La disciplina del whistleblowing si basa sul bilanciamento dell’esigenza, da parte della Pubblica amministrazione o delle imprese private, di assicurarsi “notizie di reato” con la necessità di tutelare, da eventuali ritorsioni, i dipendenti che segnalano irregolarità di cui siano venuti a conoscenza nell’ambito del rapporto di lavoro. In particolare, il dipendente pubblico che segnala illeciti non può essere sottoposto a provvedimenti disciplinari e può usufruire di una rete di protezione contro le azioni ritorsive. Nel settore privato, invece, le imprese hanno l’obbligo di introdurre tutele ad hoc nei modelli organizzativi con i medesimi scopi di tutela.
La condotta del whistleblower impone un delicato bilanciamento tra l’esigenza di assicurare notizie propedeutiche all’inizio di attività di natura sanzionatoria e le esigenze di garanzia per i soggetti incolpati, che devono poter avere conoscenza di tutto il materiale utilizzato contro di loro.
Altro nodo cruciale, legato alla tutela dei dati personali, è quello di conciliare le aspettative di riserbo del segnalante (a garanzia di eventuali ritorsioni) con il diritto di accesso riconosciuto al soggetto al quale si riferisce la segnalazione, cioè il segnalato. Ci si chiede anche come bilanciare l’esigenza di trasparenza nell’uso delle informazioni riguardanti soggetti segnalati, con la necessità di mantenere riservate le attività ispettive.
Il GDPR, in più punti, incontra la disciplina italiana sul whistleblowing. Ciò sia con riferimento alla base giuridica del trattamento, sia con riferimento all’esercizio dei diritti o, meglio, alla limitazione dell’esercizio di diritti dei soggetti interessati.
Per verificare la conformità del sistema di whistleblowing alle normative in materia di tutela dei dati personali, in primis il GDPR, è necessario analizzare vari aspetti:
- Innanzitutto la legittimità dei sistemi di segnalazione: adempimento di un obbligo legale o perseguimento del legittimo interesse del Titolare?
Su questo aspetto è intervenuto il Garante che ha rilevato come nel vigore del nuovo Regolamento, qualsiasi trattamento di dati personali dovrà presentare un fondamento di liceità, costituito dal consenso dell’interessato, ovvero dalla necessità di adempiere un obbligo contrattuale o di legge, o dalla necessità di eseguire compiti di interesse pubblico o salvaguardare interessi vitali, ovvero perseguire il legittimo interesse del titolare del trattamento (cfr. articolo 6 Reg.). Dovendosi escludere per ovvi motivi che le aziende possano procurarsi il consenso liberamente manifestato di tutti i propri dipendenti e collaboratori alla soggezione ad un sistema di segnalazioni, si potrebbe essere tentati di concludere che, grazie alla nuova normativa, la base giuridica per il trattamento di dati che consegue all’adozione di un sistema di reportistica aziendale sia l’adempimento di un obbligo di legge.
Tuttavia, tale soluzione sarebbe una conclusione affrettata, perché l’adozione di questi sistemi di reportistica da parte degli enti è subordinata all’adozione, a monte, di un modello organizzativo aziendale, che a sua volta costituisce sì un onere per le aziende stesse, ma non un obbligo.
Si ritiene pertanto che sia più corretto ricondurre il whistleblowing “all’italiana” nell’alveo del perseguimento del legittimo interesse, assumendo che questo sia stato soppesato ab origine dal legislatore del 2017 nel confronto con gli altri interessi in gioco, in primis quelli dei segnalati, e ritenuto quindi meritevole.
- Avviato il sistema è necessario effettuare indagini sulla segnalazione ricevuta tenendo presente il principio di finalità e di pertinenza nel trattamento dei dati.
Uno dei principali requisiti di legittimità dell’uso dei dati personali contenuti nelle segnalazioni è il rispetto del principio di finalità, a sua volta corredato da quello di pertinenza, in ossequio al principio di minimizzazione dei dati su cui si basa il GDPR. Nel caso del whistleblowing, la finalità consiste nel perseguire uno scopo investigativo ovvero di vigilanza per l’accertamento di eventuali illeciti di natura penale commessi da propri dipendenti o rappresentanti e che espongano l’azienda a responsabilità 231. Pertinenza vuole dire che formeranno oggetto di trattamento solo quei dati personali che sono funzionali alle finalità indicate, quindi, escludendo l’uso di tutte quelle informazioni ininfluenti per lo scopo. Ne deriva, come diretta conseguenza del principio di pertinenza, la conformità all’ulteriore principio privacy della “non eccedenza”: vale a dire della raccolta ed utilizzo da parte dell’organo incaricato di valutare la segnalazione, solo dei dati personali strettamente necessari per lo svolgimento delle funzioni di vigilanza ed investigazione.
- Da qui il problema principale: come coordinare la tutela del segnalante con quella del segnalato?
La tutela del segnalante è, in primis, confermata dalla rubrica della norma che recita “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza…”. Per tutelare il segnalante, infatti, la norma pone l’accento sulla garanzia della riservatezza dei suoi dati e la norma stessa sembra volta a tutelare unicamente il soggetto segnalante da possibili ritorsioni.
Pertanto, l’identità del segnalante potrà essere rivelata all’autorità disciplinare e all’incolpato solo nei casi in cui:
- vi sia il consenso espresso del segnalante;
- la contestazione dell’addebito disciplinare risulti fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità del segnalante risulti indispensabile alla difesa dell’incolpato.
In particolare l’identità del segnalante deve essere protetta sia in fase di acquisizione della segnalazione che in ogni contesto successivo alla stessa, ad eccezione dei casi in cui l’identità debba essere rilevata per legge (es. indagini penali, tributarie o amministrative, ispezioni di organi di controllo, ecc).
Sembra quindi che i diritti del segnalato non possano essere esercitati fino a quando sussista il rischio che comunicando le informazioni ricevute si comprometta la verifica sulla fondatezza della denuncia e sulla raccolta delle prove.
Nell’intento, però, di proteggere l’identità del segnalante, il soggetto segnalato viene privato della possibilità di aver accesso a tutte le informazioni sull’origine dei dati che lo riguardano, contrastando così con l’art. 15 GDPR secondo il quale l’interessato ha il diritto di conoscere, qualora i dati non siano raccolti presso di lui, tutte le informazioni disponibili sulla loro origine. L’argomento era stato trattato dal Gruppo per la tutela dei personali (WP29) nel già citato Parere 1/2006, che, confermando la limitazione del diritto d’accesso del segnalato con i principi riguardanti la privacy, lasciava la possibilità all’interessato di poter accedere ai dati del segnalante solo in caso di riscontrate segnalazioni calunniose.
I correttivi a tutela del segnalato pare quindi che si attivino quando la segnalazione è infondata, cosa che si potrà verificare solo ex post indagine. Anche il diritto di difesa potrà essere esercitato ex post conoscendo l’identità del segnalante. Pertanto, il segnalato ha a disposizione gli strumenti accordati dall’ordinamento ma azionabili solo ex post quando ormai il pregiudizio nel contesto lavorativo potrebbe già essersi concretizzato.
Per bilanciare le tutele tra segnalante e segnalato è quindi necessario tracciare un sistema equilibrato tramite procedure chiare e precise che si sviluppano in 3 fasi:
- presentazione della segnalazione: anonima o nominativa. Se anonima è difficile l’accertamento della verifica della fondatezza della stessa con conseguente pregiudizio per il segnalato. Quindi due soluzioni: o non si ammettono segnalazioni anonime oppure si ammettono ma devono essere adeguatamente circostanziate (fondate su elementi di fatto precisi e concordanti). È quindi necessario individuare gli elementi che la segnalazione dovrebbe necessariamente recare al fine di trovare seguito. Comunque è indispensabile scongiurare il rischio che al lavoratore sia consentito di presentare segnalazioni pretestuose e che il tutto si traduca nell’istituzione di un vero e proprio “regime di sospetto”, che incentivi oltremodo l’impiego dello strumento, con un’inaccettabile limitazione dei diritti del segnalato.
- gestione della segnalazione: l’istruttoria deve essere gestita da soggetti terzi rispetto alla società, preferibilmente non l’OdV quando è presente un soggetto interno, poiché lui stesso potrebbe essere il segnalato. È indispensabile istituire inoltre misure di sicurezza adeguate così come previsto dall’art. 32 GDPR per tutelare i dati ricevuti.
- sistema disciplinare: qui troviamo l’unica disposizione espressa a tutela del segnalato e cioè sanzioni verso chi effettua con dolo o colpa grave segnalazioni che si rivelino infondate
Possiamo quindi dire che la tutela dei diritti delle persone segnalate rientra in una logica di bilanciamento “a doppio binario”: da un lato, essa si comprime inevitabilmente nella fase di verifica interna (specie quando l’istruttoria sfocia nella necessità aziendale di agire o difendersi in giudizio), dall’altro la stessa conserva il proprio vigore, visto che, per la corretta gestione della procedura di segnalazione interna, è richiesta in ogni caso l’adozione degli accorgimenti innanzi descritti. Se la vicenda presenta i connotati della raccolta di informazioni per finalità difensive dell’azienda (sia quella in fase di ricezione delle informazioni da parte del denunciante sia quella oggetto di specifica attività investigativa ad opera dell’organo di controllo), la gestione di questi dati personali può avvenire legittimamente “a fari spenti”: le esigenze di secretazione prevalgono sul diritto alla trasparenza informativa della persona segnalata e, di conseguenza, sulla necessità di acquisirne preventivamente il consenso al trattamento dei propri dati personali.
Sul punto il GDPR prevede espressamente che la portata del diritto di accesso possa essere limitata dagli Stati membri per salvaguardare interessi quali “la prevenzione, l’indagine, l’accertamento e il perseguimento di reati” o “la tutela dei diritti e delle libertà altrui”. Il potenziale conflitto con la normativa comunitaria in questo caso sembra disinnescato dall’art. 23 del Regolamento, che prevede la facoltà per ogni Stato membro di limitare per legge la portata del diritto di accesso per salvaguardare interessi quali, ad esempio, “la prevenzione, l’indagine, l’accertamento e il perseguimento di reati”, o anche “la tutela dei diritti e delle libertà altrui”. Si può, appunto, ritenere che la legge sul Whistleblowing abbia introdotto un limite normativo al diritto di accesso, in nome soprattutto dell’interesse alla protezione e repressione di certi reati nel contesto aziendale che adotta il Modello 231.
Pertanto, una volta esaurita l’esigenza di difesa giudiziaria – elemento che congela provvisoriamente talune tutele privacy – l’interessato (segnalato) recupera la pienezza dei propri diritti: potrà accedere ai dati oggetto della segnalazione – escluso il nominativo del segnalante se non per motivi visti precedentemente – chiedere la rettifica dei dati inesatti, incompleti o non aggiornati e, soprattutto, la cancellazione di quei dati per i quali è cessato lo scopo di conservazione. Pertanto, è necessario circoscrivere le tutele alla riservatezza del segnalante anche da punto di vista temporale in ossequio al principio di finalità e pertinenza.
Per avere indicazioni più precise in materia, bisogna sicuramente aspettare delle best practice in materia. Quel che è certo è che è necessario promuovere la diffusione e conoscenza effettiva del sistema di whistleblowing istituito all’interno del contesto aziendale di riferimento.
Il sistema di whistleblowing, alla luce del Regolamento (UE) 2016/679, dovrebbe dunque prevedere:
- canali di comunicazione interna ed esterna con specifica definizione delle finalità delle segnalazioni;
- garanzie adeguate sulla riservatezza delle informazioni ricevute e sulla protezione dell’identità dei segnalatori e di tutte le altre persone coinvolte;
- la corretta applicazione del principio della minimizzazione del trattamento dei dati (cioè trattare i dati esclusivamente per le finalità relative all’attività di indagine da svolgere);
- il rispetto dei principi di data retention;
- ruoli attribuiti ai vari attori coinvolti nella procedura anche dal punto di vista del cd. organigramma privacy
- periodi di conservazione dei dati proporzionati a ciascun singolo caso di segnalazione; e
- misure organizzative e tecniche di sicurezza basate su un’adeguata valutazione dei rischi.