***
Il nuovo decreto in materia di whistleblowing: prime considerazioni
Il nuovo decreto n. 24/2023, in materia di whistleblowing, ha completamente innovato la materia delle segnalazioni sul luogo di lavoro nel contesto normativo italiano, apprestando tutele fondamentali per la salvaguardia del lavoratore che intenda segnalare illeciti di cui sia venuto a conoscenza sul posto di lavoro.
La normativa, nel prevedere tre canali di segnalazione (interno, esterno presso l’ANAC e tramite divulgazione pubblica), ha imposto nuovi adempimenti tanto nel settore pubblico, all’interno delle diverse amministrazioni, quanto nel settore privato.
La formulazione del decreto, e la previsione di nuovi adempimenti per società ed aziende, ad ogni modo, non sempre ha offerto un quadro chiaro ed un’immagine uniforme dei provvedimenti che dovranno essere adottati, lasciando margini di dubbio ed aspetti tuttora confusi. Rispetto a tale situazione di incertezza giuridica, un aiuto valido, soprattutto rispetto a determinati temi, è stato offerto dall’ANAC, che, attraverso la pubblicazione di Linee Guida lo scorso luglio, ha teso una mano verso interpreti e privati, indicando la strada da seguire.
Nella trattazione che segue, dunque, s’intende affrontare alcuni specifici aspetti del decreto, tra i quali alcuni che, ad una prima lettura della normativa, hanno suscitato tra gli interpreti non pochi interrogativi. I temi che s’intende affrontare riguardano, in particolare, la disciplina applicabile alle segnalazioni anonime, la possibilità, per determinati soggetti obbligati, di ricorrere alla condivisione di un canale di segnalazione, l’obbligo per i datori di lavoro di procedere all’effettuazione di una DPIA (data protection impact assessment), nonché gli obblighi di conservazione della documentazione scaturenti dal decreto.
Le segnalazioni anonime
Con riferimento alla disciplina applicabile alle segnalazioni anonime, il decreto n. 24/2023 ha mancato di affrontare esplicitamente tale tema, mancando di indicare come debba procedersi in questi casi, e se occorra dar loro corso. La questione risulta d’importanza fondamentale nel momento in cui ci si appresti a predisporre una policy aziendale, dal momento che non è chiaro quale rilevanza vada attribuita a tale categoria di segnalazioni.
Il decreto, infatti, prevede diverse forme di tutela dell’identità del segnalante, e stabilisce anche che, in caso di segnalazioni anonime, se l’identificazione dell’autore avviene in un secondo momento, il lavoratore gode delle medesime protezioni. Ci si domanda, però, che valore debba essere attribuito a segnalazioni di soggetti che non abbiano voluto rivelare la propria identità.
Rispetto al problema esaminato, comunque, la soluzione è stata proposta dall’ANAC, la quale, nelle Linee Guida del 12 luglio 2023, ha definitivamente chiarito questo punto. L’ente, in proposito, ha stabilito che i soggetti che ricevono segnalazioni anonime siano tenuti a trattarle alla stregua di quelle ordinarie, e gestirle secondo i medesimi criteri.
Resta fermo, in ogni caso, il principio stabilito dall’art. 12, co. 5, per cui, se le contestazioni disciplinari sono fondate principalmente sulle dichiarazioni del whistleblower, e l’identificazione di quest’ultimo risulta necessaria per la difesa dell’incolpato, la segnalazione sarà utilizzabile solo nel caso in cui l’autore accetti di comunicare la propria identità.
La condivisione di canali di segnalazione
Il secondo oggetto di trattazione, ossia la possibilità di condividere con terzi soggetti obbligati un canale di segnalazione, trova il proprio fondamento nell’art. 4, co. 4, del decreto n. 24/2023. Tale norma, nel definire l’obbligo di istituire un canale di segnalazione interna al fine di consentire la denunzia degli illeciti riscontrati in ambito aziendale, prevede che, se i dipendenti impiegati nel corso dell’anno non sono, in media, più di 249, i datori di lavoro possono avvalersi di canali condivisi.
L’obiettivo di questa previsione è quello di far sì che gli oneri imposti dal decreto non gravino eccessivamente sulle casse delle piccole e medie imprese, consentendo loro di avvalersi di un sistema di organizzazione e gestione in condivisione.
In tal caso, ad ogni modo, è necessaria la predisposizione di talune garanzie in relazione al trattamento dei dati personali; si applica, quindi, l’art. 26 del GDPR, che riguarda l’ipotesi in cui più soggetti siano contitolari del trattamento. La norma richiede, infatti, che le parti stipulino un accordo interno volto a definire le responsabilità e gli obblighi di ciascuno, in relazione al rispetto delle norme sulla tutela della riservatezza ed all’esercizio dei diritti dell’interessato.
Anche rispetto a tale previsione, inoltre, è stato decisivo l’intervento chiarificatore di ANAC in relazione alle concrete modalità attuative della previsione di legge. Come specificato dall’Autorità all’interno delle Linee Guida, infatti, se più datori di lavoro affidano la gestione delle segnalazioni ad un soggetto esterno, dovranno prevedersi misure tali per cui ciascuno di loro potrà avere accesso esclusivamente alle segnalazioni di propria competenza. Si tratta, evidentemente, di misure poste a tutela della riservatezza delle persone coinvolte in ciascuna segnalazione, tali da far sì che questioni interne all’impresa non trapelino al di fuori delle sue mura.
La valutazione d’impatto sulla protezione dei dati
Proseguendo nell’analisi del rapporto tra decreto Whistleblowing e normativa sulla protezione dei dati personali, un aspetto interessante e poco trattato riguarda la previsione dell’art 13, co. 6 del decreto, che ha previsto l’obbligo, per i datori di lavoro tenuti per legge ad istituire il canale di segnalazione interna, di effettuare, prima dell’inizio del trattamento, una valutazione d’impatto sulla protezione dei dati (data protection impact assessment, o DPIA).
La DPIA è istituto già disciplinato dall’art. 35 del GDPR e dall’art. 23 del decreto attuativo n. 51/2018: questa è richiesta in tutti i casi in cui il trattamento, per l’uso di nuove tecnologie, comporta un rischio elevato di lesione ai diritti ed alle libertà delle persone. Tale rischio si ravvisa, in particolare, nel trattamento su larga scala di categorie di dati considerati sensibili, nella sorveglianza di ampie zone aperte al pubblico, o nel caso di una valutazione sistematica di dati, basata su trattamenti automatizzati, come nel caso della profilazione, sulla quale si fondano decisioni che influiscono in modo significativo sulle persone.
Attraverso la DPIA, il titolare del trattamento descrive il processo di trattamento dei dati e ne individua i rischi connessi per le persone fisiche, al fine di specificare le misure e le garanzie che intende conseguentemente apprestare per tutelarle.
L’obbligo di predisporre una DPIA previsto dalla nuova normativa Whistleblowing, diversamente da quanto richiesto nel GDPR, prescinde invece dalla verifica della sussistenza dei presupposti indicati e dalla verifica di esistenza di un rischio, essendo fondato su una presunzione assoluta di pericolosità del trattamento dei dati utilizzati nel processo di verifica della segnalazione.
Gli obblighi di conservazione della documentazione
Il decreto Whistleblowing, poi, prescrive anche l’iter di una fase non meno importante della procedura di segnalazione, che segue quelle di indagine e quella di definizione delle misure conseguenti da adottare; si tratta, in particolare, della procedura attinente alla chiusura del fascicolo ed all’archiviazione della documentazione. In proposito, l’art. 14 stabilisce che le segnalazioni, e la documentazione che vi è corredata, debbano essere conservate solo per il tempo necessario al trattamento, e comunque per non più di 5 anni dalla comunicazione al segnalante dell’esito della procedura. Ciò vale altresì per le registrazioni e per le trascrizioni delle segnalazioni effettuate telefonicamente o oralmente.
Durante la conservazione, devono essere rispettate le prescrizioni del decreto in materia di tutela della riservatezza e protezione dell’identità del segnalante; è da evidenziare, rispetto a tali adempimenti, come il principio sancito dalla norma ricalchi, in realtà, quelli di privacy by design e by default, già affermati nel GDPR, che richiedono, rispettivamente, che la riservatezza sia garantita attraverso misure organizzative ed esecutive predisposte dal titolare del trattamento e che i dati siano raccolti in conformità con i principi di tutela della persona, tra cui quello di minimizzazione delle informazioni da conservare.
In definitiva, può osservarsi come il neo-emanato decreto, analizzato nel dettaglio, abbia in realtà reso obbligatoria una procedura di fatto molto più complessa ed articolata rispetto a quanto potrebbe a prima vista immaginarsi. È importante che, nel momento in cui ci si appresti ad introdurre le nuove misure in ambito aziendale ciascuna fase della procedura di segnalazione sia attentamente studiata e ponderata, in modo da rendere le policy interne conformi a quanto richiesto dalle nuove disposizioni di legge.