qualora si volesse ritenere l'OdV, individuato quale gestore del canale di whistleblowing, quale Titolare del trattamento, autonomo rispetto all'Ente/Impresa cui il canale appartiene.

In definitiva, non sarebbe sicuramente semplice – né, tantomeno, coerente con il dettato normativo - consentire questa “doppia veste” da parte dell'Organismo di Vigilanza, autorizzato per talune attività, titolare o responsabile per altre.

A parere di chi scrive, la corretta soluzione resta quella di individuare l'Organismo di Vigilanza in entrambe le sue funzioni quale Responsabile ex art. 28 GDPR, trattandosi in tutti i casi di trattamenti effettuati per conto del Titolare del trattamento, seppur con autonomia e indipendenza, nei limiti del ruolo previsti dalla legge e nel perimetro di attività individuate nel Modello 231.

Non resta che attendere, anche in conseguenza del mutato quadro normativo, un nuovo intervento del l' Autorità Garante , auspicabilmente più attento all'effettiva operatività e alle caratteristiche dell'OdV così come delineate dal D.lgs. 231/2001.