Whistleblowing: ok del Garante al decreto di recepimento

Scarica PDF Stampa

Lo scorso 18 gennaio, il Senato ha dato parere favorevole allo schema di decreto legislativo di recepimento della Direttiva UE 2019/1937, riguardante la protezione dei soggetti che, nelle Pubbliche Amministrazioni, segnalano violazioni del diritto dell’Unione da parte dell’Ente: il cosiddetto whistleblowing.
Peraltro, pochi giorni prima, con provvedimento n. 1 dell’11 gennaio 2023, il Garante per la protezione dei dati personali ha espresso il proprio parere favorevole sullo schema del decreto di recepimento, operando una revisione della disciplina del trattamento dei dati funzionali al ricevimento ed alla gestione delle segnalazioni con particolare focus sulla corretta individuazione dei ruoli soggettivi coinvolti nel trattamento e sul divieto di raccolta di dati eccedenti (principio di minimizzazione). Non solo, ma il Garante ha altresì rivisto il termine massimo di conservazione dei documenti inerenti la segnalazione (basando i propri criteri sulla compatibilità con i termini di prescrizione dei principali illeciti oggetto della normativa) e le adeguate misure di sicurezza volte a garantire la riservatezza degli interessati.
Infine, ed è qui che il legislatore si è spinto oltre la Direttiva, è stato stabilito dal decreto che tutti i soggetti che sono tenuti alla predisposizione di canali di whistleblowing debbano obbligatoriamente effettuare una valutazione d’impatto ai sensi del Regolamento Europeo per la Protezione dei Dati Personali 679/2016 (GDPR).
Tutto sembra quindi pronto per dare finalmente corso alla Direttiva. Vediamo quindi nel dettaglio che cos’è il whistleblowing, che cosa prevede lo schema di decreto legislativo e le implicazioni sul versante del trattamento dei dati personali.

Indice

1. Che cos’è il whistleblowing

Whistleblower significa letteralmente “soffiatore di fischietto”. Fuori di metafora, questo termine sta ad indicare il dipendente pubblico che segnala un illecito di cui viene a conoscenza all’interno del proprio ambiente lavorativo.
Secondo l’ANAC, il whistleblower è un dipendente della Pubblica Amministrazione (ma anche di un ente pubblico economico o di un ente di diritto privato che sia sottoposto a controllo pubblico oppure un lavoratore di un fornitore della pubblica amministrazione) che segnala comportamenti o situazioni irregolari non di interesse personale ma generale, di cui il segnalatore è venuto a conoscenza a causa del suo ruolo di dipendente dell’amministrazione o del fornitore dell’azienda pubblica.
Si tratta di un termine e di una figura di derivazione anglosassone, ma che è contemplata dalla legge italiana già dal 2107 (legge 179/2017) che tratta il tema della tutela del lavoratore che segnala illeciti nel proprio ambiente di lavoro, prevedendo che la segnalazione possa essere fatta al responsabile della prevenzione della corruzione e della trasparenza in azienda, all’ANAC, all’Autorità Giudiziaria ordinaria o alla Corte dei Conti. Le disposizioni principali della legge in questione riguardano il lavoratore che effettua la segnalazione e mirano in sostanza ad evitare che costui o costei subisca ripercussioni sul posto di lavoro per avere, per dirla con un termine poco giuridico, ma che rende bene l’idea, “fatto la spia”.
In base a questa legge, il dipendente non potrà quindi essere “demansionato, licenziato, trasferito, o sottoposto ad altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro determinata dalla segnalazione”.
Qualora si verificassero ripercussioni negative per il segnalatore, questi può segnalare la situazione all’ANAC o ai sindacati, per attivare la procedura degli organismi di garanzia (Dipartimento della funzione pubblica della Presidenza del Consiglio dei ministri).
L’identità del whistleblower non può essere rivelata, ed in particolare:

  • Nel procedimento penale, i dati del whistleblower sono tutelati dalle disposizioni sul segreto contenute nell’articolo 329 del Codice di procedura penale;
  • Nel procedimento alla Corte dei conti non può emergere chi sia il segnalatore fino alla conclusione dell’istruttoria;
  • Nel procedimento disciplinare, se l’identità del segnalatore serve alla persona incolpata per la propria difesa, questa può essere rivelata solo su consenso del diretto interessato.

A tutela del soggetto segnalatore sono previste sanzioni a carico dell’azienda (ad esempio in caso di licenziamento o demansionamento, così come sono previste sanzioni anche nel caso in cui in caso di segnalazione l’Ente non dia corso alle verifiche del caso.

2. La direttiva europea sul whistleblowing

Nel 2019, l’Unione Europea ha approvato la Direttiva UE 2019/1937, che ha fissato standard comuni minimi di protezione nei confronti del segnalatore e che ha avuto impatti anche sulla norma preesistente in Italia, contribuendo a “sdoganare” anche nel nostro Paese il tema del whistleblowing, estendendo l’obbligo di offrire canali di ricezione delle segnalazioni sicuri a tutte le aziende con più di 50 dipendenti sia pubbliche sia private.
Inoltre, la Direttiva ha previsto obbligo per l’Ente di incrementare la prevenzione, svolgendo indagini preliminari e adottando comportamenti proattivi volti non solo a perseguire, ma anche a prevenire gli illeciti ed ha ampliato la platea di soggetti protetti, estendendola non solo ai dipendenti, ma anche ai consulenti, ai fornitori, agli stagisti ed ai volontari.

Potrebbero interessarti anche

3. Lo schema del decreto di recepimento

Lo schema di decreto legislativo approvato in Senato applica in maniera rigida e quasi pedissequa la Direttiva (quando non ne amplia addirittura le previsioni, come visto per l’obbligatorietà di valutazione di impatto), e prevede:

  • la segnalazione di violazioni di disposizioni normative nazionali o dell’Unione Europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o di un ente privato;
  • la necessità di prevedere canali di segnalazione interni da parte di enti pubblici e aziende con più di 50 dipendenti;
  • l’estensione della tutela prevista per i whistleblower anche a collaboratori autonomi, liberi professionisti, volontari, azionisti, amministratori.

I canali per effettuare la segnalazione sono tre (come già previsto dalla Direttiva):

  • interno all’impresa o ente pubblico;
  • esterno, attivato dallo Stato (gestito da ANAC), accessibile solo in via residuale, cioè quando non è possibile attivare la segnalazione internamente;
  • pubblico, accessibile in via ulteriormente residuale, attraverso la stampa o il web, solo dopo che i primi due canali non abbiano dato alcun riscontro.

4. Il whistleblowing e la valutazione di impatto privacy

L’innovazione maggiore, che va oltre la Direttiva, è la previsione di un obbligo di effettuare la valutazione di impatto ai sensi dell’art. 35 del GDPR, ovvero una valutazione per valutare i rischi e l’impatto connessi con il trattamento dei dati nei procedimenti di whistleblowing.
La valutazione di impatto è un adempimento formale oneroso per gli Enti, soprattutto per le pubbliche amministrazioni di dimensioni più modeste e la sua obbligatorietà non era stata prevista dal parere del Garante sul decreto di recepimento.
La valutazione sensi del GDPR dovrà contenere, come previsto dal dettato normativo:

  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
  • una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • la valutazione dei rischi per i diritti e le libertà fondamentali degli interessati:
  • le misure di sicurezza previste dal titolare per minimizzare i rischi e presidiarli.

5. Il whistleblowing e la tutela dei dati personali

Per quanto riguarda il trattamento dei dati, oltre al citato obbligo di DPIA (Data Protection Impact Assesment, ovvero la valutazione di impatto), lo schema del decreto, nel recepire il parere del Garante, prevede:

  • l’obbligo di informativa in capo ai soggetti che attivano i canali di segnalazione interni, Titolari del trattamento;
  • la necessità di un accordo interno ai sensi dell’art. 26 GDPR per i soggetti che “condividono risorse per il ricevimento e la gestione delle segnalazioni”;
  • la necessità di nomina a responsabile esterno di eventuali fornitori che trattano dati personali per loro conto.

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento