Whistleblowing: cosa prevede la nuova normativa. Obblighi, adempimenti e sanzioni

È in vigore dal 30 marzo 2023 il decreto legislativo 10 marzo 2023, n, 24 (nel testo: Decreto o D.Lgs. 24/23) che recepisce nel nostro ordinamento la direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019[1], riguardante la protezione delle persone che segnalano violazioni di disposizioni normative nazionali o dell’Unione europea (cd. direttiva whistleblowing[2]). Violazioni di cui siano venuti a conoscenza in un contesto lavorativo pubblico o privato che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato.

Whistleblowing: la nuova normativa

Iter della legge, novità e prossimi passi

Sullo schema di Decreto si era già espresso favorevolmente il Garante per la protezione dei dati personali (nel testo: Garante) con provvedimento n. 1 dell’11 gennaio 2023 che aveva sottolineato come lo schema recepisse tutte le raccomandazioni fornite nell’ambito dei lavori preliminari, con attenzione particolare alla stessa nozione di violazione, al rispetto degli obblighi di riservatezza, alla revisione del termine massimo di conservazione della documentazione (non più di cinque anni a decorrere dalla data di comunicazione dell’esito finale).

Il testo che introduce novità rilevanti rispetto alla disciplina oggi in vigore[3] per il settore pubblico (con previsioni obbligatorie) e per il settore privato (adeguamento volontario), non si discosta dalla bozza sottoposta al parere del Parlamento[4], e pur introducendo alcune differenze nella regolazione dei due settori (che non agevolano l’applicazione), impattano in egual misura e in maniera rilevante, su tutti i soggetti destinatari imponendo un ripensamento dell’intera architettura fino ad ora utilizzata.

Oltre alla predisposizione di canali di segnalazione, progettati, realizzati e gestiti in modo sicuro e tecnologicamente affidabili, occorre tener conto dell’esigenza di formazione interna dei dipendenti ed esterna degli altri stakeholder anche sull’utilizzo dello strumento informatico, ma esige soprattutto scelta accurata e formazione specifica di quei soggetti che saranno incaricati di ricevere le segnalazioni oltre alla pianificazione e diffusione di procedure lineari ed efficaci.

Il quadro che si viene a delineare dovrà essere completato dalle Linee guida adottate dall’Autorità nazionale anticorruzione (nel testo: Anac), sentito il Garante, entro il prossimo 30 giugno, al fine di definire le procedure e la gestione delle segnalazioni esterne[5]. Le linee guida con l’obiettivo di garantire la riservatezza del segnalante, della persona coinvolta o menzionata nella segnalazione nonché del contenuto delle segnalazioni e della relativa documentazione dovranno prevedere l’utilizzo di modalità anche informatiche anche con il ricorso a strumenti di crittografia dell’identità della persona. Le linee guida saranno sottoposte a revisione triennale e dovranno tener conto delle esperienze maturate anche da parte delle altre autorità competenti europee.

Come prevede l’art. 24 del Decreto, le nuove norme avranno effetto a decorrere dal 15 luglio 2023 per gli enti pubblici e per una parte dei soggetti del settore privato che ne sono destinatari. L’eccezione riguarda “i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a duecentoquarantanove” per i quali l’obbligo di istituzione del canale di segnalazione interna decorre dal 17 dicembre 2023.

Registriamo qui la prima grande novità del Decreto che estende, in misura rilevante, l’ambito di applicazione della tutela e, di conseguenza, i destinatari degli obblighi:

• settore pubblico: tutti indistintamente[6];
• settore privato:
  • le aziende che hanno impiegato in media nell’ultimo anno almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • le aziende che operano nei settori regolamentati a livello europeo (es. settore dei mercati finanziari e del credito, sicurezza trasporti, tutela ambiente) anche se nell’ultimo anno non hanno raggiunto la media di almeno 50 lavoratori subordinati;
  • le aziende che adottano modelli di organizzazione, gestione e controllo ai sensi del DLgs 231/01 anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati.

Ambito di applicazione oggettivo

Il Decreto riconduce ad un unico testo la disciplina relativa alla tutela delle persone che segnalano violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato.

Come dispone il secondo comma dell’articolo 1 sono esclusi dall’ambito di applicazione della nuova disciplina, in particolare, le contestazioni o rivendicazioni di carattere personale nei rapporti individuali di lavoro o di impiego pubblico e le segnalazioni di violazioni in materia di sicurezza nazionale o di appalti relativi ad aspetti di difesa o sicurezza nazionale, salvo che tali aspetti siano riconducibili al diritto unionale.

In sintesi si può affermare che l’oggetto della segnalazione potrà riguardare non solo violazioni effettive o potenziali della normativa europea in determinati settori, ma anche violazioni della normativa nazionale e regolamentare. Nella definizione di violazioni vanno ricompresi non solo i comportamenti ma anche atti e omissioni o informazioni per i quali il segnalante abbia fondati sospetti che possano concretizzare violazioni, supportati da elementi concreti.

Viene infine introdotta una clausola di salvaguardia generale in favore delle disposizioni di procedura penale e di quelle sulle prerogative sindacali dei lavoratori e sulla repressione delle condotte antisindacali, di cui all’articolo 28 della legge 20 maggio 1970, n. 300.

Ambito di applicazione soggettivo

L’articolo 3 del Decreto individua quali soggetti interessati dalla tutela per la segnalazione degli illeciti (in quanto suscettibili di eventuali atti ritorsivi) tutti coloro che, nel settore privato come in quello pubblico, forniscono prestazioni a favore di terzi a qualsiasi titolo, a prescindere dalla natura di tali attività, anche in assenza di corrispettivo.

La platea dei soggetti disegnata dai commi 3 e 4 dell’art. 3 del D.Lgs. 24/23 è, infatti, la più ampia possibile: tutti i dipendenti pubblici e i lavoratori subordinati, i lavoratori autonomi e collaboratori che svolgono la propria attività presso i soggetti pubblici e privati oppure forniscono beni o servizi; liberi professionisti e consulenti, ma anche volontari e tirocinanti anche non retribuiti. Infine la tutela si estende agli azionisti e alle persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche laddove tali ruoli siano esercitati in via di mero fatto.  

Soggetti tutti che vengono a conoscenza di condotte illecite nel loro contesto lavorativo[7].

Inoltre l’ambito della tutela nei confronti di tali soggetti, nella triplice forma di tutela della riservatezza, tutela contro le ritorsioni e previsioni di cause di esclusione della responsabilità, deve essere assicurata anche quando il rapporto di lavoro non sia ancora iniziato, durante il periodo di prova o successivamente allo scioglimento del rapporto purché le informazioni siano state acquisite nel corso del rapporto stesso o durante il processo di selezione.

Inoltre rileva l’ulteriore allargamento del perimetro dei soggetti che beneficiano della protezione -sempre con l’obiettivo di agevolare e incentivare l’attività del segnalatore riducendone il timore di ritorsioni e responsabilità- che arriva a ricomprendere i “facilitatori”, coloro che assistono il segnalante nel processo di segnalazione[8], alle persone legate ad essi da uno stabile legame affettivo o di parentela e ai colleghi di lavoro che operano all’interno del medesimo contesto lavorativo del segnalante ma anche agli enti di proprietà del segnalante o in cui il segnalante lavora[9].

Ambito lavorativo

Nel settore pubblico la norma non opera alcuna distinzione e ricomprende soggetti tra loro molto diversi: tutte le Amministrazioni pubbliche di cui all’art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165; le Autorità amministrative indipendenti di garanzia, vigilanza o regolazione, gli enti pubblici economici ma anche gli organismi di diritto pubblico di cui all’articolo 3, lettera d), del decreto legislativo 18 aprile 2016, n. 50 e i concessionari di pubblico servizio, le società a controllo pubblico e le società in house.

La tutela si applica a chi effettua segnalazioni interne o esterne, divulgazioni pubbliche o denunce all’autorità giudiziaria o contabile relativamente a ciascuna delle  violazioni previste all’art. 2, c. 1, lettera a) del Decreto: illeciti amministrativi, contabili, civili o penali, condotte illecite che rientrano nell’ambito di applicazione di atti unionali o nazionali indicati nell’allegato ovvero atti nazionali adottati in attuazione di atti dell’UE nei settori indicati[10] ma anche atti e omissioni che ledono gli interessi finanziari dell’Unione, il mercato interno o ne vanifichino le finalità.

Per il settore privato l’art. 3 opera una serie di distinzioni proprio in relazione alle 3 diverse tipologie di aziende come caratterizzate all’art.2, c.1, lettera q):

• nelle aziende con almeno 50 dipendenti e in quelle che non raggiungono tale limite ma cheoperano nei settori regolamentati a livello europeo (es. settore dei mercati finanziari e del credito, sicurezza trasporti, tutela ambiente), la tutela si applica a coloro che effettuano segnalazioniinterne o esterne, divulgazioni pubbliche o denunce all’autorità giudiziaria o contabile delle informazioni sulle violazioni di illeciti che riguardano violazioni di norme europee o diritto interno nei settori indicati;
• nelle aziende che non raggiungono il limite di 50 dipendenti ma adottano modelli di organizzazione, gestione e controllo di cui al D.Lgs. 231/01 la tutela si applica a coloro che effettuano segnalazioniinterne di violazioni relativamente a condotte illecite rilevanti ai sensi del medesimo decreto;
• nelle aziende di cui al punto precedente che superano il limite di 50 dipendenti la tutela si applica anche a coloro che effettuano segnalazioni interne o esterne o divulgazioni pubbliche o denunce all’autorità giudiziaria o contabile anche delle informazioni delle violazioni di norme europee o diritto interno nei settori indicati.

Occorre ricordare che per tutte le aziende del settore privato sino a 249 dipendenti, l’obbligo di istituire il canale di segnalazione interna decorre dal 17 dicembre 2023[11].

Il processo di segnalazione: cosa occorre fare

Con i distinguo come sopra delineati relativamente all’ambito di applicazione, tra il settore pubblico e privato non si registra alcuna distinzione relativamente alle misure di tutela del whistleblower e alle modalità di esercizio del suo diritto.

La nuova disciplina prevede 3 diversi canali di segnalazione (interno, esterno e tramite divulgazione pubblica) che potranno essere utilizzati, al verificarsi di determinate condizioni, in via progressiva e sussidiaria.

Canale di segnalazione interna

Il canale di segnalazione interna, attivato sentite le organizzazioni sindacali[12], deve essere progettato con misure di sicurezza tali da garantire, ove necessario anche tramite strumenti di crittografia, la riservatezza dell’identità del segnalante, delle persone coinvolte e comunque menzionate nella segnalazione, nonché del contenuto della stessa e della relativa documentazione.

La gestione del canale interno deve essere affidata a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato oppure ad un soggetto esterno, anch’esso autonomo e con personale specificamente formato. Rimane affidata al Responsabile della prevenzione della corruzione e della trasparenza, di cui all’articolo 1, c. 7, della legge 6 novembre 2012, n. 190, per i soggetti già obbligati alla sua nomina.

Il canale di segnalazione interno e la relativa gestione può essere condiviso per il settore pubblico dai comuni diversi dai capoluoghi di provincia e dai soggetti del settore privato con personale dipendente non superiore a 249 unità.

Le segnalazioni possono assumere forma scritta, anche con modalità informatiche, oppure in forma orale attraverso linee telefoniche o sistemi di messaggistica vocale ma anche, su richiesta del whistleblower, mediante un incontro diretto fissato entro un termine ragionevole.

È definito l’iter procedurale successivo alla segnalazione:

• entro 7 giorni dalla presentazione, l’incaricato deve rilasciare un avviso di ricevimento al segnalante e ove necessario chiedere integrazioni; mantenere le interlocuzioni e dare diligente seguito;
• entro 3 mesi occorre fornire riscontro al segnalante;
• entro 7 giorni la segnalazione pervenuta ad un soggetto non competente deve essere inoltrata al corretto destinatario.

Le modalità, le condizioni e le procedure per effettuare le segnalazioni devono essere chiare, visibili e facilmente accessibili a tutti i possibili destinatari, anche a chi non frequenta i luoghi di lavoro. Ove possibile, tutte le informazioni devono essere pubblicate in una sezione dedicata sul sito internet dell’organizzazione al fine di assicurarne la conoscenza a tutti i soggetti interessati.

I canali di segnalazione interna assurgono, peraltro, ad oggetto necessario dei modelli di organizzazione e gestione di cui all’articolo 6, comma 1, lett. a) del DLgs 231/01.

Trattamento dei dati personali e valutazione d’impatto

Nell’intero processo descritto dal D.Lgs. 24/23 ogni trattamento di dati personali deve tener conto e conformarsi agli obblighi previsti dal GDPR[13] o del DLgs 51/18[14]: l’intera procedura deve essere compliance sin dall’inizio, dalla progettazione, alla messa a punto del modello di ricevimento e gestione delle segnalazioni interne, ai rapporti con i fornitori, alle comunicazioni tra i diversi soggetti coinvolti, le informazioni da rendere a tutti i soggetti interessati, i diritti di quest’ultimi, devono essere analizzati i rischi che riguardano tutte le figure coinvolte (whistleblowers, persone segnalate, terzi) e adottate le misure tecniche e organizzative idonee a garantire la tutela dei diritti e delle libertà degli interessati e un livello di sicurezza adeguato alla probabilità e alla gravità dei rischi individuati.

Espressamente l’art. 13 del Decreto prescrive l’obbligo, per tutti in soggetti tenuti alla definizione del canale di segnalazione interna, di effettuare, prima di avviare il trattamento già nella fase di progettazione del disegno organizzativo, la Valutazione di impatto sulla protezione dei dati (nel seguito: DPIA) prevista all’art 35 del GDPR.

Auspicabile che nell’intero processo, sin dall’avvio, sia coinvolto il Responsabile della Protezione dei dati, ove lo stesso sia nominato.

In sintesi, al fine di attivare il canale di segnalazione interna, tutti i soggetti dovranno:

• disegnare il trattamento allineando, fin dalla progettazione, ogni operazione ai principi di protezione dei dati personali fissati dall’art. 5 del GDPR e dall’art. 3 del D.Lgs.51/18;
• definire i ruoli di responsabilità a partire dalla indicazione del titolare del trattamento (i soggetti tenuti all’obbligo), i designati al trattamento e, in presenza di contitolarità (fattispecie nella quale il canale e la sua gestione sono condivise tra più soggetti in possesso delle caratteristiche sopra indicate) determinare in modo trasparente, mediante un accordo interno, i rispettivi ambiti e responsabilità;
• eseguire la DPIA;
• formare ed autorizzare al trattamento i dipendenti chiamati a gestire il canale di segnalazione;
• informare tutti i soggetti interessati;
• designare e dare istruzioni, in forma scritta, ai “responsabili del trattamento” coloro che sono chiamati ad effettuare il trattamento per conto del titolare, siano essi meri fornitori o gestori del canale. Tali soggetti devono presentare garanzie di compliance alla normativa come prevede l’art. 28 del GDPR;
• l’esercizio dei diritti di cui agli artt. 15-22 del GDPR è sottoposto alle limitazioni previste dall’art. 2-undecies del Codice.

La segnalazione esterna

Gli art. 6 e 7 del Decreto regolano condizioni e modalità di esercizio da parte del segnalante, del diritto di attivare una segnalazione esterna.

Si tratta di una novità assoluta, che lascia all’autonoma e discrezionale valutazione del segnalante la decisione di attivare tale percorso al verificarsi di una delle condizioni indicate:

• se nello specifico contesto lavorativo l’attivazione del canale di segnalazione interna non è obbligatoria o il canale non è attivo o non è stato congegnato nel rispetto dei requisiti normativi;
• se il whistleblower ha già fatto una segnalazione interna, ma la stessa non ha avuto seguito o si è conclusa con un provvedimento finale negativo;
• se il whistleblower ha fondato motivo di ritenere che, se effettuasse una segnalazione interna, alla stessa non sarebbe dato efficace seguito (ad esempio nel caso in cui sia coinvolto nella violazione il responsabile ultimo del suo contesto lavorativo) ovvero che la stessa segnalazione possa determinare il rischio di ritorsione;
• se il whistleblower ha fondato motivo di ritenere che la violazione segnalata possa costituire un pericolo imminente o palese per il pubblico interesse.

L’Anac è il soggetto che ha l’onere di attivare la piattaforma informatica che consentirà il corretto funzionamento di tale percorso di segnalazione da parte del whistleblower e dovrà offrire le medesime garanzie di riservatezza già indicate per il canale di segnalazione interna. Rileva che la garanzia di riservatezza dovrà essere assicurata nel caso in cui le segnalazioni arrivino attraverso un canale diverso da quello predisposto oltre che a persona diversa da quella incaricata.

Ovviamente un ruolo importante assume la gestione dell’informazione nei confronti dei soggetti interessati: sarà buona norma che le caratteristiche espressamente prescritte all’art. 9 del Decreto nei confronti dell’Anac costituiscano una guida, ovviamente ove possibile, anche per tutti i soggetti tenuti all’adozione del canale di segnalazione interno.

Si registrano per l’Anac gli stessi obblighi applicabili alle segnalazioni interne (es. tempi di riscontro, comunicazione pubblica dell’esistenza del canale); se Anac riceve una segnalazione che è di competenza di altra autorità (giudiziaria o amministrativa, anche europea) è tenuta a trasmetterla a quest’ultima dandone avviso al segnalante ma occorre anche gestire i casi in cui la segnalazione è inviata ad un soggetto diverso del corretto destinatario e come garantire la riservatezza.

Annualmente è previsto l’invio di un report quantitativo alla Commissione europea.

Si registrano però alcune peculiarità:

• l’Anac,per giustificate e motivate ragioni, può prorogare di tre mesi il termine per dare riscontro all’interessato  (art.8, c. 1, lett. f) del D,Lgs. 24/23);
• l’Anac in caso di significativo afflusso di segnalazioni esterne, può trattare in via prioritaria le segnalazioni che hanno ad oggetto informazioni sulle violazioni riguardanti una grave lesione dell’interesse pubblico ovvero la lesione di principi di rango costituzionale o di diritto dell’Unione europea (art.8, c. 4, del D.Lgs. 24/23);
• l’Anac può non dare seguito alle segnalazioni che riportano violazioni di lieve entità e procedere alla loro archiviazione (art.8, c. 5 del D.Lgs. 24/23).

Si auspica che l’Anac possa, nelle linee guida che, entro il 30 giugno 2023, dovrà emanare relativamente alle procedure per la presentazione e la gestione delle segnalazioni esterne possa dare elementi interpretativi ulteriori e chiarire questi e altri dubbi dovessero emergere in fase applicativa del decreto.

Da tale quadro emerge chiaramente come le competenze dell’Anac sono state notevolmente incrementate: si trova oggi ad essere l’autorità competente a ricevere, non solo le segnalazioni di discriminazione da whistleblowing, ma direttamente la segnalazione da parte ogni possibile whistleblower pubblico e privato, e a giocare un ruolo ancor più determinante nella prevenzione della corruzione e dell’illegalità.

Per far fronte alle nuove attribuzioni è previsto un aumento della pianta organica dell’Anac e un correlato stanziamento aggiuntivo di bilancio per far fronte anche ai costi relativi allo sviluppo della necessaria piattaforma informatica.

Le divulgazioni pubbliche

Un’ulteriore modalità di segnalazione (che dovrebbe risultare residuale) è disciplinata dall’art. 15 del D.Lgs. 24/23.

Come per le segnalazioni esterne vengono definite le condizioni al verificarsi delle quali il segnalante può utilizzare tale modalità. Come per la segnalazione esterna la valutazione è lasciata alla discrezionalità del whistleblower.

Il soggetto però beneficerà delle medesime misure di protezione accordate dal decreto per l’utilizzo del canale interno/esterno, solo qualora:

• abbia previamente effettuato una segnalazione interna o esterna senza aver ricevuto riscontro nei termini previsti;
• abbia fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse;
• abbia fondato motivo di ritenere che la segnalazione esterna possa comportare il rischio di ritorsioni o possa non avere efficace seguito in ragione delle specifiche circostanze del caso concreto, come quelle in cui possano essere occultate o distrutte prove oppure in cui vi sia fondato timore che chi ha ricevuto la segnalazione possa essere colluso con l’autore della violazione o coinvolto nella violazione stessa

Permane, infine, la generale clausola di salvaguardia, in favore delle norme sul segreto professionale degli esercenti la professione giornalistica, con riferimento alla fonte della notizia.

Misure di Protezione

L’intero Capo III del D.Lgs. 24/23 mira a definire le misure per proteggere i whistleblowers sia dalle ritorsioni dirette (quelle rivolte direttamente a loro, come ad esempio il licenziamento, il mobbing, la calunnia…), sia dalle ritorsioni indirette (quelle destinate a colleghi, familiari, i “facilitatori”, loro clienti o destinatarii dei servizi per i rischi di penalizzazioni o boicottaggio).

Le tutele antidiscriminatorie si applicano se al momento della segnalazione la persona segnalante aveva fondato motivo di ritenere che le informazioni sulle violazioni segnalate, divulgate pubblicamente o denunciate fossero vere, rientrassero nell’ambito oggettivo ed è stata rispettata la procedura definita dal Decreto. Irrilevanti sono i motivi sottesi alla segnalazione. La ratio della norma è quella di incentivare il dipendente a segnalare eventuali comportamenti illeciti, senza che lo stesso abbia timore delle conseguenze pregiudizievoli.

È inoltre prevista, come anche nella disciplina precedente, l’inversione dell’onere della prova: la ritorsione si presume posta in essere e l’eventuale danno subito sia conseguenza della segnalazione ed è posto a carico di chi ha compiuto l’atto o il comportamento l’onere di dimostrare che condotte ed atti erano stati era motivati da ragioni estranee alla segnalazione o divulgazione o denuncia.

E il medesimo art. 17 del decreto riporta una ampia indicazione (assolutamente non tassativa) di alcune fattispecie che vengono ricondotte a un comportamento ritorsivo (sanzioni, licenziamento, demansionamento, trasferimento, misure discriminatorie, dirette o indirette, comprensive anche dei danni reputazionali, “in particolare sui social media”).

L’articolo 18 disciplina le misure di sostegno a favore della persona segnalante e legittima l’autorità giudiziaria o amministrativa cui la persona segnalante si sia rivolta per ottenere protezione dalle ritorsioni, a richiedere all’Anac informazioni e documenti relativi alla segnalazione.

Rimane in capo ad Anac la competenza a ricevere le segnalazioni di possibili ritorsioni, ad avviare l’attività istruttoria, a segnalare le fattispecie di competenza agli organismi e ad applicare le sanzioni previste.

Tra le ulteriori misure di protezione vanno collocate:

• la nullità di eventuali rinunce e transazioni relative a diritti e alle tutele previste dal decreto;
• un’esimente generale (che esclude anche la responsabilità civile e amministrativa, oltre a quella penale) in favore del soggetto che effettui (ai sensi dell’art.16) la segnalazione, denuncia o divulgazione pubblica di informazioni coperte da segreto, da prerogative autoriali o tutelate dalla disciplina di protezione dati, purché al momento della rivelazione sussistessero fondati motivi per ritenerla necessaria per svelare la violazione;
• viene esclusa ogni altra responsabilità per l’acquisizione o l’accesso alle informazioni sulle violazioni, salva l’ipotesi in cui la condotta costituisca reato. Esimente però esclusa per le condotte non strettamente necessarie a rivelare la violazione o, comunque, non collegate alla segnalazione, denuncia o divulgazione pubblica.

Privacy e riservatezza

Il Decreto espressamente richiama al rispetto della disciplina in tema di protezione dei dati personali e sottolinea  l’esigenza di perseguire il principio di minimizzazione dei dati trattati, uno dei cardini del GDPR. Ne emerge un rafforzato impianto normativo anche relativamente ai temi della tutela dell’identità della persona segnalante e della riservatezza quale strumento per incoraggiare il soggetto che viene a conoscenza di illeciti a trasmettere la relativa segnalazione

In particolare:

• l’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale informazione non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate a trattare tali dati;
• la documentazione inerente ciascuna segnalazione deve essere conservata per il tempo necessario e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione;
• di ogni segnalazione resa oralmente (in colloqui oppure mediante linee telefoniche registrata o meno) va fatta trascrizione con il consenso della persona segnalante; questa deve anche poter leggere e approvare quanto trascritto;
• la segnalazione e la documentazione allegata è sottratta al diritto di accesso ai documenti amministrati;
• le segnalazioni non possano essere utilizzate per scopi diversi, ne rivelate a persone diverse da quelle specificamente competenti, autorizzate ed istruite in assenza del suo consenso espresso;
•  nell’ambito del procedimento penale, l’identità del segnalante è coperta da segreto ai sensi dell’articolo 329 c.p.p.; nel procedimento dinanzi alla magistratura contabile essa non può essere rivelata sino alla chiusura della fase istruttoria; nell’ambito del procedimento disciplinare, invece, l’identità del segnalante non può essere rivelata ove la contestazione dell’illecito disciplinare si fondi su accertamenti distinti e ulteriori rispetto alla segnalazione mentre occorre il consenso se la stessa sia indispensabile per la difesa dell’incolpato;
• l’identità delle persone coinvolte e di quelle menzionate nella segnalazione è garantita sino alla conclusione dei relativi procedimenti, con il rispetto delle stesse garanzie accordate al segnalante;
• la conservazione delle segnalazioni interne ed esterne e della relativa documentazione è consentita per il tempo necessario alla loro definizione e, comunque, per oltre 5 anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione;
• viene inoltre precisato che la registrazione delle segnalazioni (in caso di segnalazione effettuata oralmente, mediante linea telefonica o incontro con il personale addetto), previo consenso della persona segnalante, è documentata a cura del personale addetto mediante registrazione su un dispositivo idoneo alla conservazione e all’ascolto, mediante trascrizione integrale, oppure mediante verbale; e che in caso di trascrizione, la persona segnalante può verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione.

Sanzioni

Come si è visto il Decreto rafforza il potere di intervento dell’Anac ampliandone i settori di competenza, le modalità di intervento e fissando le sanzioni amministrative pecuniarie applicabili in caso di accertamento di violazioni nei confronti di tutti i soggetti obbligati dalla nuova disciplina.

Le sanzioni devono essere effettive, proporzionate e dissuasive.

Fermo restando altri profili di responsabilità l’Anac applica

• da € 10.000 a € 50.000 quando accerta che:
  • sono state commesse ritorsioni;
  • la segnalazione è stata ostacolata o che si è tentato di ostacolarla o è stato violato l’obbligo di riservatezza;
  • non sono stati istituiti canali di segnalazione o non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni ovvero l’adozione o la loro implementazione non è conforme alla normativa;
  • non è che non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute.
• da € 500 a € 2.500 quando accerta che è stato violato l’obbligo di riservatezza circa l’identità del segnalante.

Infine, proprio al fine di assicurare l’incondizionata parità tra il settore pubblico e il settore privato nel perseguimento delle finalità del nuovo quadro giuridico, viene inserito l’obbligo per le piccole aziende che applicano i modelli organizzativi previsti dal D.Lgs. 231/01 di prevedere nel loro sistema disciplinare espressamente sanzioni nei confronti di coloro che si accertano responsabili degli illeciti di cui al punto precedente.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] La Direttiva doveva essere recepita entro il 17 dicembre 2021. Il recepimento è intervenuto in attuazione delle disposizioni di cui all’art. 13 della legge n. 127 del 2022 (delegazione europea 2021).

[2] La disciplina di origine nei contesti di common law deriva dal termine “to blow the whistle” – “soffiare nel fischietto”. 

[3]  La materia del whistleblowing nella disciplina previgente era regolata, per il settore pubblico, dal d.lgs. 20 marzo 2001, n. 165 (v. art. 54-bis)  (nel testo: D.Lgs. 165/01) e, per il settore privato, dal decreto legislativo 8 giugno 2001, n. 231 (v. art. 6, commi 2-bis) (nel testo: D.Lgs. 231/01). Entrambi i testi normativi sono stati aggiornati ed integrati con la legge 30 novembre 2017, n. 179 che ha anche introdotto la disciplina dell’obbligo di segreto di ufficio, aziendale, professionale, scientifico ed industriale (nel testo: Legge 179/17).

[4]  L’approfondimento nell’articolo “Whistleblowing: in dirittura di arrivo il Decreto di recepimento della direttiva europea. Ecco cosa prevede”, pubblicato 12 gennaio 2023.

[5] Cfr. art. 10 D.Lgs. 24/23.

[6] Non è stata esercitata la facoltà di escludere dall’obbligo i Comuni con meno di 10.00 abitanti, previsto dalla Direttiva.

[7]  Cfr. D.Lgs. 24/23, art. 2, c. 1, lettera i) «contesto lavorativo»: le attività lavorative o professionali, presenti o passate, svolte nell’ambito dei rapporti di cui all’articolo 3, commi 3 o 4, attraverso le quali indipendentemente dalla natura di tali attività, una persona acquisisce informazioni sulle violazioni e nel cui ambito potrebbe rischiare di subire ritorsioni in caso di segnalazione o di divulgazione pubblica o di denuncia all’autorità giudiziaria o contabile.

[8]  Tra le misure di sostegno (informazioni, assistenza e consulenze a titolo gratuito sulle modalità di segnalazione e protezione) quelle fornite dagli enti del Terzo settore inserite nell’elenco istituito presso l’Anac – art. 18 D.Lgs. 24/23.

[9] Cfr. D.Lgs. 24/23, art. 2, c. 1, lettera h).

[10] Cfr. art. 2 c. 1, lett. a), p. 3): appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi.

[11] Termine previsto dalla stessa Direttiva (UE) 2019/1937.

[12] Cfr. D.Lgs. n.81/2015, art.51 “…associazioni sindacali comparativamente più rappresentative sul piano nazionale  e… loro rappresentanze sindacali aziendali ovvero dalla rappresentanza sindacale unitaria”.

[13] Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (nel testo: GDPR).

[14] Decreto Legislativo 18 maggio 2018, n. 51 Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita’ competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche’ alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (nel testo: D.Lgs. 51/18).