Riservatezza

Stampa

D.Lgs. 10 marzo 2023 n. 24 : Whistleblowing , protezione per i segnalanti di violazioni del diritto nazionale e europeo

Whistleblowing

La normativa UE - Il 26 novembre 2019 l'Unione Europea ha pubblicato la "EU Whistleblower Protection Directive". La Direttiva UE 1937/2019 disciplina la protezione dei whistleblowers all'interno dell'Unione, mediante norme minime di tutela, volte a uniformare le normative nazionali, tenendo conto che coloro che segnalano minacce o pregiudizi al pubblico interesse di cui sono venuti a sapere nell'ambito delle loro attività professionali esercitano il diritto alla libertà di espressione.

Lo scopo delle norme è di rafforzare i principi di trasparenza e responsabilità e di prevenire la commissione dei reati. L'ambito è limitato alle violazioni della normativa comunitaria nei settori espressamente indicati tra questi: appalti pubblici, servizi finanziari, sicurezza dei prodotti e dei trasporti, ambiente, alimenti, salute pubblica, privacy, sicurezza della rete e dei sistemi informatici, concorrenza.

La direttiva prevede una tutela per il whistleblower senza differenziazione tra settore pubblico e settore privato. Oltre all'obbligo di riservatezza riguardo all'identità del segnalante, delle persone coinvolte e del segnalato, si prevedono il divieto di ritorsione, con una esemplificazione delle fattispecie ritorsive, e misure di sostegno in favore della persona segnalante, che consistono in informazioni, assistenza e consulenze a titolo gratuito sui diritti della persona coinvolta e sulle modalità e condizioni di accesso al patrocinio a spese dello Stato. 

Legislazione italiana - Sino all'emanazione del D.Lgs. 10 marzo 2023 , n. 24 in Italia l'obbligo di istituire un sistema di whistleblowing che consentisse al segnalante di denunciare violazioni era previsto nel settore pubblico e, nel settore privato, esclusivamente per le società dotate di modello organizzativo ai sensi del D. Lgs.231/01, e per le società soggette al Testo Unico Bancario, al Testo Unico della Finanza, alla normativa antiriciclaggio e al codice delle assicurazioni private.

Ambiti di applicazione della normativa normativa nazionale - L'art.2, comma 1, lettera a) del decreto prevede i seguenti ambiti di applicazione: 

1) Illeciti amministrativi, contabili, civili o penali;

2) condotte illecite e rilevanti ai sensi del D.Lgs. 231/2001, o violazione dei modelli di organizzazione e gestione;

3) illeciti che rientrano nell'ambito di applicazione degli atti dell'Unione Europea o nazionali indicati nell'allegato al decreto o degli atti nazionali che costituiscono attuazione degli atti dell'Unione Europea indicati nell'allegato alla Direttiva 2019/1937, seppur non indicati nell'allegato al decreto relativamente ai seguenti settori: appalti pubblici; servizi, prodotti e mercati finanziari; prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza degli alimenti, dei mangimi e della salute e benessere degli animali; sicurezza e conformità dei prodotti; sicurezza dei trasporti; salute pubblica; tutela della vita privata e protezione dei dati personali; tutela dell'ambiente; radioprotezione e sicurezza nucleare; protezione dei consumatori; sicurezza delle reti e dei sistemi informativi;

4) atti o omissioni che ledono gli interessi finanziari dell'unione europea (art 325 TFUE);

5) atti e omissioni riguardanti (art 26, par 2 TFUE) la libera circolazione delle merci, delle persone, dei servizi e dei capitali nel mercato interno, comprese violazioni delle norme dell'Unione Europea in materia di Concorrenza; Aiuti di Stato e imposte sulle società.

6) atti o comportamenti che vanificano oggetto e finalità delle disposizioni Ue di cui ai punti 3,4 e 5.

La disciplina si applica, per i soggetti del settore pubblico, alle:

  • segnalazioni interne di violazioni dell'art 2 comma 1 lett a). 

La disciplina si applica, per i soggetti del settore privato:

1) con una media di almeno 50 lavoratori nell'ultimo anno;

2) con una media inferiore a 50 lavoratori nell'ultimo anno nei settori di cui all'allegato parte I e parte II del decreto: alle segnalazioni interne di violazioni dell'art 2 comma 1 lett a) numeri 3,4,5 e 6.

3) per i soggetti che adottano Modelli 231/01 con una media di almeno 50 lavoratori nell'ultimo anno: alle segnalazioni interne di violazioni dell'articolo 2 comma 1 lettera a);

4) per i soggetti che adottano modelli 231/01 con una media inferiore a 50 lavoratori nell'ultimo anno:  alle segnalazioni di condotte illecite rilevanti ai sensi del D. Lgs.231/01 o di violazioni dei modelli organizzativi 231. 

Esclusioni - Fatte salve le applicazioni di norme di procedura penale sul segreto ( art 329 CPP ), sono esclusi dall'applicazione del decreto : 

  • contestazioni, rivendicazioni o richieste di carattere personale, che attengono ai rapporti individuali di lavoro / figure gerarchicamente sovraordinate / colleghi;
  • segnalazioni di violazioni già disciplinate da leggi speciali, già regolate mediante regolamenti UE o Direttive già trasposte;
  • segnalazioni in materia di sicurezza e difesa, appalti nel settore difesa e sicurezza nazionale. Resta ferma la protezione di informazioni classificate, coperte da segreto professionale forense e medico e degli organi giudiziari. 

Segnalanti -  I soggetti che possono eseguire la segnalazione sono : 

  1. lavoratori dipendenti di PA e autorità amministrative indipendenti, enti di diritto privato sottoposti a controllo pubblico, enti pubblici economici, società in house, ecc.
  2. lavoratori subordinati di soggetti privati;
  3. lavoratori autonomi e collaboratori di soggetti pubblici e privati;
  4. lavoratori o collaboratori, che svolgono la propria attività lavorativa presso soggetti del settore pubblico o soggetti diversi che forniscono beni o servizi o che realizzano opere in favore di terzi;
  5. liberi professionisti e consulenti che prestano la propria attività presso soggetti del settore pubblico o presso soggetti diversi;
  6. volontari e i tirocinanti, retribuiti e non retribuiti, che prestano la propria attività presso soggetti del settore pubblico o presso soggetti diversi;
  7. azionisti e membri degli organi di amministrazione, direzione o vigilanza delle imprese

IL Decreto whistleblowing tutela il segnalante anche : 

- se il rapporto giuridico non è iniziato (selezione e fasi precontrattuali);

- durante il periodo di prova;

- dopo lo scioglimento del rapporto (se le informazioni sono state acquisite in corso di rapporto).

- ai cd. facilitatori (coloro che prestano assistenza al lavoratore nel processo di segnalazione);

- alle persone del medesimo contesto lavorativo della persona segnalante o che ha sporto una denuncia all'autorità giudiziaria o contabile o di colui che ha effettuato una divulgazione pubblica e che sono legate ad essi da uno stabile legame affettivo o di parentela entro il quarto;

- ai colleghi della persona segnalante o della persona che ha sporto una denuncia all'autorità giudiziaria o contabile o effettuato una divulgazione pubblica virgola che lavorano nel medesimo contesto lavorativo della stessa e che hanno con detta persona un rapporto abituale e corrente;

- agli enti di proprietà della persona segnalante o della persona che ha sporto una denuncia all'autorità giudiziaria a contabile o che ha effettuato una divulgazione pubblica o per i quali le stesse persone lavorano, nonché agli enti che operano nel medesimo contesto lavorativo delle predette persone. 

Il canale di segnalazione interno - I soggetti del settore pubblico e del settore privato, sentite le rappresentanze o organizzazioni sindacali, attivano un proprio canale interno di segnalazione.

Il canale di segnalazione deve garantire:

  • la riservatezza della identità della persona segnalante;
  • la riservatezza della persona coinvolta o menzionata nella segnalazione;
  • la riservatezza del contenuto della segnalazione;
  • la riservatezza dei documenti connessi alla segnalazione.

Il canale interno deve garantire le seguenti caratteristiche :  

- La gestione del canale deve essere affidata a:

  • persona o ufficio interno autonomo dedicato e con personale specificamente formato
  • oppure ad un soggetto esterno con le medesime caratteristiche;

- Sono previste 3 forme di segnalazioni:

  • scritta (anche informatica);
  • orale, con sistemi di messaggistica vocale o linee telefoniche;
  • incontro diretto (su richiesta).

- nel Settore pubblico, la gestione del canale deve essere affidata al RPCT;

- Il canale di comunicazione può essere condiviso:

  • nel settore pubblico, nei comuni non capoluogo di provincia;
  • nel settore privato, per enti che hanno impiegato nell'ultimo anno una media di lavoratori subordinati non superiore a 249 unità.

I tempi di gestione della segnalazione definiti dal Decreto whistleblowing sono :

  • entro 7 giorni deve essere fornito al segnalante l'avviso di ricevimento della segnalazione;
  • entro 3 mesi dalla data dell'avviso di ricevimento (in mancanza, entro tre mesi dalla scadenza del termine di 7 giorni dalla presentazione della segnalazione) deve essere fornito riscontro alla segnalazione.

In campo al gestore delle segnalazioni il Decreto whistleblowing stabilisce i seguenti obblighi : 

  1. mantenere interlocuzioni con il segnalante;
  2. richiedere integrazioni al segnalante, se necessario;
  3. fornire "seguito" diligente alla segnalazione;
  4. fornire informazioni chiare su canali, procedure e presupposti per effettuare segnalazioni interne ed esterne;
  5. esporre tali informazioni nei luoghi di lavoro o renderle accessibili per coloro che non li frequentano;
  6. per chi dispone di un sito web pubblicare le informazioni in apposita sezione dedicata.

La segnalazione esterna - La persona segnalante può effettuare una segnalazione esterna alle seguenti condizioni:

• non è prevista, nell'ambito del suo contesto lavorativo, l'attivazione obbligatoria del canale di segnalazione interna ovvero questo, anche se obbligatorio, non è attivo o, anche se attivato, non è conforme a quanto previsto dal decreto legislativo;

• la persona segnalante ha già effettuato una segnalazione interna e la stessa non ha avuto seguito;

• la persona segnalante ha fondati motivi di ritenere che, se effettuasse una segnalazione interna, alla stessa non sarebbe dato efficace seguito ovvero che la stessa segnalazione possa determinare il rischio di ritorsione;

• la persona segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.

• alle segnalazioni interne di violazioni dell'articolo 2 comma 1 lettera a). 

Il soggetto destinatario della segnalazione esterna - La segnalazione esterna deve essere inoltrata, sia per quanto concerne il settore pubblico che quello privato, all'Autorità Nazionale Anticorruzione (ANAC), che attiva un canale di segnalazione che garantisce, anche tramite il ricorso a strumenti di crittografia, la riservatezza dell'identità della persona segnalante, della persona coinvolta e della persona menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione.

Al fine di avviare un'azione di rafforzamento delle strutture coinvolte e di assicurare un presidio costante delle procedure e delle attività delineate dal decreto legislativo, la dotazione organica dell'ANAC verrà integrata di complessive ventidue unità di personale.

La modalità di effettuazione della segnalazione esterna - La segnalazione esterna può essere effettuata in forma scritta tramite piattaforma informatica, oppure in forma orale attraverso linee telefoniche o sistemi di messaggistica vocale, ovvero, su richiesta della persona segnalante, mediante un incontro diretto fissato entro un termine ragionevole.

La segnalazione inoltrata a soggetto diverso da ANAC deve comunque essere inviata all'autorità competente entro 7 giorni dal suo ricevimento.

Il ruolo e le attività di ANAC - L' Autorità designa personale specificamente formato per la gestione del canale di segnalazione esterna e provvede a svolgere le seguenti attività:

  1. fornire a qualsiasi persona interessata informazioni sull'uso del canale di segnalazione esterna e del canale di segnalazione interna, nonché sulle misure di protezione di cui al capo III del decreto legislativo;
  2. dare avviso alla persona segnalante del ricevimento della segnalazione esterna entro sette giorni dalla data del suo ricevimento, salvo esplicita richiesta contraria della persona segnalante, ovvero salvo il caso in cui l'ANAC ritenga che l'avviso pregiudicherebbe la protezione della riservatezza dell'identità della persona segnalante;
  3. mantenere le interlocuzioni con la persona segnalante e richiedere a quest'ultima, se necessario, integrazioni;
  4. dare diligente seguito alle segnalazioni ricevute;
  5. svolgere l'istruttoria necessaria a dare seguito alla segnalazione, anche mediante audizioni e acquisizione di documenti;
  6. dare riscontro alla persona segnalante entro tre mesi o, se ricorrono giustificate e motivate ragioni, sei mesi dalla data di avviso di ricevimento della segnalazione esterna o, in mancanza di detto avviso, dalla scadenza dei sette giorni dal ricevimento;
  7. comunicare alla persona segnalante l'esito finale, che può consistere anche nell'archiviazione o nella trasmissione alle autorità competenti o in una raccomandazione o in una sanzione amministrativa.
  8. ANAC dispone, inoltre, l'invio delle segnalazioni aventi ad oggetto informazioni sulle violazioni che non rientrano nella propria competenza alla competente autorità amministrativa o giudiziaria, ivi comprese le istituzioni, gli organi o gli organismi dell'Unione europea, e dà contestuale avviso alla persona segnalante dell'avvenuto rinvio.

L'autorità amministrativa competente garantisce, anche tramite ricorso a strumenti di crittografia, la riservatezza dell'identità della persona segnalante, della persona coinvolta e della persona menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione.

L' ANAC è tenuta  a trasmettere annualmente alla Commissione europea le seguenti informazioni:

  • il numero di segnalazioni esterne ricevute;
  • il numero e i tipi di procedimenti avviati a seguito delle segnalazioni esterne ricevute e relativo esito;
  • se accertati, i danni finanziari conseguenza delle violazioni oggetto di segnalazione esterna, nonché gli importi recuperati a seguito dell'esito dei procedimenti di cui alla lettera b).

In caso di significativo afflusso di segnalazioni esterne, ANAC può trattare in via prioritaria le segnalazioni esterne che hanno ad oggetto informazioni sulle violazioni riguardanti una grave lesione dell'interesse pubblico ovvero la lesione di principi di rango costituzionale o di diritto dell'Unione europea. Inoltre ANAC può non dare seguito alle segnalazioni che riportano violazioni di lieve entità e procedere alla loro archiviazione. 

L'adozione di Linee Guida da parte di ANAC - L' Autorità , sentito il Garante per la protezione dei dati personali, adotta, entro tre mesi dalla data di entrata in vigore del decreto legislativo, le linee guida relative alle procedure per la presentazione e la gestione delle segnalazioni esterne. Le linee guida prevedono l'utilizzo di modalità anche informatiche e promuovono il ricorso a strumenti di crittografia per garantire la riservatezza dell'identità della persona segnalante, della persona coinvolta o menzionata nella segnalazione, nonché del contenuto delle segnalazioni e della relativa documentazione. ANAC riesamina periodicamente, almeno una volta ogni tre anni, le proprie procedure per il ricevimento e il trattamento delle segnalazioni e le adegua, ove necessario, alla luce della propria esperienza e di quella di altre autorità competenti per le segnalazioni esterne nell'ambito dell'Unione europea. 

La divulgazione pubblica - La persona segnalante che effettua una divulgazione pubblica beneficia della protezione prevista dal decreto legislativo se, al momento della divulgazione, ricorre una delle seguenti condizioni:

a) la persona segnalante ha previamente effettuato una segnalazione interna ed esterna ovvero ha effettuato direttamente una segnalazione esterna, alle condizioni e con le modalità previste e non è stato dato riscontro in merito alle misure previste o adottate per dare seguito alle segnalazioni;

b) la persona segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse;

c) la persona segnalante ha fondato motivo di ritenere che la segnalazione esterna possa comportare il rischio di ritorsioni o possa non avere efficace seguito in ragione delle specifiche circostanze del caso concreto. 

Adempimenti in materia di privacy - Il decreto legislativo richiama direttamente all'art.13 il rispetto della normativa vigente in materia di dati personali. Rispetto a tale impostazione, il Garante per la Protezione dei Dati Personali ha già espresso in data 11.1.2023 parere favorevole. In concreto, questo comporta che i soggetti del settore pubblico e i soggetti del settore privato, che operano in qualità di "Titolari del Trattamento", dovranno recepire alcuni specifici adempimenti in materia di privacy:

  1. aggiornamento del Registro dei Trattamenti;
  2. predisposizione di un'idonea informativa a favore dei soggetti segnalanti e integrazione dell'informativa ai dipendenti;
  3. effettuazione di un'idonea Valutazione d'Impatto;
  4. verifica e implementazione delle misure di sicurezza atte a garantire la riservatezza e l'integrità dei dati del segnalante;
  5. in caso di esternalizzazione del servizio per la gestione delle segnalazioni, specifica formalizzazione dell'atto di nomina a Responsabile del Trattamento dei dati;
  6. predisposizione di una procedura operativa che minimizzi il trattamento dei dati, stabilendo anche un'adeguata retention per la conservazione dei dati stessi;
  7. in caso di condivisione di risorse per il ricevimento e la gestione delle segnalazioni con altri soggetti, predisposizione di idonei accordi di contitolarità con i soggetti coinvolti.

Adempimenti documentali privacy 

  1. Registro dei Trattamenti: ogni Organizzazione Titolare del Trattamento dei Dati dovrebbe aver già redatto, ai sensi dell'art.30 del GDPR, due diversi Registri delle Attività di Trattamento, uno per i trattamenti effettuati in qualità di Titolare, uno per i trattamenti effettuati in qualità di Responsabile. Il trattamento dei dati personali correlati all'attività di whistleblowing deve essere ovviamente inserito nell'elenco dei trattamenti svolti in qualità di Titolare, indicandone almeno: le finalità, una descrizione delle categorie di interessati e delle categorie di dati personali, le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali (nel caso, ad esempio, in cui siano conservati in cloud, in server NON localizzati all'interno dell'Unione Europea), i termini ultimi previsti per la cancellazione delle diverse categorie di dati e una descrizione generale delle misure di sicurezza tecniche e organizzative adottate a protezione dei dati stessi.
  2. Informative: saranno necessari due diversi interventi: a) sarà necessario aggiornare l'informativa al trattamento dei dati già redatta e somministrata a favore di dipendenti e collaboratori per rendere gli stessi edotti che, nei casi previsti dalla normativa (in caso di comportamenti potenzialmente illeciti), potrebbero essere oggetto di segnalazione; b) sarà necessario predisporre una nuova informativa specificamente indirizzata, invece, ai soggetti segnalanti. Tale informativa dovrà essere redatta ai sensi dell'art.13 o 14 del GDPR.
  3. Valutazione d'Impatto: il trattamento dei dati personali correlati all'attività di whistleblowing è considerato un trattamento ad "alto rischio" e, come tale, soggetta agli obblighi di cui all'art.35 del GDPR, ossia all'obbligo di effettuazione di una "Valutazione d'Impatto". Tale documento, conformemente alla normativa, dovrà contenere, almeno, una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso l'interesse legittimo perseguito dal titolare del trattamento; una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; una valutazione dei rischi per i diritti e le libertà degli interessati; le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al GDPR, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
  4. Lettera di autorizzazione: i soggetti individuati, a vario titolo, nella procedura operativa (vedi di seguito: adempimenti tecnico-organizzativi) quali soggetti incaricati del trattamento dei dati per le attività di whistleblowing dovranno ricevere un'idonea lettera di autorizzazione, ai sensi dell'art.29 del GDPR, con idonee e specifiche istruzioni per ogni specifico ruolo.

Adempimenti organizzativi  

  1. Misure di Sicurezza: come si è detto, il trattamento dei dati personali correlati alle attività di whistleblowing è da considerarsi un trattamento ad alto rischio; ciò comporta l'obbligo, per il Titolare, di dotarsi, ai sensi dell'art.32 del GDPR, di specifiche misure di sicurezza atte a garantire un'adeguata protezione dai rischi di distruzione, perdita, modifica (anche involontaria), divulgazione non autorizzata o accesso, in modo accidentale o illegale, ai dati personali trattati. Tra le misure più comunemente suggerite si raccomanda almeno un protocollo di cifratura, una gestione più "robusta" degli accessi e delle credenziali di autenticazione, l'eventuale adozione di protocolli https, ecc…
  2. Procedura Operativa: redazione e adozione di una procedura scritta che garantisca, almeno: un'adeguata retention dei dati e istruzioni dettagliate relativa alla distruzione dei dati stessi al termine del periodo di conservazione; un'adeguata minimizzazione del trattamento che comprenda anche l'identificazione dei dati strettamente necessari per le finalità di whistleblowing e l'immediata cancellazione dei dati non necessari; identificazione dei ruoli e delle responsabilità dei soggetti chiamati a gestire le attività di whistleblowing, con una ben definita segregazione delle funzioni e dei compiti assegnati ad ogni specifico ruolo. 

Adempimenti complementari 

  1. Responsabile del Trattamento: nel caso in cui, in conformità al provvedimento, le organizzazioni intendano esternalizzare la gestione delle attività di whistleblowing ad un soggetto terzo (azienda, professionista), sarà necessario procedere ad una specifica formalizzazione dell'atto di nomina a Responsabile del Trattamento, in conformità con quanto previsto dall'art. 28 del GDPR e contestuale verifica della filiera degli eventuali subfornitori, questo anche al fine di rilevare eventuali trasferimenti all'estero (in Paesi Extracomunitari, ad esempio negli USA) valutandone la legittimità.
  2. Contitolarità: nel caso di condivisione, con soggetti terzi (altre aziende o organizzazioni, ad esempio per società facenti parte del medesimo gruppo) di risorse per il ricevimento e la gestione delle segnalazioni, sarà necessario procedere alla redazione e sottoscrizione di un accordo di contitolarità conforme ai requisiti previsti dall'art.26 del GDPR che specifichi, almeno, le rispettive responsabilità di ogni singola organizzazione in merito all'osservanza degli obblighi riguardanti l'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 del GDPR, ossia gli obblighi di informativa. 

Sanzioni - L'ANAC applica al «responsabile» le seguenti sanzioni amministrative pecuniarie:

- da 10.000 a 50.000 euro quando accerta che sono state commesse ritorsioni o quando accerta che la segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l'obbligo di riservatezza di cui all'art.12;

- da 10.000 a 50.000 euro quando accerta che non sono stati istituiti canali di segnalazione, che non sono state adottate procedure per l'effettuazione e la gestione delle segnalazioni, ovvero che l'adozione di tali procedure non è conforme a quelle di cui agli articoli 4 e 5, nonché quando accerta che non è stata svolta l'attività di verifica e analisi delle segnalazioni ricevute;

- da 500 a 2.500 euro, nel caso di cui all'art.16, comma 3, salvo che la persona segnalante sia stata condannata, anche in primo grado, per i reati di diffamazione o di calunnia o comunque per i medesimi reati commessi con la denuncia all'autorità giudiziaria o contabile.