Scrive Andrea Chiozzi: dico Snowden e tu cosa pensi? Se non pensi nulla, ti rispondo: MALE.
Corri a cercare chi è Edward Snowden, (c’è pure su Wikipedia)! Se invece lo sai, hai capito benissimo che mi sto riferendo al più famoso whistleblower della storia recente. Bene. Forse però non sai che il whistleblowing è strettamente legato al GDPR. Il perché e il percome li vediamo tra poco. Prima, facciamo un salto indietro nel tempo per capire quando è nato e dove, cosa significa whistleblowing, cosa prevede la normativa recente, come si differenzia rispetto alla norma precedente e perché dovrebbe interessarti se “lavori in” o “lavori per” una PA o una grande società oggi, nel 2023.
Nell’articolo che segue – tratto dalle lezioni “Il whistleblowing e il GDPR: la tutela di chi segnala le violazioni” su Raise Academy – Mauro Alovisio, Avvocato, coordinatore del corso di perfezionamento GDPR Università degli Studi di Torino, approfondisce questo nuovo e importante istituto.
Whistleblowing: cosa significa, quando e dove è nato?
Il termine whistleblowing è di origine anglosassone e indica la situazione in cui una persona, che lavora all’interno di un ente o di un’azienda pubblica o privata, è testimone di un comportamento irregolare, illegale, potenzialmente dannoso per la collettività e decide di segnalarlo.
Potremmo quindi pensare che il whistleblowing sia nato negli USA. Non è così. È nato in Italia, a Venezia, nel XIV secolo, quando, in risposta a una grave congiura, il doge del tempo fece costruire per le strade della città le Boche de Leon (Bocche di Leone): bassorilievi dalle sembianze leonine con una fessura abbastanza ampia da poter inserire dei foglietti contenenti segnalazioni di crimini e inadempienze. Queste segnalazioni potevano essere lette solo dai magistrati e le denunzie non potevano essere anonime, pena la distruzione. L’anonimato era concesso solo quando la segnalazione riguardava casi di particolare gravità che potessero mettere in pericolo la sicurezza dello Stato.
Quindi il whistleblowing non è nato negli USA, ma è negli USA che è diventato un vero e proprio istituto, con l’obiettivo di proteggere le persone che, mettendo a rischio la propria vita e la propria famiglia nell’interesse pubblico, decidono comunque di denunciare.
La direttiva UE Whistleblowing e il decreto legislativo adottato dall’Italia che la recepisce
Nel 2019, l’UE ha adottato la Direttiva 2019/1937 sulla protezione delle persone che segnalano violazioni del diritto dell’Unione allo scopo di uniformare le normative degli Stati membri in materia. In Italia, la direttiva è stata recepita in ritardo, col decreto legislativo 24 del 10 marzo 2023.
Quindi oggi abbiamo anche noi una norma che disciplina il whistleblowing sia quando la segnalazione avviene nei confronti della PA sia quando avviene nel settore privato.
Infatti, prima dell’entrata in vigore del decreto legislativo 24/2023, l’Italia aveva una normativa specifica, relativa però solo agli enti pubblici e poi estesa anche a pochi soggetti privati: la legge 30 novembre 2017, n. 179.
Cosa cambia?
Il nuovo decreto, rispetto alla norma precedente, ha un effetto rivoluzionario, tanto che, secondo alcuni, con esso, la tutela del whistleblowing esce dal limbo.
La tutela del whistleblowing “esce dal limbo”
Rispetto alla precedente legge 179/2017, la nuova norma:
- Ha un ambito di applicazione molto maggiore
Viene notevolmente ampliato l’ambito oggettivo – cioè, a quali enti si applica – ed esteso anche il profilo di chi può segnalare: una platea molto vasta.
- Prevede un nuovo canale esterno di segnalazione
La nuova norma introduce una novità importante rispetto alla legge 179/2017: mentre prima, nel caso di whistleblowing in azienda, era possibile fare una segnalazione interna e solo in determinati casi. Oggi è possibile rivolgersi a un canale esterno. Infatti, qualora sia inefficace il canale interno dell’azienda, il segnalatore potrà rivolgersi ad ANAC (Autorità Nazionale Anticorruzione), che diventa l’Autorità in materia, con compiti regolatori, gestori e anche sanzionatori.
- Rafforza la tutela del segnalante
Secondo la nuova norma, chi si espone non potrà subire ritorsioni, mentre licenziamenti e trasferimenti saranno nulli.
D.lgs. 24/2023: chi è il whistleblower, quando si applica la tutela e cosa si può segnalare
Il whistleblower è la persona che segnala, divulga o denuncia all’autorità giudiziaria o contabile informazioni su attività che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato. Informazioni di cui viene a conoscenza all’interno di un contesto lavorativo (pubblico o privato).
Chi può segnalare
Non solo i dipendenti della PA, dal 15 luglio 2023, con l’entrata in vigore del decreto, oltre ai dipendenti delle amministrazioni pubbliche, degli enti pubblici economici (e tutte le fattispecie previste nel decreto), possono fare una segnalazione anche:
- i dipendenti di soggetti che operano nel settore privato;
- gli autonomi: i lavoratori autonomi e i titolari di un rapporto di collaborazione di cui all’articolo 409 del c.p.c. e all’articolo 2 del decreto legislativo 15 giugno 2015, n. 81, che svolgono la propria attività lavorativa presso soggetti del settore pubblico o del settore privato;
- i lavoratori o i collaboratori, che svolgono la propria attività lavorativa presso soggetti del settore pubblico o del settore privato che forniscono beni o servizi o che realizzano opere in favore di terzi;
- i liberi professionisti e i consulenti che prestano la propria attività presso soggetti del settore pubblico o del settore privato;
- stagisti, tirocinanti, volontari che prestano la propria attività presso soggetti del settore pubblico o del settore privato;
- gli azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche qualora tali funzioni siano esercitate in via di mero fatto, presso soggetti del settore pubblico o del settore privato.
Quando si applica la tutela e chi copre?
La tutela del whistleblower si applica non solo nel periodo relativo al rapporto di lavoro, ma anche:
- quando il rapporto giuridico non è ancora iniziato, se la persona è venuta a conoscenza delle informazioni sulla violazione durante il processo di selezione o in altre fasi precedenti alla stipula del contratto;
- nel corso del periodo di prova;
- dopo lo scioglimento, se le informazioni sono state acquisite nel corso del rapporto di lavoro.
La tutela copre sia chi segnala sia i facilitatori, cioè le persone che supportano il whistleblower nella segnalazione: colleghi, parenti entro il quarto grado e gli enti di proprietà della persona segnalante. Quest’ultimo è il caso del dipendente di un fornitore che decide di segnalare l’azienda cliente. In una situazione di questo tipo, l’azienda cliente potrebbe estromettere l’azienda fornitrice, risolvere il contratto, inserirla in una black list. Grazie al nuovo decreto la tutela è estesa anche all’azienda fornitrice.
Che tipo di attività si può segnalare?
La nuova disciplina sul whistleblowing si applica alle violazioni delle disposizioni normative nazionali e dell’UE che:
- ledono l’interesse pubblico
- o l’integrità dell’amministrazione pubblica o dell’ente privato
di cui le persone che segnalano sono venute a conoscenza in un contesto di lavoro (pubblico o privato). E possono riguardare:
- condotte illecite rilevanti (responsabilità amministrativa da reato, decreto n.231/2001) e violazioni dei modelli 231;
- violazioni della normativa europea in materia di:
– sicurezza dei trasporti
– tutela dell’ambiente, radioprotezione e sicurezza nucleare
– sicurezza degli alimenti e dei mangimi
– salute e benessere degli animali
– salute pubblica, protezione dei consumatori, tutela della vita privata
– protezione dei dati personali, sicurezza delle reti e dei sistemi informativi
– violazioni della normativa in materia di concorrenza e aiuti di Stato
È quindi possibile segnalare anche violazioni relative ai sistemi informativi, alla sicurezza informatica e alla protezione dei dati personali, cioè anche i data breach, violazioni del GDPR.
A quali enti e aziende si applica il Decreto Whistleblowing
- L’ambito di applicazione del decreto è molto ampio, perché vi rientrano sia i soggetti pubblici che i privati. In particolare, nel settore privato, rientrano nella disciplina i soggetti che:
- nell’ultimo anno, hanno impiegato in media almeno 50 lavoratori subordinati con contratti a tempo determinato o indeterminato;
- anche se non nell’ultimo anno non hanno raggiunto la media dei 50 lavoratori subordinati, rientrano nell’ambito di applicazione degli atti dell’Unione dell’allegato del d.lgs. 24/2023 cioè: servizi, prodotti e mercati finanziari, prevenzione del riciclaggio e finanziamento del terrorismo, commercializzazione e utilizzo di prodotti sensibili e pericolosi;
anche se non nell’ultimo anno non hanno raggiunto la media dei 50 lavoratori subordinati, hanno adottato il MOG 231.
Come adeguarsi ed entro quando?
La norma prevede che il titolare del trattamento debba definire il proprio modello di gestione delle segnalazioni in conformità alla protezione dei dati personali fin dalla progettazione. Quindi secondo i principi di privacy-by-design e by-default.
La prima cosa da fare, dunque, è mettere il DPO al centro. Il whistleblowing, infatti, è un istituto che richiede la collaborazione di più soggetti: DPO, vertici aziendali, organismi di vigilanza, responsabile del personale, ufficio relazioni sindacali e ufficio formazione, responsabile ICT, responsabile ufficio stampa. In ambito pubblico devono essere coinvolti anche il responsabile per la transizione digitale e il responsabile della comunicazione.
Gli istituti, pubblici e privati, devono prevedere un canale interno di segnalazione e il coinvolgimento delle rappresentanze e delle organizzazioni sindacali.
Vanno previste anche delle tempistiche rigorose per dare riscontro al segnalante e delle misure a protezione della tutela della riservatezza – anche tramite il ricorso a strumenti di crittografia – e contro le ritorsioni.
I termini per adeguarsi sono già scaduti per gli enti pubblici (15 luglio 2023) e molto vicini per i soggetti privati che hanno impiegato, nell’ultimo anno, una media di lavoratori fino a 249 unità (17 dicembre 2023).
Una materia connessa al GDPR e non solo
La disciplina del whistleblowing è una materia molto complessa e connessa con altre:
- il GDPR
- Il d.lgs. 2001/231 sulla responsabilità degli enti
- Il Testo Unico sui dipendenti pubblici d.lgs. 2011/165 e Misura di prevenzione della corruzione (l.190/2012).
La normativa, infatti, richiede che i processi, le architetture e le misure organizzative – quindi anche le policy – siano progettati nel rispetto del GDPR.
Il GDPR è il paradigma sul quale deve essere costruito il processo.
Non solo, le sanzioni più rilevanti in materia di whistleblowing non sono state erogate dall’ANAC – che se ne occuperà e che in parte se ne è occupato -, ma dal Garante della privacy. Sono sanzioni dagli importi elevati – dai 40.000 agli 80.000 euro – e prevedono la sanzione accessoria della pubblicazione del provvedimento, con un conseguente danno reputazionale. Infatti, il Garante della privacy ha poteri molto penetranti, perché grazie alle sue ispezioni, può accedere ai sistemi informativi, sia del titolare del trattamento dei dati – l’azienda – sia del fornitore della piattaforma con cui è stato gestito il canale di whistleblowing.
- Sono previsti altri adempimenti?
- Cosa pubblicare sul sito aziendale o dell’ente?
- Quali sono i tempi di ricezione della segnalazione e quelli per dare riscontro al segnalante?
- Quando si può essere sanzionati?
- È possibile vedere un caso pratico?
Fonte: PrivacyLab