Whistleblowing e privacy: una difficile interrelazione alla luce dell'imminente riforma

La legge 22 aprile 2021, n. 53 (in Gazz. Uff., 23 aprile 2021, n. 97) ha delegato il Governo all'art. 1 ad adottare i decreti legislativi per il recepimento delle direttive europee e l'attuazione degli altri atti dell'Unione europea di cui agli articoli da 3 a 29 e all'allegato A. al numero 32 dell' allegato troviamo la direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione (termine di recepimento: 17 dicembre 2021).

Ebbene, il decreto legislativo è pronto e modifica, per certi versi in maniera anche sostanziale e con questo ci riferiamo più alla sua estensione che al contenuto, la disciplina della segnalazione di illeciti nel pubblico e nel privato, meglio nota con il termine anglosassone "whistleblowing" da whistleblower, che deriva dall'espressione to blow the whistle, ovverosia «soffiare il fischietto». Tale riforma su cui nello specifico non ci soffermeremo nello impatta con la disciplina della privacy. Difatti, la direttiva in parola, all'art. 17, precisa che ogni trattamento dei dati personali deve essere effettuato a norma del regolamento (UE) 2016/679 e della direttiva (UE) 2016/680 e ulteriormente indica nell' art. 16, che ogni Stato membro deve adoperarsi affinché l'identità della persona segnalante non sia divulgata, senza il suo consenso esplicito, a nessuno che non faccia parte del personale autorizzato competente a ricevere o a dare seguito alla segnalazione, salvo nel caso in cui la divulgazione dell'identità della persona segnalante rappresenti un obbligo necessario e proporzionato imposto dal diritto dell'Unione o nazionale nel contesto di indagini da parte delle autorità nazionali o di procedimenti giudiziari, anche al fine di salvaguardare i diritti della difesa della persona coinvolta. La deroga testé è ulteriormente circostanziata: le persone segnalanti devono essere informate prima della divulgazione della loro identità, a meno che ciò non pregiudichi le relative indagini o procedimenti giudiziari. L'autorità competente, quando informa le persone segnalanti, invia loro una spiegazione scritta delle ragioni alla base della divulgazione dei dati riservati in questione. Anche la conservazione della documentazione inerente alle segnalazioni è oggetto di attenzione della direttiva. Ferma la riservatezza di cui all'art. 16, sopra citato, gli Stati membri devono provvedere affinché i soggetti giuridici del settore privato e del settore pubblico e le autorità competenti conservino la documentazione inerente a ogni segnalazione ricevuta. Queste sono conservate soltanto per il tempo ritenuto necessario e proporzionato per conformarsi all'obbligo imposto dalla direttiva o ad altri obblighi previsti dal diritto dell'Unione o nazionale. L'art. 18 stabilisce, anche in forma abbastanza tassativa, alcune modalità. Infatti, se per la segnalazione si utilizza una linea telefonica registrata o un altro sistema di messaggistica vocale registrato, subordinatamente al consenso della persona segnalante, i soggetti giuridici del settore privato e del settore pubblico e le autorità competenti hanno il diritto di documentare la segnalazione orale: a) facendo una registrazione della conversazione su un supporto durevole che consenta l'accesso alle informazioni; o b) mediante una trascrizione completa e accurata della conversazione effettuata dal personale addetto al trattamento della segnalazione. Se per la segnalazione si utilizza una linea telefonica non registrata o un altro sistema di messaggistica vocale non registrato, i soggetti giuridici del settore privato e del settore pubblico e le autorità competenti hanno il diritto di documentare la segnalazione orale mediante un resoconto dettagliato della conversazione scritto dal personale addetto al trattamento della segnalazione. Se una persona chiede un incontro con il personale dei soggetti giuridici del settore privato e del settore pubblico o delle autorità competenti ai fini di una segnalazione, i soggetti giuridici del settore privato e del settore pubblico e le autorità competenti assicurano, subordinatamente al consenso della persona segnalante, che sia conservata una documentazione completa e accurata di tale incontro su un supporto durevole che consenta l'accesso alle informazioni.

Come si potrà coniugare tutto questo con il Regolamento europeo sulla protezione dei dati personali (GDPR)? Oggi sappiamo che la minimizzazione del dato imposta dal GDPR si scontra con l'analitica descrizione dei fatti, ma soprattutto, rimettendo ai controllori un potere non scontato e rilevante. Quanto invece alla rettifica delle informazioni offerte, la direttiva sembrerebbe offrire alla persona segnalante di verificare, rettificare e approvare la trascrizione della chiamata mediante l'apposizione della propria firma e questo con qualsivoglia strumento di segnalazione sopra ricordato. Sull'obbligo di segnalazione all'interessato (il segnalato) la direttiva si rimette agli ordinamenti di ciascun Stato membro e alle regole che disciplinano la durata delle indagini.

La direttiva, ma anche i dossier elaborati delle assemblee legislative ai fini della delega, non sembrerebbero superare la questione dei presupposti di liceità del trattamento. Se per la PA la posizione del Garante, rafforzata dalla lettura fatta dal medesimo sulle linee guida ANAC, porta ad individuare la base giuridica nell'adempimento di un obbligo legale ex artt. 6, par. 1, lett. c), 9, par. 2, lett. b) GDPR, nonché per l'esecuzione di un compito di interesse pubblico contemplato dall'ordinamento ex artt. 6, par. 1, lett. e), e 9, par. 2, lett. g) GDPR, nel settore privato ci troviamo ancora in un alveo di interpretazioni che vorrebbero la base giuridica costituita dall'interesse legittimo e ciò rispetto al trattamento di segnalazioni relative a condotte illecite che costituiscono reati presupposto ai sensi della dlgs 231 /01, ma al di fuori di questa ipotesi le posizioni sono molteplici e spesso contraddittorie. Probabilmente la parificazione del settore pubblico a quello privato così come intesa dalla direttiva (UE) 2019/1937, ci spingerà ad individuare anche per il settore privato la base giuridica nell'obbligo legale, ma, per ora è presto per dirlo perché sarà necessario analizzare compiutamente il decreto legislativo che arriverà certamente per fine anno.

*a cura di Francesca Di Muzio Avvocato penalista, professore a contratto di diritto e procedura penale IUSVE Verona, esperta in compliance 231 e privacy , Partner 24ORE Avvocati e Antonio Bubici , Avvocato civilista, docente di procedura civile, esperto in privacy e DPO.