30

Set 2019

La disciplina in materia di “whistleblowing” è stata introdotta, per la prima volta, in Italia nel 2012 al fine di tutelare i dipendenti del settore pubblico che vogliono segnalare degli illeciti nell’ambito dell’organizzazione in cui lavorano.

La legge, naturalmente, non impone alcun obbligo di segnalazione, ma mira a tutelare da eventuali comportamenti ritorsivi chi decide di assumersi una simile responsabilità.

La Legge n.179/2017 ne ha esteso l’ambito di applicazione anche al settore privato, modificando il D.Lgs. n. 231/2001 sulla responsabilità amministrativa da reato delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica e garantendo così –anche nel settore privato- l’anonimato di chi segnali reati, irregolarità o il mancato utilizzo del modello di organizzazione ufficialmente adottato dall’azienda.

È importante tenere presente che per dipendente pubblico, cui è applicabile la tutela prevista in caso di segnalazione dall’art. 54-bis del D.Lgs. n. 165/2001 (il c.d. testo unico sul pubblico impiego), si deve intendere anche “quello che lavora o collabora nelle imprese che forniscono beni o servizi e che realizzano opere per la pubblica amministrazione”.

Nel settore pubblico, la legge n. 179/2017 vieta di diffondere –salvo casi particolari- l’identità del segnalante nell’ambito del procedimento penale, di quello instaurato davanti alla Corte dei Conti e di quello disciplinare; prevede pesanti sanzioni nei confronti di chi adotti misure discriminatorie nei confronti dei segnalatori, in caso di mancata o illegittima gestione della segnalazione o di mancata verifica della stessa. Sono considerati, inoltre, nulli gli atti discriminatori o ritorsivi ed è prevista la reintegrazione in caso di licenziamento.

Tali tutele non spettano al segnalante qualora ne venga accertata la responsabilità penale per i reati di calunnia o diffamazione o, comunque, per reati commessi con la denuncia o qualora ne venga accertata la responsabilità civile, per lo stesso titolo, nei casi di dolo o colpa grave del segnalante.

Per il settore privato, la legge prevede che nel modello organizzativo di cui al D.lgs 231/01 debbano essere predisposti uno o più canali per consentire al segnalante di presentare segnalazioni circostanziate di condotte illecite, di cui sia venuto a conoscenza in ragione delle funzioni svolte, e che debba essere predisposto “almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante”. Il modello organizzativo deve, inoltre, vietare misure discriminatorie o ritorsive nei confronti del whistleblower e sanzioni nei confronti di chi viola la tutela del segnalante ma anche di chi effettui con dolo o colpa grave segnalazioni che si rivelino infondate.

In tutti i settori, l’onere di dimostrare che le misure discriminatorie o ritorsive, adottate nei confronti del segnalante, sono motivate da ragioni estranee alla segnalazione grava sull’amministrazione o sul datore di lavoro.

Il segnalante non sarà mai soggetto a violazione di segreti d’ufficio, professionale o aziendale, in quanto la rivelazione di illeciti costituisce giusta causa di rivelazione sia in ambito privato che pubblico (costituisce, tuttavia, violazione dell’obbligo di segreto la rivelazione con modalità eccedenti rispetto alle finalità dell’eliminazione dell’illecito e, in particolare, la rivelazione al di fuori del canale di comunicazione specificamente predisposto a tal fine).

Già nel 2009, il Garante per la privacy aveva sollecitato una più compiuta disciplina del whistleblowing, evidenziando “i profili di interferenza di tale fenomeno con la disciplina di protezione dei dati personali” e –dopo l’entrata in vigore della L.179/2017- ha dettato alcune linee operative (Indicazioni operative del Garante 14.12.2018).

Il G.D.P.R., in effetti, ha introdotto alcune novità anche in materia di whistleblowing.

L’esigenza di tutelare l’anonimato e la riservatezza del segnalante (per prevenire ogni forma di ritorsione) può porsi, infatti, in contrasto con il diritto del segnalato ad accedere ai dati personali che lo riguardano (i diritti di accesso, rettifica, cancellazione, limitazione del trattamento, portabilità, opposizione, tutela rispetto a decisioni automatizzate previsti dagli artt. 15-22 GDPR).

L’art. 23 del GDPR prevede, tuttavia, che la normativa del singolo Stato possa prevedere delle limitazioni ai diritti dell’interessato previsti dagli artt. 15-22 citati qualora ciò sia necessario a salvaguardare –tra le altre- “la tutela dei diritti e delle libertà altrui”; in caso di limitazioni, peraltro, la normativa nazionale deve prevedere anche il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa.

L’art. 2-undecies del D.Lgs.101/2018 (che ha adeguato il nostro Codice privacy al GDPR) prevede che l’interessato non possa esercitare i citati diritti qualora dall’esercizio degli stessi possa derivare un pregiudizio effettivo e concreto –tra gli altri-: “a) agli interessi tutelati in base alle disposizioni in materia di riciclaggio; b) agli interessi tutelati in base alle disposizioni in materia di sostegno alle vittime di richieste estorsive; [..] e) allo svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria; f) alla riservatezza dell’identità del dipendente che segnala ai sensi della legge 30 novembre 2017, n. 179, l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio”.

Tali limitazioni devono essere applicate conformemente alle disposizioni di legge o di regolamento che regolano il settore[1], disposizioni che devono a loro volta prevedere il diritto degli interessati di essere informati della limitazione che li riguarda, a meno che ciò possa compromettere la finalità della limitazione stessa.

Più in generale, l’art. 2-undecies del G.D.P.R. prevede che, in ogni caso, l’esercizio dei diritti dell’interessato può essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere le finalità della limitazione, per il tempo e nei limiti in cui sia una misura necessaria e proporzionata.

Ricordiamo, a tal proposito, che la Legge n. 179/2017 sottrae espressamente la segnalazione al diritto di accesso agli atti amministrativi ex artt. 22 e ss. della Legge n. 241/1990.

L’art. 54-bis D.Lgs. n. 165/2001 prevede che l’identità del dipendente pubblico segnalante non può essere rivelata nel corso del procedimento penale fino alla chiusura della fase istruttoria; in caso di procedimento disciplinare, ove la contestazione disciplinare sia fondata su accertamenti distinti e ulteriori, anche se conseguenti alla segnalazione, l’identità del whistleblower non può essere rivelata mentre, nel caso in cui la contestazione disciplinare sia fondata in tutto o in parte sulla segnalazione e la conoscenza dell’identità del segnalante risulti indispensabile per la difesa dell’incolpato, la segnalazione potrà essere utilizzata ai fini disciplinari “solo in presenza del consenso del segnalante alla rivelazione della sua identità”.

Da questa rapida panoramica appare chiaro che, nel settore privato, lo schema adottato nel modello organizzativo per la gestione delle segnalazioni di eventuali illeciti è strettamente collegato e deve integrarsi con il sistema di gestione della privacy adottato dall’azienda. Il titolare del trattamento deve porre in essere adeguate misure volte a ridurre i rischi sottesi e correlati al trattamento dei dati del segnalante e del segnalato e l’impatto sui soggetti interessati (il Garante Europeo per la privacy, nelle “Guidelines on processing personal information within a whistleblowing procedure” del 18 luglio 2016, ha enfatizzato in particolare il principio di minimizzazione dei dati); il titolare del trattamento dovrà, inoltre, provvedere ad informare il proprio personale attraverso un’informativa ad hoc, redatta ai sensi dell’art. 13 del GDPR.

[1] Si tenga presente che, accanto alla Legge n. 179/2017 che ha portata generale, esistono anche disposizioni specifiche emanate nell’ambito delle diverse discipline di settore, da quello bancario e degli intermediari finanziari, al settore delle imprese assicurative alla normativa antiriciclaggio.