Nella libertà di espressione (art. 21 Costituzione) rientra anche il diritto a ricevere informazioni, quindi in generale l'accesso ai documenti. In questa ottica la trasparenza nel funzionamento di una società democratica è essenziale, per cui l'accesso ai documenti della pubblica amministrazione diventa fondamentale, ed è ritenuto un vero e proprio diritto dei cittadini europei. Tale diritto è previsto dalla Convenzione 205 del Consiglio d'Europa sull'accesso ai documenti ufficiali, dal regolamento n. 1049/2001 relativo all'accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione, ed anche da norme nazionali, compreso il cosiddetto Freedom of information Act (FOIA) promulgato dal Consiglio dei Ministri italiano il 16 maggio 2016.
In questo quadro è evidente che occorre una specifica tutela del dipendente (pubblico, ma anche privato) che segnali comportamenti illeciti dell'organizzazione per la quale lavora. Tale soggetto si definisce “whistleblower”. La tutela di estende a tutti coloro che rivestono la qualifica di lavoratori ai sensi dell'articolo 45 TFUE, cioè le persone che, nel settore pubblico o privato, forniscono per un certo periodo di tempo, a favore di terzi e sotto la direzione di questi, determinate prestazioni dietro compenso. Quindi la protezione si applica anche ai contratti atipici, ai tirocinanti, agli interinali, ai lavoratori autonomi, azionisti e membri degli organi direttivi.
Normativa a tutela dei whistleblower
Il fenomeno del whistleblowing emerge negli anni '70, in particolare negli Stati Uniti, caratterizzandosi come la rivelazione spontanea di un illecito od irregolarità. Negli USA il whistleblowing è tutelato da numerose leggi federali fin dal 1983.
In Italia il problema della lotta alla corruzione si è posto da molto tempo. Da cui l'introduzione di norme, quali l'articolo 331 c.p.p., rubricato "denuncia da parte di pubblici ufficiali e incaricati di un pubblico servizio", che prevede l’obbligo in capo a queste due tipologie di soggetti di fare denuncia per quei reati perseguibili d’ufficio dei quali vengono a conoscenza nell'esercizio delle loro funzioni. Con riferimento alla tutela del dipendente pubblico segnalatore di illeciti, la prima norma, invece, risale al 2012 (legge n. 190 del 2012), quando si è inserito all'interno del Testo unico sul pubblico impiego la tutela del dipendente pubblico che segnala "nell’interesse dell’integrità della pubblica amministrazione" condotte illecite di cui viene a conoscenza in virtù del proprio rapporto di lavoro (art. 54-bis modificato dall'art. 1 L. 179/2017). Tale normativa si applica agli enti pubblici ed enti soggetti al controllo pubblico, poi estesa anche alle imprese fornitrici di beni o servizi che realizzano opere in favore dell’amministrazione pubblica.
Per il settore privato si è dovuto attendere il 2017, col Decreto Legislativo n. 219 del 3 Agosto 2017, in recepimento della direttiva europea n. 2004/39/CE, così costruendo un sistema che, per il settore privato, trova ora applicazione nel d.lgs 231/2001. Anche se la figura del whistleblower era già prevista in relazione al Modello Organizzativo 231 (l'art. 6 c. 2 del D.Lgs 231/01 riteneva motivo di esenzione di responsabilità la previsione di “obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli”) e in parte negli adempimenti normativi antiriciclaggio (obbliga le aziende a istituire canali appositi per le segnalazioni di condotte illecite atte al riciclaggio di denaro e al finanziamento di attività terroristiche). Ulteriori modifiche sono state introdotte con la legge 30 novembre 2017, n. 179. In ambito privato, però, la legge 179 prevede la mera facoltatitivà della tutela del whistleblower nel settore privato, rivolta ai soli enti destinatari del Dlgs 231/2001 che abbiano scelto di adottare un modello organizzativo.
A ciò si aggiungono ulteriori specifiche previsioni adottate per settori quali il bancario, l'assicurativo e per il contrasto alla lotta al riciclaggio e al finanziamento del terrorismo.
I fatti illeciti oggetto delle segnalazioni possono comprendere non solo delitti contro la pubblica amministrazione ma anche tutte le situazioni in cui si riscontrino comportamenti impropri di un funzionario pubblico. In base all'articolo 54 bis, però, la segnalazione deve avere ad oggetto "condotte illecite" e deve avvenire nell’interesse dell’integrità della pubblica amministrazione. Anche per il settore privato si prevede (D. Lgs. 231/2001 articolo 6) “di presentare, a tutela dell'integrità dell'ente, segnalazioni circostanziate di condotte illecite”. In tal modo si restringe l'ambito della tutela. Il TAR ha infatti chiarito che "l’istituto del whistleblowing non è utilizzabile per scopi essenzialmente di carattere personale o per contestazioni o rivendicazioni inerenti al rapporto di lavoro nei confronti di superiori. Questo tipo di conflitti infatti sono disciplinati da altre normative e da altre procedure” (TAR Campania, sez. VI, sentenza n. 3880/18).
Il segnalante rivolge la segnalazione non al superiore gerarchico bensì al Responsabile per la Prevenzione della Corruzione e della Trasparenza (RPCT). L’eventuale adozione di misure ritenute ritorsive a fronte della segnalazione effettuata va denunciata all’ANAC.
La normativa in materia di protezione dei dati personali si articola su diversi piani di tutela. Da un lato prevede per i segnalanti l’obbligo di garantire la riservatezza dei dati, e quindi delle loro identità, al fine di impedire eventuali ritorsioni sul posto di lavoro. L'adozione di pratiche di tutela dei whistleblower è ormai considerata uno strumento di compliance aziendale. Uno degli aspetti più rilevanti riguarda, ovviamente, la protezione dei dati (e quindi dell'identità) del segnalante, per cui occorre verificare la conformità delle procedure alla normativa in materia di protezione dei dati personali, oltre che a quella specifica settoriale, per evitare possibili ritorsioni sul luogo di lavoro. Con la modifica del 2017 nel D. Lgs 231/2001 si è introdotta la garanzia di riservatezza, ma è col GDPR che si disciplina correttamente l'interferenza del whistleblowing con la protezione dei dati personali. Secondo il GDPR, infatti, occorre:
- definire i ruoli attribuiti ai soggetti coinvolti nella procedura;
- garantire adeguate misure di sicurezza dei dati e del trattamento;
- disciplinare il diritto di accesso alle informazioni da parte deli soggetto segnalato;
- disciplinare le modalità del trasferimento dei dati della segnalazione, anche al di fuori dell'UE.
In questa ottica il titolare del trattamento deve garantire che i dati del segnalante siano completamente anonimizzati, sia nella fase della segnalazione che in quella del trasferimento delle segnalazioni, che in quella di conservazione. Una mancata conformità potrebbe, quindi, nascere dalla non osservanza del principio di privacy by design. Il Garante, inoltre, richiama al rispetto dell'art. 5 del GDPR e definisce le garanzie che il titolare deve fornire al segnalante al momento della raccolta delle segnalazioni.
In sintesi la normativa riconosce al whistleblower tre tipi di tutela:
- riservatezza dell'identità e della segnalazione, che non è un vero e proprio anonimato potendo essere recuperabile l'identità del segnalante in specifici casi; di conseguenza i dati identificativi del segnalante, la segnalazione e i documenti allegati sono sottratti sia al diritto di accesso agli atti amministrativi previsto dagli artt. 22 e seguenti della legge n. 241/1990 che all'accesso civico generalizzato di cui all'art. 5, comma 2, del D.Lgs. n. 33/2013; inoltre l'art. 23 GDPR e 2 undecies Codice Privacy affermano che i diritti di cui agli articoli dal 15 al 22 del GDPR non possono essere esercitati né con richiesta al titolare né con reclamo all’Autorità;
- tutela da eventuali misure ritorsive o discriminatorie adottate dall'ente a causa della segnalazione effettuata; secondo le linee guida dell'ANAC tali misure possono consistere anche in comportamenti o omissioni posti in essere dall'amministrazione nei confronti del segnalante, volti a limitare o comprimere l'esercizio delle funzioni proprie del lavoratore in modo da peggiorare la situazione lavorativa; le misure discriminatorie o ritorsive devono essere comunicate all'ANAC, alla quale è affidato il compito di accertare se siano conseguenti alla segnalazione e applicare una sanzione pecuniaria in assenza di prova da parte dell'amministrazione che la misura presa è estranea alla segnalazione; le misure ritorsive o discriminatorie sono nulle e si prevede anche la reintegrazione nel posto di lavoro;
- esclusione dalla responsabilità nel caso in cui il whistleblower sveli notizie coperte dall'obbligo di segreto d'ufficio, aziendale, professionale, scientifico o industriale ovvero violi l'obbligo di fedeltà, a condizione che il segnalante agisca al fine di tutelare l'interesse all'integrità delle amministrazioni nonché alla prevenzione e alla repressione delle malversazioni, non abbia appreso la notizia in ragione di un rapporto di consulenza professionale o di assistenza, le notizie e i documenti oggetto di segreto non siano rivelati con modalità eccedenti rispetto alle finalità dell'eliminazione dell'illecito e la rivelazione non avvenga al di fuori del canale di comunicazione specificamente predisposto per le segnalazioni; in assenza di tali presupposti la rivelazione di fatti illeciti potrebbe essere fonte di responsabilità civile e/o penale.
Il Garante si è anche espresso sulle linee guida dell'ANAC (delibera 469 del 2021) sul whistleblowing, precisando che l'implementazione di canali per la segnalazione di illeciti presuppone che sia effettuata una valutazione di impatto in funzione degli elevati rischi ricollegati a possibili ritorsioni sul posto di lavoro contro il segnalante. Come sappiamo anche l'ANAC è soggetto destinatario delle segnalazioni, e nelle linee guida ha introdotto specifiche misure a tutela dei whistleblower nel settore privato, integrando la disciplina dell'obbligo di segreto d'ufficio, aziendale, professionale, scientifico e industriale. Le linee guida distinguono tra "segnalazioni" di condotte illecite di cui il dipendente sia venuto a conoscenza in ragione del rapporto di lavoro e "comunicazioni" di misure ritenute ritorsive adottate dall'amministrazione o dall'ente nei confronti del segnalante a seguito della segnalazione.
Infine, in materia il Garante Europeo (EDPS) ha adottato le “Guidelines on processing personal information within a whistleblowing procedure” del 18 luglio 2016, che enfatizzano, tra gli altri, il principio di minimizzazione dei dati al fine anche di ridurre i rischi correlati al trattamento.
Direttiva europea 1937/2019
In considerazione del fatto che non esiste una normativa armonizzata in Europa, anzi vari Stati non hanno nemmeno una normativa in materia di tutela del whistleblower, con la direttiva 1937 del 2019, entrata in vigore il 16 dicembre 2019, l'Unione europea ha introdotto una normativa comunitaria minima da applicarsi in tutti gli Stati dell’Unione per i settori nei quali l’Unione ha competenza: appalti pubblici, servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi. Ovviamente i singoli Stati possono recepirla anche per altri settori non elencati.
Con la legge 22 aprile 2021, n. 53 il Governo è delegato al recepimento della direttiva europea. In particolare la legge delega prevede anche l'esercizio dell'opzione di cui all'articolo 25, paragrafo 1, della direttiva, che consente l’introduzione o il mantenimento delle disposizioni più favorevoli ai diritti delle persone segnalanti e di quelle indicate dalla direttiva, al fine di assicurare comunque il massimo livello di protezione e tutela dei medesimi soggetti.
L’art. 4 fornisce una definizione molto ampia di whistleblower, corrispondente a una categoria eterogenea di soggetti tra cui, ad esempio, i lavoratori dipendenti e autonomi, gli azionisti, i facilitatori, i volontari, i tirocinanti, i colleghi e i parenti del segnalante ecc... La nozione di "lavoratore" nella Direttiva è del tutto deformalizzata, contemplando in tale categoria non solo dipendenti, ma ogni soggetto in qualche modo collegato all'organizzazione. La Direttiva estende la protezione al maggior numero possibile di categorie di persone che, cittadini dell’Unione o di Paesi terzi, per le loro attività professionali, indipendentemente dal tipo e se si tratti o meno di attività remunerate, hanno accesso privilegiato a informazioni rilevanti e siano esposte al rischio di ritorsioni. Il novero dei soggetti tutelati è molto ampio, potendo rientrare nella categoria, ad esempio, anche consulenti, fornitori, subappaltatori, volontari, azionisti. La protezione è assicurata se il segnalante ha ragionevole motivo di credere che l’informazione riferita sia vera e rientri nel perimetro della Direttiva.
Le segnalazioni possono avere ad oggetto le “violazioni del diritto unionale che ledono il pubblico interesse”, con specifico riferimento a determinati settori elencati nell’art. 2 (tra cui gli appalti pubblici, i servizi, i prodotti e i mercati finanziari e la prevenzione del riciclaggio e del finanziamento del terrorismo, la tutela dell’ambiente, la protezione dei consumatori ecc...).
La Direttiva impone agli Stati l'obbligo di apprestare canali di segnalazione sia interni, che esterni, che pubblici. Per i canali di segnalazione interni, l'obbligo riguarda anche il settore privato (soggetti privati che impiegano almeno 50 lavoratori). Per i canali esterni occorre che siano dotati di indipendenza e autonomia. Infine, per i canali pubblici, la divulgazione è consentita solo in presenza di sepcifici presupposti (indicati dall’art. 15). I whistleblowers si possono rivolgere direttamente ai canali esterni nelle ipotesi indicate. Se, dopo aver utilizzato i canali interni ed esterni, non è stata intrapresa alcuna azione appropriata in risposta alla segnalazione allora possono effettuare una divulgazione pubblica. Le condizioni richieste per la divulgazione pubblica sono:
- che si versi in particolari circostanze tali da mettere a repentaglio un interesse pubblico oppure che possa verificarsi un danno irreversibile;
- che la segnalazione esterna non escluda il rischio di ritorsioni o il rischio che la violazione non sia efficacemente affrontata per circostanze specifiche (es. rischio di distruzione delle prove).
Ovviamente la direttiva prevede (art. 16) l'obbligo per gli Stati di garantire la riservatezza dell’identità del segnalante, di modo che quest’ultima non sia divulgata a soggetti diversi da quelli autorizzati a "ricevere e dare seguito alle segnalazioni". Analoga tutela si applica anche a tutte quelle informazioni che possono comunque consentire la rivelazione dell’identità del whistleblower. Per cui il trattamento dei dati personali deve avvenire in conformità a quanto stabilito dal regolamento europeo in materia di protezione dati personali e dalla direttiva 2016/680. Devono essere previste anche sanzioni proporzionate, efficaci e dissuasive per garantire tale riservatezza.
La direttiva sancisce il divieto di misure ritorsive in conseguenza della segnalazione, ed è prevista l'inversione dell'onere della prova, cioè sarà l'autore delle misure a dover dimostrare che hanno una adeguata base giustificativa. La protezione contro le misure di ritorsione deve essere garantita sia nei confronti del segnalante (ritorsione diretta) che delle persone a questi vicini (es. familiari, colleghi) che si trovino in relazione di lavoro con il datore di lavoro, ma anche nei confronti del soggetto giuridico per cui il segnalante lavora (ritorsione indiretta).
Il termine di recepimento della direttiva è il 17 dicembre 2021, tranne che per i soggetti privati con meno di 250 lavoratori, per i quali gli Stati possono fissare l'obbligo di conformarsi alla data del 17 dicembre 2023.
L'importanza della direttiva sta anche nel fatto che la tutela italiana prevede differenze rilevanti tra il settore pubblico e privato, laddove il recepimento della direttiva dovrà portare all'allineamento agli standard europei anche del settore privato. Inoltre potrebbe essere una buona occasione per riflettere sulla possibilità di introduzione di meccanismi premiali che rappresentano un fattore di impulso per le segnalazioni.
Recepimento della Direttiva europea in Italia
A recepimento della direttiva europea è stato adottato il decreto legislativo 10 marzo 2023, n. 24, entrato in vigore il 30 marzo, e riguardante "la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali". L'articolo 1 individua le violazioni oggetto di potenziale segnalazione, e ha una portata più vasta rispetto alla direttiva in quanto comprende non solo le violazioni del diritto dell'Unione europea, come previsto nella direttiva, ma anche le violazioni del diritto nazionali. Le segnalazioni devono comunque avere per oggetto le violazioni di disposizioni normative che siano lesive dell'interesse pubblico o dell’integrità dell’amministrazione pubblica o dell’ente privato.
Il decreto n. 24 si applica:
- per il settore pubblico e il settore privato con 250 dipendenti, dal 15 luglio 2023;
- per il settore privato con dipedenti da 50 a 249, dal 17 dicembre 2023.
Le disposizioni del decreto non si applicano:
- alle segnalazionirelative ad interessi personali che attengono a rapporti individuali con le figure sovraordinate;
- alle segnalazion di violazioni già disciplinate obbligatoriamente da atti dell'Unione europea (es. riciclaggio, finanziamento terrorismo, ecc...);
- alle segnalazioni in materia di sicurezza nazionale o difesa nazionale.
In base al decreto possiamo dire che la base giuridica per il trattamento dei dati personali nell'ambito delle attività di whistleblowing sta nell'obbligo legale, così come il periodo di conservazione dei dati è fissato per legge (art. 14) in 5 anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione. Ai soggetti va ovviamente fornita l'informativa, e l'organizzazione deve procedere (art. 13) ad una valutazione di impatto prima di iniziare le attività. Chiaramente i soggetti che gestiscono le segnalazioni devono essere autorizzati autorizzati e opportunamente formati, se si tratta di un canale condiviso si valuta una contitolarità del trattamento.
Per quanto riguarda i diritti dell'interessato, questi possono essere esercitati nei limiti previsti dall'art. 2-undecies del Codice Privacy, il quale sancisce che i diritti di cui agli articoli 15-22 GDPR non possono essere esercitati qualora sia ipotizzabile un pregiudizio effettivo e concreto alla riservatezza dell’identità della persona che segnala le violazioni (comma 1, lett. f). Questo perché il segnalante sarebbe esposto a rischi di subire ritorsioni. Il soggetto segnalato può, però esercitare (art. 2-undecies comma 3 Cod. Privacy)i propri diritti tramite l’autorità Garante, ai sensi dell’art. 160 del Codice Privacy.
Infine, in ossequi al principio di minimizzazione, "le segnalazioni non possono essere utilizzate oltre quanto necessario per dare adeguato seguito alle stesse” e “i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente”.
L'ANAC, Autorità Nazionale Anticorruzione
Nell'ordinamento italiano è l'ANAC l'autorità individuata per gestire le segnalazioni da parte dei whistleblower, sia per il settore pubblico che per il privato, come previsto dal decreto legislativo 24 del 2023. Il suo compito è di procedere alla trattazione delle segnalazioni se di propria competenza, in base alla delibera n. 469/2021. La normativa prevede che la segnalazione effettuata ad una autorità non compentente, debba comunque essere girata all'ANAC nel termine dei 7 giorni, avvertendo il segnalante. Se la segnalazione non è di competenza dell'ANAC, questa la trasmette all'Ispettorato della funzione pubblica, all'autorità giudiziaria ordinaria oppure a quella contabile, a seconda dei casi.
Spetta anche all'ANAC la tutela del dipendente pubblio che, a seguito di una segnalazione, ha subito misure ritorsive. Si occupa quindi di valutare le misure ritorsive e eventualmente sanzionare l'autore della ritorsione.
Altro compito dell'ANAC è di sanzionare le amministrazioni prive di un sistema di gestione delle segnalazioni.
Provvedimenti del Garante Privacy
In materia il Garante per la protezione dei dati personali si è già espresso. Ad esempio con:
- provvedimento correttivo e sanzionatorio nei confronti di Università degli studi di Roma “La Sapienza” (23 gennaio 2020);
- ordinanza ingiunzione nei confronti di Azienda ospedaliera di Perugia (7 aprile 2022).
Con i suddetti provvedimenti il Garante ha posto varie precisazioni. Innanzitutto la necessità che i whistleblower ricevano idonea informativa relativa al trattamento dei loro dati. Ma in particolare il fatto che la piattaforma di segnalazione non deve registrare i log del segnalante, anche nei casi in cui il sistema sia presidiato da un firewall. Insomma il traffico dati e l'indirizzo IP non devono essere raccolti. Infine il titolare deve svolgere una valutazione di impatto del trattamento prima di operare.
Whistleblowing e processo penale
L'anonimato del segnalante non ha carattere assoluto ma trova un preciso limite nel caso di esigenze di difesa nell'ambito di un processo penale. Come precisato dalla Corte di Cassazione con la sentenza 9047/2018, l'anonimato del denunciante opera solo in ambito disciplinare, essendo peraltro subordinato al fatto che la contestazione sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione. In caso di utilizzo della segnalazione in ambito penale non vi è spazio per la riservatezza delle generalità del segnalante, l'identità può essere rivelata ove la sua conoscenza sia assolutamente indispensabile per la difesa dell'incolpato. Però rimane la tutela del segreto nei modi e nei limiti previsti dall'art. 329 del codice di procedura penale.
Timeline normativa e soft law
2006 -> Parere del WP29;
2012 -> legge 190 (settore pubblico);
2017 -> legge 179 (settore pubblico e privato);
2019 -> Linee guida dell'EDPS;
2019 -> direttiva UE 2019/1937 (protezione segnalazioni violazioni diritto UE);
2023 -> Parere del Garante italiano sullo schema di decreto di attuazione della direttia europea;
2023 -> D.lgs 24 (protezione segnalazioni violazioni diritto UE e nazionale).
-----------------------------
Contattami per una consulenza in questa materia.