La recente disciplina.
Questo simpatico termine inglese, whistleblower (colui che soffia nel fischietto) identifica il dipendente pubblico o privato che segnala a chi di dovere comportamenti, atti od omissioni che costituiscono illeciti (o lasciano presumere che si stiano commettendo illeciti) di natura civile, penale, contabile ed amministrativa; deve trattarsi, però, di comportamenti che ledano gli interessi o l’integrità della P.A. o di un ente privato, dunque, che abbiano un risvolto di interesse generale, non personale. La disciplina è nata negli U.S.A. nel 1863 (1) e si è, successivamente, diffusa nei Paesi di common law. Nei Paesi di civil law, come il nostro, l’istituto del Whistleblowing ha avuto diffusione negli ultimi due decenni, soprattutto per l’esigenza di combattere la corruzione e sotto la spinta della normativa internazionale (2)
Al whistleblower, naturalmente, data la delicatezza della sua posizione, e considerando che egli esercita il diritto alla libertà d’espressione” (così la dir. UE 2019/1937) l’ordinamento giuridico offre una tutela. (3) Ma si sottolinea che il dipendente non ha alcun dovere di indagare o mettersi di proposito a cercare l’illecito: la normativa lo obbliga a segnalare il fatto di cui sia venuto a conoscenza in ragione del rapporto di lavoro ed in maniera casuale.
Fino al 30 marzo 2023, l’istituto del Whistleblowing era disciplinato dall’art. 54 bis del D. Lgs. n. 165/2001, dall’art. 6, comma 2 bis e seguenti del D. Lgs. 231/2001, dalla Legge n. 179/2017.
Ma a seguito di un procedimento d’infrazione avviato dall’U.E. nei confronti dell’Italia, poiché il nostro Paese non si era adeguato entro la fine del 2021 alla dir. U.E. n. 2019/1937, il 10/03/2023 è stato emanato il D. Lgs. n. 24, in vigore dal 30/03/2023 (ma le disposizioni hanno effetto dal 15/07/2023) che ha abrogato le fonti summenzionate in materia, riunendole in un unico decreto legislativo, ed ha ampliato la disciplina di protezione dei whistleblower: innanzi tutto, estendendola ai dipendenti privati e, inoltre, anche alle persone loro vicine, come vedremo più avanti.
Pertanto, l’attuale decreto n. 24/2023, che è corredato di due allegati, di cui il secondo elenca le norme che disciplinano tutele specifiche sottratte alle disposizioni comuni, di cui al decreto in parola, in materia di whistleblowing, si applica:
-ai dipendenti della P.A.,
-degli enti pubblici economici,
-degli enti privati sottoposti a controllo pubblico,
-delle società inhouse,
-dei concessionari di pubblico servizio,
-ai lavoratori subordinati del settore privato,
-ai lavoratori autonomi,
-agli azionisti delle S.p.A.
La protezione si estende ai colleghi, ai parenti entro il IV grado, che lavorino con il segnalatore (il motivo è intuitivo: evitare che per timore di ritorsioni nei confronti delle persone affettivamente più vicine, il lavoratore rinunci a segnalare le violazioni delle norme – sia nazionali che dell’Unione Europea-) e ai facilitatori, una nuova figura introdotta dal decreto: essi sono le persone che, in ambito lavorativo, supportano ed assistono il segnalatore: sindacalisti, colleghi, avvocati, etc.
La tutela si applica anche quando il rapporto di lavoro non è ancora iniziato (si pensi, ad esempio, al candidato ad un concorso che venga a conoscenza di irregolarità tali da inficiare l’interesse generale alla selezione ed assunzione di personale preparato e capace); altresì, durante il periodo di prova; e anche quando il rapporto di lavoro è cessato, ma si era venuti a conoscenza del fatto da segnalare durante il periodo di servizio. Colui che segnala deve almeno avere il fondato sospetto di un illecito, suffragato da elementi importanti, non da semplici illazioni o dicerie.
La segnalazione può essere fatta per iscritto, con mezzi informatici, oralmente e in presenza (la modalità orale e quella in presenza sono una novità introdotta con il D. Lgs. n. 24/2023), durante un incontro protetto all’interno del proprio ente, attraverso il canale di segnalazione predisposto a tal fine, o all’esterno, attraverso il canale ANAC.
La gestione del canale di segnalazione (l’ente dovrà avere anche una pagina web dedicata al whistleblowing, in totale anonimato) è affidata ad una persona o ad un ufficio interno, con personale all’uopo formato, oppure ad un centro esterno che presenti le medesime caratteristiche di formazione specifica. Negli enti pubblici il gestore del canale di segnalazione è il Responsabile per la prevenzione della corruzione e per la trasparenza.
La segnalazione esterna, tuttavia, rappresenta un’eccezione, in quanto è consentita solo nei seguenti casi: se sul posto di lavoro non sia prevista la segnalazione interna; se la segnalazione fatta non abbia avuto un seguito; se il segnalante abbia il fondato sospetto che la segnalazione potrebbe costituire un pericolo imminente per l’interesse pubblico.
A seguito della presentazione della segnalazione, l’ente rilascia al segnalante una ricevuta; il personale preposto, mentre nel frattempo dà seguito alla segnalazione raccolta, mantiene il contatto con il segnalante, dandogli un riscontro dello sviluppo della situazione entro i successivi tre mesi. Tale meccanismo di riscontro costituisce una novità nella disciplina.
Poiché una segnalazione potrebbe anche non avere un seguito, il Legislatore ha previsto un terzo canale di comunicazione, oltre a quello interno e a quello esterno: la divulgazione pubblica (art. 15 D. Lgs. n. 24/2023). Essa prevede, a determinate condizioni, che le informazioni sulle violazioni possano essere divulgate pubblicamente, attraverso i vari media, sia tradizionali (tv, stampa, radio) sia più moderni (web, social media, etc.). Si tratta di un canale residuale, però, poiché il soggetto beneficerà della tutela solo se avrà effettuato una segnalazione interna o esterna, senza ricevere riscontro, oppure se abbia motivo di ritenere che la violazione costituisca un pericolo imminente per l’interesse pubblico oppure se ritenga fondatamente che la segnalazione esterna lo possa esporre a rischio di ritorsioni o non avere seguito o che le prove possano andare distrutte o che chi riceva la segnalazione possa essere complice dell’autore della violazione.
La protezione del whistleblower.
La tutela del whistleblower passa inevitabilmente attraverso la protezione della sua privacy, con tutte le criticità che possano presentare i due aspetti da bilanciare: da una parte, l’interesse a sanzionare i comportamenti illeciti e, dall’altra, la tutela del segnalante; in aggiunta, il diritto di accesso da parte del segnalato ai dati che lo riguardano.
Iniziamo col dire che le norme sulla protezione dei dati devono essere rispettate dall’ente o dall’azienda, ma se il canale di segnalazione è fornito da terzi, questi devono essere considerati responsabili del trattamento, ai sensi dell’art. 28 GDPR.
Riguardo ai canali di segnalazione, poiché il whistleblower deve essere protetto da eventuali ritorsioni e misure discriminatorie, è fondamentale che il processo di segnalazione sia progettato e disciplinato conformemente alle norme del GDPR e del Codice della Privacy (secondo il modello di privacy by design e privacy by default , ai sensi dell’art. 25 GDPR), affinché l’identità del segnalatore ed i dati che possano individuarla rimangano anonimi.
Il trattamento dei dati personali sui canali di segnalazione non ha bisogno del consenso degli interessati, poiché rappresenta una delle fattispecie previste dall’art. 6 GDPR e 24 D. Lgs. 196/2003 (Codice della Privacy): adempimento di un obbligo di legge.
Parimenti, non è necessaria l’informativa di cui all’art. 13 D. Lgs. 196/2003 alla persona segnalata, finché la segnalazione sia valutata solo dal titolare del trattamento e non inviata ad altri soggetti (naturalmente, se la trasmissione è obbligatoria ex lege o per far valere un diritto in sede giudiziaria, l’informativa non è dovuta ed il consenso ex art. 24 D. Lgs. 196/2003 non è richiesto). Invece, il titolare è tenuto a predisporre l’informativa, contenente le modalità e le basi giuridiche del trattamento, da portare a conoscenza del segnalante.
In ottemperanza ai principii di finalità, pertinenza e minimizzazione, i dati da trattare sono solo quelli necessari e sufficienti a valutare la condotta illecita: non altri. Per tutelare il segnalante, anche il diritto di accesso in capo al segnalato viene limitato, secondo la lettera dell’art. 23 GDPR: alla fine dell’indagine e dell’accertamento, l’accesso sarà possibile, ma per conoscere l’identità del whistleblower sarà necessario il consenso di quest’ultimo. Senza il suo consenso espresso, la sua identità e i dati da cui essa possa desumersi non possono essere rivelati a nessuno, tranne che alle autorità competenti a ricevere la segnalazione e darle seguito. Inoltre, l’identità continua a rimanere segreta, a meno che essa sia l’unico modo per provare il comportamento illecito segnalato.
Oltre che alla Pubblica Amministrazione, le norme del D. Lgs. n. 24/2023 che obbligano ad istituire i canali di segnalazione si applicano anche alle aziende che abbiano più di 50 dipendenti; più precisamente: quelle che superano il numero di 250 dipendenti, sono tenute ad applicarle immediatamente; quelle che hanno un numero di dipendenti che va dai 50 ai 249, entro il 2023.
Inoltre, ai sensi dell’art. 30 GDPR, il titolare del trattamento dei dati, deve tenere un Registro dei trattamenti, da aggiornare all’uopo.
Visto che la posizione delle persone coinvolte nell’attività di segnalazione è particolarmente delicata e vulnerabile ( la norma parla di “rischi specifici per i diritti e le libertà delle persone fisiche“, (4) indipendentemente dalla quantità di dati trattati ed interessi coinvolti), il titolare dovrà procedere alla valutazione d’impatto sulla privacy (DPIA) prevista dall’art. 35 GDPR, per valutare le misure tecniche ed organizzative da adottare prima del trattamento, anche con la consultazione preventiva dell’Autorità garante della privacy, ove fosse necessario.
Naturalmente, vanno prese tutte le misure possibili, per la tutela dell’identità del segnalante, come la crittografia o la non-tracciabilità delle connessioni del segnalante alla procedura informatica, oppure l’invito al colloquio con il Responsabile delle procedure di segnalazione formulato sulla mail personale del dipendente, ma anche la garanzia che solo certe figure interne all’ente o all’azienda conoscano l’identità del segnalante e via dicendo: le misure di protezione dei dati sono illimitate; per il principio di responsabilizzazione introdotto dal GDPR, il titolare del trattamento, in caso di diffusione illegittima dei dati che è tenuto a proteggere, dovrà dare prova di aver preso tutte le precauzioni possibili per tutelare la riservatezza, altrimenti sarà considerato sanzionabile
(1) Si fa riferimento alla disciplina statunitense, che prevedeva una ricompensa per il denunciante, finalizzata a ridurre i comportamenti fraudolenti ai danni del governo da parte dei fornitori di materiale bellico, durante la guerra di Secessione. Secondo altri, il termine “whistleblowing” trae origine dall’abitudine dei poliziotti inglesi di fischiare per richiamare l’attenzione su un fatto criminoso flagrante.
(2) Convenzione del Consiglio d’Europa sulla corruzione (4/11/1999); Convenzione delle Nazioni Unite (31/10/2003)
(3) Se la Storia è maestra di vita, come dice Cicerone, anche la protezione di chi riferisce (il delatore, qui nell’accezione neutra dell’etimo “colui che riporta”, dal lat. defero, defers, detuli, delator, deferre ) ha lontane origini: nel 331 a. C. una schiava chiese ed ottenne la protezione dal Senato di Roma, per svelare il nome dell’autore di una serie di avvelenamenti di patrizi dell’Urbe.
(4) Art. 35 GDPR, comma 1.