Whistleblowing e privacy

Nella libertà di espressione (art. 21 Costituzione) rientra anche il diritto a ricevere informazioni, quindi in generale l'accesso ai documenti. In questa ottica la trasparenza nel funzionamento di una società democratica è essenziale, per cui l'accesso ai documenti della pubblica amministrazione diventa fondamentale, ed è ritenuto un vero e proprio diritto dei cittadini europei. Tale diritto è previsto dalla Convenzione 205 del Consiglio d'Europa sull'accesso ai documenti ufficiali, dal regolamento n. 1049/2001 relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione, ed anche da norma nazionali, compreso il cosiddetto Freedom of informatio Act promulgato dal Consiglio dei Ministri italiano il 16 maggio 2016. 

In questo quadro è evidente che occorre una specifica tutela del dipendente (pubblico, ma anche privato) che segnali comportamenti illeciti dell'organizzazione per la quale lavora. Tale soggetto si definisce “whistleblower”.  

 

Normativa a tutela dei Whistleblower

Il fenomeno del whistleblowing emerge negli anni '70, in particolare negli Stati Uniti, caratterizzandosi come la rivelazione spontanea di un illecito od irregolarità Negli USA il whistleblowing è tutelato da numerose leggi federali fin dal 1983. 

In Italia il problema della lotta alla corruzione si è posto da molto tempo. Da cui l'introduzione di norme, quali l'articolo 331 c.p.p., rubricato "denuncia da parte di pubblici ufficiali e incaricati di un pubblico servizio", che prevede l’obbligo in capo a queste due tipologie di soggetti di fare denuncia per quei reati perseguibili d’ufficio dei quali vengono a conoscenza nell'esercizio delle loro funzioni. Con riferimento alla tutela del dipendente pubblico segnalatore di illeciti, la prima norma, invece, risale al 2012 (legge n. 190 del 2012), quando si è inserito all'interno del Testo unico sul pubblico impiego la tutela del dipendente pubblico che segnala "nell’interesse dell’integrità della pubblica amministrazione" condotte illecite di cui viene a conoscenza in virtù del proprio rapporto di lavoro (art. 54-bis modificato dall'art. 1 L. 179/2017). Tale normativa si applica agli enti pubblici ed enti soggetti al controllo pubblico, poi estesa anche alle imprese fornitrici di beni o servizi che realizzano opere in favore dell’amministrazione pubblica. 

Per il settore privato si è dovuto attendere il 2017, col Decreto Legislativo n. 219 del 3 Agosto 2017, in recepimento della direttiva europea n. 2004/39/CE, così costruendo un sistema che, per il settore privato, trova ora applicazione nel d.lgs 231/2001. Anche se la figura del whistleblower era  già prevista in relazione al Modello Organizzativo 231 (l'art. 6 c. 2 del D.Lgs 231/01 riteneva motivo di esenzione di responsabilità la previsione di “obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli”) e in parte negli adempimenti normativi antiriciclaggio (obbliga le aziende a istituire canali appositi per le segnalazioni di condotte illecite atte al riciclaggio di denaro e al finanziamento di attività terroristiche). Ulteriori modifiche sono state introdotte con la legge 30 novembre 2017, n. 179. In ambito privato, però, la legge 179 prevede la mera facoltatitivà della tutela del whistleblower nel settore privato, rivolta ai soli enti destinatari del Dlgs 231/2001 che abbiano scelto di adottare un modello organizzativo. 

A ciò si aggiungono ulteriori specifiche previsioni adottato per settori quali il bancario, l'assicurativo e per il contrasto alla lotta al riciclaggio e al finanziamento del terrorismo.

I fatti illeciti oggetto delle segnalazioni possono comprendere non solo delitti contro la pubblica amministrazione ma anche tutte le situazioni in cui si riscontrino comportamenti impropri di un funzionario pubblico. In base all'articolo 54 bis, però, la segnalazione deve avere ad oggetto "condotte illecite" e deve avvenire nell’interesse dell’integrità della pubblica amministrazione. Anche per il settore privato si prevede (D. Lgs. 231/2001 articolo 6) “di presentare, a tutela dell'integrità dell'ente, segnalazioni circostanziate di condotte illecite”. In tal modo si restringe l'ambito della tutela. Il TAR ha infatti chiarito che "l’istituto del whistleblowing non è utilizzabile per scopi essenzialmente di carattere personale o per contestazioni o rivendicazioni inerenti al rapporto di lavoro nei confronti di superiori. Questo tipo di conflitti infatti sono disciplinati da altre normative e da altre procedure” (TAR Campania, sez. VI, sentenza n. 3880/18). 

Il segnalante rivolge la segnalazione non al superiore gerarchico bensì al Responsabile per la Prevenzione della Corruzione e della Trasparenza (RPCT). L’eventuale adozione di misure ritenute ritorsive a fronte della segnalazione effettuata va denunciata all’ANAC. 

La normativa in materia di protezione dei dati personali si articola su diversi piani di tutela. Da un lato prevede per i segnalanti l’obbligo di garantire la riservatezza dei dati, e quindi delle loro identità, al fine di impedire eventuali ritorsioni sul posto di lavoro. L'adozione di pratiche di tutela dei whistleblower è ormai considerata uno strumento di compliance aziendale. Uno degli aspetti più rilevanti riguarda, ovviamente, la protezione dei dati (e quindi dell'identità) del segnalante, per cui occorre verificare la conformità delle procedure alla normativa in materia di protezione dei dati personali, oltre che a quella specifica settoriale, per evitare possibili ritorsioni sul luogo di lavoro. Con la modifica del 2017 nel D. Lgs 231/2001 si è introdotta la garanzia di riservatezza, ma è col GDPR che si disciplina correttamente l'interferenza del whistleblowing con la protezione dei dati personali. Secondo il GDPR, infatti, occorre: 
- definire i ruoli attribuiti ai soggetti coinvolti nella procedura; 
- garantire adeguate misure di sicurezza dei dati e del trattamento; 
- disciplinare il diritto di accesso alle informazioni da parte deli soggetto segnalato; 
- disciplinare le modalità del trasferimento dei dati della segnalazione, anche al di fuori dell'UE. 

In questa ottica il titolare del trattamento deve garantire che i dati del segnalante siano completamente anonimizzati, sia nella fase della segnalazione che in quella del trasferimento delle segnalazioni, che in quella di conservazione. Una mancata conformità potrebbe, quindi, nascere dalla non osservanza del principio di privacy by design. Il Garante, inoltre, richiama al rispetto dell'art. 5 del GDPR e definisce le garanzie che il titolare deve fornire al segnalante al momento della raccolta delle segnalazioni. 

In sintesi la normativa riconosce al whistleblower tre tipi di tutela: 
- riservatezza dell'identità e della segnalazione, che non è un vero e proprio anonimato potendo essere recuperabile l'identità del segnalante in specifici casi; di conseguenza i dati identificativi del segnalante, la segnalazione e i documenti allegati sono sottratti sia al diritto di accesso agli atti amministrativi previsto dagli artt. 22 e seguenti della legge n. 241/1990 che all'accesso civico generalizzato di cui all'art. 5, comma 2, del D.Lgs. n. 33/2013; inoltre l'art. 23 GDPR e 2 undecies Codice Privacy affermano che i diritti di cui agli articoli dal 15 al 22 del GDPR non possono essere esercitati né con richiesta al titolare né con reclamo all’Autorità; 
- tutela da eventuali misure ritorsive o discriminatorie adottate dall'ente a causa della segnalazione effettuata; secondo le linee guida dell'ANAC tali misure possono consistere anche in comportamenti o omissioni posti in essere dall'amministrazione nei confronti del segnalante, volti a limitare o comprimere l'esercizio delle funzioni proprie del lavoratore in modo da peggiorare la situazione lavorativa; le misure discriminatorie o ritorsive devono essere comunicate all'ANAC, alla quale è affidato il compito di accertare se siano conseguenti alla segnalazione e applicare una sanzione pecuniaria in assenza di prova da parte dell'amministrazione che la misura presa è estranea alla segnalazione; le misure ritorsive o discriminatorie sono nulle e si prevede anche la reintegrazione nel posto di lavoro; 
- esclusione dalla responsabilità nel caso in cui il whistleblower sveli notizie coperte dall'obbligo di segreto d'ufficio, aziendale, professionale, scientifico o industriale ovvero violi l'obbligo di fedeltà, a condizione che il segnalante agisca al fine di tutelare l'interesse all'integrità delle amministrazioni nonché alla prevenzione e alla repressione delle malversazioni, non abbia appreso la notizia in ragione di un rapporto di consulenza professionale o di assistenza, le notizie e i documenti oggetto di segreto non siano rivelati con modalità eccedenti rispetto alle finalità dell'eliminazione dell'illecito e la rivelazione non avvenga al di fuori del canale di comunicazione specificamente predisposto per le segnalazioni; in assenza di tali presupposti la rivelazione di fatti illeciti potrebbe essere fonte di responsabilità civile e/o penale. 

Il Garante si è anche espresso sulle linee guida dell'ANAC (delibera 469 del 2021) sul whistleblowing, precisando che l'implementazione di canali per la segnalazione di illeciti presuppone che sia effettuata una valutazione di impatto in funzione degli elevati rischi ricollegati a possibili ritorsioni sul posto di lavoro contro il segnalante. Come sappiamo anche l'ANAC è soggetto destinatario delle segnalazioni, e nelle linee guida ha introdotto specifiche misure a tutela dei whistleblower nel settore privato, integrando la disciplina dell'obbligo di segreto d'ufficio, aziendale, professionale, scientifico e industriale. Le linee guida distinguono tra "segnalazioni" di condotte illecite di cui il dipendente sia venuto a conoscenza in ragione del rapporto di lavoro e "comunicazioni" di misure ritenute ritorsive adottate dall'amministrazione o dall'ente nei confronti del segnalante a seguito della segnalazione. 

Infine, in materia il Garante Europeo (EDPS) ha adottato le “Guidelines on processing personal information within a whistleblowing procedure” del 18 luglio 2016, che enfatizzano, tra gli altri, il principio di minimizzazione dei dati al fine anche di ridurre i rischi correlati al trattamento. 

 

Direttiva europea 1937/2019

In considerazione del fatto che non esiste una normativa armonizzata in Europa, anzi vari pari non hanno nemmeno una normativa in materia di tutela del whistelblower, con la direttiva 1937 del 2019 l'Unione europea ha introdotto una normativa comunitaria minima da applicarsi in tutti gli Stati dell’Unione per i settori nei quali l’Unione ha competenza: appalti pubblici, servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi. Ovviamente i singoli Stati possono recepirla anche per altri settori non elencati. 

Con la legge 22 aprile 2021, n. 53 il Governo è delegato al recepimento della direttiva europea. In particolare la legge delega prevede anche l'esercizio dell'opzione di cui all'articolo 25, paragrafo 1, della direttiva, che consente l’introduzione o il mantenimento delle disposizioni più favorevoli ai diritti delle persone segnalanti e di quelle indicate dalla direttiva, al fine di assicurare comunque il massimo livello di protezione e tutela dei medesimi soggetti. 

L’art. 4 fornisce una definizione molto ampia di whistleblower, corrispondente a una categoria eterogenea di soggetti tra cui, ad esempio, i lavoratori dipendenti e autonomi, gli azionisti, i facilitatori, i volontari, i tirocinanti, i colleghi e i parenti del segnalante ecc... La nozione di "lavoratore" nella Direttiva è del tutto deformalizzata, contemplando in tale categoria non solo dipendenti, ma ogni soggetto in qualche modo collegato all'organizzazione. La Direttiva estende la protezione al maggior numero possibile di categorie di persone che, cittadini dell’Unione o di Paesi terzi, per le loro attività professionali, indipendentemente dal tipo e se si tratti o meno di attività remunerate, hanno accesso privilegiato a informazioni rilevanti e siano esposte al rischio di ritorsioni. Il novero dei soggetti tutelati è molto ampio, potendo rientrare nella categoria, ad esempio, anche consulenti, fornitori, subappaltatori, volontari, azionisti. La protezione è assicurata se il segnalante ha ragionevole motivo di credere che l’informazione riferita sia vera e rientri nel perimetro della Direttiva. 

Le segnalazioni possono avere ad oggetto le “violazioni del diritto unionale che ledono il pubblico interesse”, con specifico riferimento a determinati settori elencati nell’art. 2 (tra cui gli appalti pubblici, i servizi, i prodotti e i mercati finanziari e la prevenzione del riciclaggio e del finanziamento del terrorismo, la tutela dell’ambiente, la protezione dei consumatori ecc...). 

La Direttiva impone agli Stati l'obbligo di apprestare canali di segnalazione sia interni, che esterni, che pubblici. Per i canali di segnalazione interni, l'obbligo riguarda anche il settore privato (soggetti privati che impiegano almeno 50 lavoratori). Per i canali esterni occorre che siano dotati di indipendenza e autonomia. Infine, per i canali pubblici, la divulgazione è consentita solo in presenza di sepcifici presupposti (indicati dall’art. 15). I whistleblowers si possono rivolgere direttamente ai canali esterni nelle ipotesi indicate. Se, dopo aver utilizzato i canali interni ed esterni, non è stata intrapresa alcuna azione appropriata in risposta alla segnalazione allora possono effettuare una divulgazione pubblica. Le condizioni richieste per la divulgazione pubblica sono:
- che si versi in particolari circostanze tali da mettere a repentaglio un interesse pubblico oppure che possa verificarsi un danno irreversibile;
- che la segnalazione esterna non escluda il rischio di ritorsioni o il rischio che la violazione non sia efficacemente affrontata per circostanze specifiche (es. rischio di distruzione delle prove). 

Ovviamente la direttiva prevede (art. 16) l'obbligo per gli Stati di garantire la riservatezza dell’identità del segnalante, di modo che quest’ultima non sia divulgata a soggetti diversi da quelli autorizzati a "ricevere e dare seguito alle segnalazioni". Analoga tutela si applica anche a tutte quelle informazioni che possono comunque consentire la rivelazione dell’identità del whistleblower. Per cui il trattamento dei dati personali deve avvenire in conformità a quanto stabilito dal regolamento europeo in materia di protezione dati personali e dalla direttiva 2016/680. Devono essere previste anche sanzioni proporzionate, efficaci e dissuasive per garantire tale riservatezza. 

La direttiva sancisce il divieto di misure ritorsive in conseguenza della segnalazione, ed è prevista l'inversione dell'onere della prova, cioè sarà l'autore delle misure a dover dimostrare che hanno una adeguata base giustificativa. La protezione contro le misure di ritorsione deve essere garantita sia nei confronti del segnalante (ritorsione diretta) che delle persone a questi vicini (es. familiari, colleghi) che si trovino in relazione di lavoro con il datore di lavoro, ma anche nei confronti del soggetto giuridico per cui il segnalante lavora (ritorsione indiretta). 

Il termine di recepimento della direttiva è il 17 dicembre 2021, tranne che per i soggetti privati con meno di 250 lavoratori, per i quali gli Stati possono fissare l'obbligo di conformarsi alla data del 17 dicembre 2023. 

L'importanza della direttiva sta anche nel fatto che la tutela italiana prevede differenze rilevanti tra il settore pubblico e privato, laddove il recepimento della direttiva dovrà portare all'allineamento agli standard europei anche del settore privato. Inoltre potrebbe essere una buona occasione per riflettere sulla possibilità di introduzione di meccanismi premiali che rappresentano un fattore di impulso per le segnalazioni. 

 

Recepimento della Direttiva europea

Nell'ambito del recepimento della Direttiva europea in Italia è stata lanciata una piattaforma per le segnalazioni degli illeciti. 

Secondo la Direttiva Europea, devono istituire canali e procedure per la segnalazione degli illeciti: 
- le aziende con 250 o più dipendenti e i Comuni oltre i 10.000 abitanti - obbligati a conformarsi entro il 31/12/2021;
- le aziende con un numero di dipendenti compreso tra 50 e 250 - dovranno conformarsi entro il 31/12/2023;
- le aziende/Comuni fino a 50 dipendenti dovranno conformarsi entro il 31/12/2025. 
Il canale interno (accessibile solo ai dipendenti) dovrà essere obbligatoriamente attivato da tutti, mentre il canale esterno ("pubblico", ovvero accessibile da chiunque), sarà obbligatorio per le aziende oltre i 50 dipendenti e i Comuni oltre i 10.000 abitanti. 

Le norme della Direttiva si applicheranno anche al settore privato, indipendentemente dalla scelta di eventuali modelli di gestione. 

 

Whistleblowing e processo penale

L'anonimato del segnalante non ha carattere assoluto ma trova un preciso limite nel caso di esigenze di difesa nell'ambito di un processo penale. Come precisato dalla Corte di Cassazione con la sentenza 9047/2018, l'anonimato del denunciante opera solo in ambito disciplinare, essendo peraltro subordinato al fatto che la contestazione sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione. In caso di utilizzo della segnalazione in ambito penale non vi è spazio per la riservatezza delle generalità del segnalante, l'identità può essere rivelata ove la sua conoscenza sia assolutamente indispensabile per la difesa dell'incolpato. Però rimane la tutela del segreto nei modi e nei limiti previsti dall'art. 329 del codice di procedura penale.