La disciplina del cd. whistleblowing garantisce un elevato livello di protezione delle persone che segnalano violazioni del diritto dell’Unione

Nel gennaio scorso il Garante per la protezione dei dati personali ha fornito parere favorevole sullo schema di Decreto Legislativo che dà attuazione alla Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, la cd. direttiva “whistleblowing”.

Lo schema di Decreto riconduce ad un unico testo normativo la disciplina relativa alla tutela delle persone che segnalano violazioni di norme, tra le quali quelle in materia di protezione dati, di cui siano venute a conoscenza in ambito lavorativo, sia pubblico che privato.

Introdotta con notevole ritardo rispetto al termine del 17 dicembre 2021 inizialmente previsto, la disciplina relativa alla protezione dei c.d. “whistleblower“, termine anglosassone tradotto con “suonatori di fischietto”, ovvero i soggetti che denunciano la commissione di illeciti all’interno di organizzazioni o enti.

Il fine di questa normativa è nobile: chi segnala fornisce informazioni che possono portare all’indagine, all’accertamento, e al perseguimento dei casi di violazioni delle norme, rafforzando in tal modo i principi di trasparenza e responsabilità delle istituzioni democratiche. Al fine di rendere l’azione efficace la norma prevede di evitare che i soggetti che fanno delle segnalazioni abbiano conseguenze negative successive alla propria condotta virtuosa, sia a tutela della propria riservatezza, a favore della propria manifestazione di libertà di espressione e informazione, che in caso di ritorsioni.

Un parere favorevole molto atteso quello del Garante, tanto che il 15 marzo 2023 è stato pubblicato il D.Lgs 10 marzo 2023, n. 24 di recepimento della Direttiva UE 2019/1937, riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione” (cd. disciplina whistleblowing). Detto parere si presume sarà aggiornato tenendo conto delle indicazioni dell’ANAC- Autorità nazionale anticorruzione, contenute nello “Schema di linee guida in materia di protezione delle persone che segnalano …” in consultazione pubblica, pubblicato i primi di giugno 2023.

Innanzitutto, è necessario precisare che la nuova disciplina si applica alle violazioni delle disposizioni normative nazionali e dell’Unione Europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui i soggetti segnalanti siano venuti a conoscenza in un contesto lavorativo pubblico o privato.

Tuttavia, le segnalazioni devono avere un oggetto ben preciso e c’è una netta distinzione fra segnalazioni in ambito pubblico e privato.

Se fra i soggetti pubblici rientrano le amministrazioni pubbliche, le autorità amministrative indipendenti, gli enti pubblici economici, i concessionari di pubblico servizio, le società a controllo pubblico e le società in house, anche se quotate, per il settore privato, s’intendono le organizzazioni che hanno impiegato, nell’ultimo anno, la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato o si sono dotati di un modello di organizzazione e gestione 231, anche se nell’ultimo anno non hanno raggiunto la media di 50 lavoratori subordinati.

Sia in ambito pubblico che privato le segnalazioni possono essere fatte da:

  • lavoratori dipendenti e autonomi
  • collaboratori, liberi professionisti, volontari, tirocinanti
  • le persone con funzione di direzione amministrazione e controllo.

Da evidenziare che la disciplina si applica anche alle segnalazioni che riguardino violazioni acquisite nell’ambito di un rapporto di lavoro nel frattempo terminato, nonché a coloro il cui rapporto di lavoro non sia ancora iniziato, qualora le informazioni sulle violazioni oggetto della segnalazione siano state acquisite durante il processo di selezione, ovvero in altre fasi precontrattuali.

Tre gli strumenti individuati per la segnalazione:

– canali di segnalazione interni all’ente;

– canale esterno gestito dall’ANAC;

– divulgazione pubblica tramite la stampa, o mezzi elettronici, o mezzi di diffusione in grado di raggiungere un numero elevato di persone.

Proprio grazie al parere preventivo fornito dall’Autorità Garante al Governo in sede stesura del decreto, il testo pubblicato prevede chiaramente la nozione di violazione, definisce precisi obblighi di riservatezza e contempla un termine massimo di conservazione della documentazione.

Di fondamentale importanza. Il canale di segnalazione deve garantire la riservatezza assoluta del segnalante, delle persone coinvolte e del contenuto della segnalazione stessa mediante il ricorso alla crittografia.

Le segnalazioni possono altresì essere effettuate in forma scritta, anche con modalità informatiche, in forma orale, per telefono o attraverso sistemi di messagistica vocale, oppure mediante un incontro diretto.

Per dare massima trasparenza e conoscibilità, le informazioni sulle modalità per effettuare il whistleblowing devono essere pubblicate nel sito internet del datore di lavoro in modo chiaro, visibile e accessibile. Con le stesse modalità e garanzie di riservatezza è inoltre prevista la possibilità di effettuare la segnalazione su di un canale esterno attivato presso l’ANAC in caso di assenza o inefficacia dei canali di segnalazione interna, di timore di ritorsione o pericolo per l’interesse pubblico.

Le segnalazioni infine possono essere conservate solo per il tempo necessario alla loro definizione e comunque per non più di cinque anni a decorrere dalla data di comunicazione dell’esito finale. Al fine del rispetto di tale limite temporale, l’Organizzazione dovrà quindi prevedere all’interno delle procedure/regolamenti/circolari di servizio per la gestione delle segnalazioni nonché appositi strumenti che consentano la cancellazione dei dati personali trattati.

Con il parere preventivo l’Autorità Garante ha quindi ribadito che vengano rispettati i principi cardine del Regolamento Europeo 2016/679: accountability, ovvero la rendicontazione e responsabilizzazione del Titolareadozione delle misure di sicurezza tecniche ed organizzative per garantire che i dati personali trattati non siano soggetti a rischi di accesso abusivo, di perdita o di trattamento illecito.

ANAC ha il potere di sanzionare le violazioni della nuova disciplina. In particolare, l’Autorità applica le seguenti sanzioni amministrative pecuniarie:

  • da 10.000 a 50.000 euro quando accerta che sono state commesse ritorsioni o quando accerta che la segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l’obbligo di riservatezza;
  • da 10.000 a 50.000 euro quando accerta che non sono stati istituiti canali di segnalazione, che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni ovvero che l’adozione di tali procedure non è conforme a quelle previste per i canali interni, nonché quando accerta che non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute;
  • da 500 a 2.500 euro nei confronti del segnalante, qualora sia accertata la sua responsabilità civile, a titolo di dolo o colpa grave, per diffamazione e calunnia.

I soggetti del settore privato che adottano un modello organizzativo 231, con meno di 50 dipendenti, devono prevedere nel sistema disciplinare sanzioni nei confronti dei responsabili degli illeciti sopra richiamati.

Si sottolinea che ANAC il 1° giugno u.s. ha avviato la consultazione pubblica al seguente link  https://www.anticorruzione.it/-/schema.linee.guida.whistleblowing, sullo schema di Linee Guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e delle disposizioni nazionali. La consultazione si chiuderà il 15 giugno p.v.

Per la definizione delle Linee guida si dovrà tenere conto del parere del Garante per la protezione dei dati personali previsto dall’art. 10 del d.lgs. 24/2023.

Autorità Garante ed Anac stanno lavorando a stretto contatto per poter rispettare le tempistiche previste per l’adeguamento visto che sono molto stringenti, avendo la norma adottato un criterio dimensionale che prevede il termine del 15 luglio 2023 per i soggetti del settore privato che abbiano impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, oltre le 249 unità.

Sono invece tenuti all’adeguamento entro il 17 dicembre 2023 i soggetti che abbiano impiegato nell’ultimo anno la media di almeno 50 unità, o che rientrino in ambiti di attività definite “rilevanti” o che abbiano adottato i modelli di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/2001 in tema di responsabilità amministrativa da reato delle società e degli enti.

Per tutte le informazioni  contatta il Servizio Privacy

Articoli correlati

    Legal
    21 Maggio 2021
    VACCINAZIONI NEI LUOGHI DI LAVORO E RUOLO DEL MEDICO COMPETENTE: protezione dei dati e indicazioni generali sul trattamento. Le indicazioni del Garante Privacy: Provvedimento del 13 maggio 2021
    Legal
    17 Maggio 2024
    Tutelarsi dall’aumento delle insolvenze e dai default aziendali
    Legal
    29 Settembre 2023
    REGOLAMENTO INFORMATICO AZIENDALE: policy e procedure IT in linea con il GDPR
    Legal
    30 Aprile 2021
    Attenzione ai sistemi di rilevazione delle presenze basati sui dati biometrici dei dipendenti. Se manca la base normativa si rischia la sanzione
    Legal
    20 Luglio 2021
    Attacchi informatici alle aziende in aumento: informazione e formazione contro gli attacchi dei pirati del web
    Legal
    20 Settembre 2021
    NOVITA’ SULLA GESTIONE DEI COOKIE CON L’INTRODUZIONE DELLE “LINEE GUIDA COOKIE E ALTRI STRUMENTI DI TRACCIAMENTO” - 10 GIUGNO 2021