Il Whistleblowing non è un tema nuovo, ma è sempre stato riservato alle Pubbliche Amministrazione o alle Aziende che avevano adottato un Modello ai sensi del Dlgs 231/2001.
Lo scenario è destinato a cambiare.
E’, infatti, in procinto di essere adottata anche Italia la “Direttiva 2019/1937 del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione” che – tra le altre cose – modifica i sistemi di comunicazione che le imprese devono implementare e allarga l’obbligo non più solo alle Aziende che hanno un Modello 231.
Indice
Che cos’è il WHISTLEBLOWING?
Il “whistleblowing” è un sistema di denuncia da un lavoratore il quale, nello svolgimento delle proprie mansioni, si accorge di un rischio o una situazione di pericolo che possa arrecare danno all’azienda/ente per cui lavora, nonché a clienti, colleghi, cittadini, e qualunque altra categoria di soggetti.
Analogamente, il Whistleblower è definito dalla Treccani come:
allertatore civico, segnalante: chi, dopo aver constatato illeciti nella struttura pubblica o privata per la quale lavora, denuncia l’illecito per dovere civico.
Il problema sul quale il legislatore è sempre intervenuto è quello di incentivare l’implementazione di sistemi di whistleblowing che garantissero il segnalante da ritorsioni di qualsiasi tipo.
L’evoluzione della normativa
La disciplina sul whistleblowing, nata negli Stati Uniti nel lontano 1863 e successivamente affermatasi anche nel Regno Unito, è da sempre oggetto di particolare interesse nei contesti di common law. Diversamente, nell’area di civil law le prime normative in materia sono arrivate solo a seguito di una spinta proveniente dal diritto internazionale (“Convenzione del Consiglio d’Europa sulla corruzione” firmata a Strasburgo il 4 novembre 1999).
In sede europea, così come in Italia, il whistleblowing è stato orientato, in particolare, a prevenire la corruzione.
Nel settore privato, la riforma principale è stata introdotto dalla legge n. 179 del 2017 che, integrando l’art. 6 del D.Lgs. 231/2001, ha previsto l’obbligo per le Aziende che adottano Modelli Organizzativi 231 di istituire uno o più canali per le segnalazioni nel rispetto della riservatezza del segnalante.
Tuttavia sino ad oggi, essendo l’adozione del Modello facoltativa anche le misure di whistleblowing non coprono tutte le Aziende.
Lo scenario è destinato a cambiare con la Direttiva (UE) 2019/1937.
I contenuti della Direttiva UE 2019/1937
Naturalmente nell’Unione Europea non solo l’Italia aveva adottato delle discipline di whistleblowing, ma ciascun Paese dell’UE ha sino ad oggi avuto una propria disciplina. Nell’aprile 2018, la Commissione UE lancia una proposta di direttiva whistleblowing volta a fornire una protezione uniforme per il whistleblowing che termina con l’adozione nel 2019 della “Direttiva 2019/1937 del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione”.
La Direttiva si applica alle imprese pubbliche e private (non solo a chi adotta un Modelli 231). E l’intenzione del legislatore è di incoraggiarne l’applicazione anche a imprese con meno di 50 dipendenti.
Vediamo i principali elementi.
a) Whistleblower
Indubbiamente uno degli aspetti più interessanti della disciplina UE, partendo dalla definizione di segnalanti che possono essere:
- le persone aventi la qualità di lavoratore, compresi i dipendenti pubblici;
- le persone aventi la qualità di lavoratore autonomo;
- gli azionisti e i membri dell’organo di amministrazione, direzione o vigilanza di un’impresa, compresi i membri senza incarichi esecutivi, i volontari e i tirocinanti retribuiti e non retribuiti;
- qualsiasi persona che lavora sotto la supervisione e la direzione di appaltatori, subappaltatori e fornitori (…) comprese le persone segnalanti il cui rapporto di lavoro non è ancora iniziato nei casi in cui le informazioni riguardanti una violazione sono state acquisite durante il processo di selezione o altre fasi delle trattative precontrattuali.
b) I canali per consentire la segnalazione
Nei considerando della Direttiva i segnalatori rilevano la difficoltà di rivolgersi alle autorità esterne. Per questo si impone l’istituzione di canali interni, ma prevedendo tre diversi canali per le segnalazioni.
c) La procedura interna
Per la direttiva, i sistemi di comunicazione interna devono essere “progettati, realizzati e gestiti i modo sicuro e tale da garantire la riservatezza dell’identità della persona segnalante e dei terzi”.
Pur non essendo precisato in maniera chiara ed esplicita, la direttiva sembra riferirsi all’utilizzo di piattaforme o sistemi automatici per la gestione della procedura interna. In altri termini, è escluso il mero utilizzo di un indirizzo e-mail, finora sufficiente negli attuali sistemi di whistleblowing richiesti dai Modelli 231.
Indipendentemente dai sistemi scelti, la procedura dovrà essere così strutturata.
d) Misure a tutela dei segnalatori
Prima di tutto deve essere tutelata la riservatezza del whistleblower, attraverso il divieto di divulgare i suoi dati senza il suo consenso espresso, salvo eccezioni naturalmente in casi particolari.
I segnalanti sono poi tutelati dal divieto espresso di forme di ritorsione, come licenziamento, sospensione, retrocessione, mutamento di funzioni, misure disciplinari, discriminazione, ecc. Devono inoltre essere previste misure di sostegno, anche sotto forma di patrocinio legale a spese dello stato in caso di giudizio.
Il rispetto del GDPR nei sistemi di whistleblowing
Interessante è notare come in sede di attuazione il legislatore italiano abbia lasciato più spazio di quanto abbia fatto la Direttiva alla disciplina della tutela dei dati. Di seguito, i principali riferimenti al trattamento dei dati presenti nello schema di attuazione.
- Articolo 12: le segnalazioni non possono essere utilizzate oltre quanto necessario per dare adeguato seguito alle stesse (principio di finalità, art. 5, par.1, lett. b del GDPR).
- Articolo 12: l’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate a trattare tali dati ai sensi degli artt. 29 e 32, par. 4, del GDPR e dell’art. 2-quaterdecies del Codice Privacy (principio di riservatezza, art. 5, par. 1, lett. f del GDPR).
- Articolo 13: i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non devono essere raccolti o, se raccolti accidentalmente, devono essere cancellati immediatamente (principio di minimizzazione dei dati, art. 5, par. 1, lett. c del GDPR).
- Articolo 14: la conservazione delle segnalazioni, interne ed esterne, e della relativa documentazione deve essere limitata al tempo necessario al trattamento della segnalazione (principio di limitazione della conservazione, art. 5, par. 1, lett. e del GDPR) e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.
Rispetto, poi, ai canali di segnalazione non bisogna dimenticare il rispetto del principio di accountability e la necessità di identificare le misure tecniche e organizzative adeguate. L’articolo 4 suggerisce già il ricorso a strumenti di crittografia. Ma certamente, come ha già precisato il Garante, andrà fatta una valutazione di impatto sulle piattaforme o sistemi automatizzati. Si ricorda, in proposito, che il Garante è già intervenuto sul tema analizzando piattaforme e sistemi già utilizzate e in essere (rif. Ordinanza ingiunzione nei confronti di Aeroporto Guglielmo Marconi di Bologna S.p.a. – 10 giugno 2021; Ordinanza ingiunzione nei confronti di Azienda ospedaliera di Perugia – 7 aprile 2022, Ordinanza ingiunzione nei confronti di ISWEB S.p.A. – 7 aprile 2022).
Infine, ma non certo in ordine di importanza, da non omettere la regolamentazione dei rapporti con eventuali fornitori esterni che trattano dati personali.
L’attuazione italiana
L’Italia è in ritardo sull’attuazione della Direttiva, tant’è che è stata aperta la procedura di infrazione.
Tuttavia, è stato approvato lo schema di decreto approvato il 9 dicembre 2022 dal CdM che ha ricevuto recentemente anche il parere positivo del Garante Privacy e dell’ANAC. Ma lo schema non è al momento esente da critiche.
In particolare, Confidustria individua le seguenti criticità:
- l’inclusione delle imprese con meno di 50 dipendenti tra i destinatari della nuova disciplina, purché siano dotate di un modello organizzativo 231, con conseguente ampliamento dell’ambito soggettivo di applicazione;
- la previsione della possibilità di divulgazioni pubbliche delle mere violazioni del modello 231, al pari di quelle del diritto dell’UE e delle altre tipologie di violazioni contemplate, con conseguente ampliamento del campo di applicazione oggettivo;
- l’assenza di un adeguato bilanciamento tra l’emersione delle violazioni e i rischi di danni reputazionali all’impresa e al segnalato (le c.d. “persone coinvolte”), in presenza di segnalazioni che si rivelino false o infondate;
- la carenza di una specifica disciplina per la tutela della c.d. “persona coinvolta”.
Cosa cambia “operativamente” per le aziende
In attesa dell’approvazione del Decreto italiano che attua la Direttiva, qualche considerazione può essere fatta.
Come si è capito, si allarga oltremodo il numero delle Aziende che devono istituire un sistema di comunicazione interno. Su quale sia il sistema di comunicazione conforme per la Direttiva, le Aziende avranno l’onere e l’onore di fare le proprie valutazioni. Ma da una prima analisi sembra che, rispetto ai modelli di whistleblowing 231, non sia più sufficiente una banale e-mail. L’offerta sul mercato di piattaforme di whistleblowing è elevato e in continuo aumento e con costi estremamente variabili.
La selezione del giusto fornitore non può basarsi solo sul costo. È importante tenere in considerazione le misure di sicurezza e analizzare tutto il flusso anche sotto il profilo del trattamento dei dati.
Il rischio reputazionale segnalato da Confindustria per le divulgazioni pubbliche è un punto critico, da considerare alla luce del testo definitivo.