Whistleblowing e privacy, obbligo di trattamento dei dati in ossequio al principio di accountability del Gdpr
Il titolare del trattamento, nell'elaborazione del proprio modello organizzativo interno finalizzato alla corretta gestione delle segnalazioni, dovrà adottare tutte le misure organizzative, informatiche e fisiche per garantire che i dati personali trattati non siano soggetti a rischi di accesso abusivo, di perdita o di trattamento illecito, facendo riferimento alle prescrizioni del GDPR
La recente introduzione nel nostro ordinamento degli obblighi in materia di whistleblowing per i soggetti privati darà certamente un contributo importante all'emersione degli illeciti in ambito aziendale. Ma le procedure interne di segnalazione ora richieste generano trattamenti di dati personali, anche particolari, che comportano l'adozione di cautele e misure di sicurezza da parte del titolare del trattamento.
Con il decreto legislativo 10 marzo 2023 n. 24 pubblicato sulla Gazzetta Ufficiale Serie Generale n. 63 del 15 marzo 2023 è stata data attuazione, all'interno del nostro ordinamento, alla direttiva (UE) 2019/1937 in materia di persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Quindi è stata introdotta, seppur con notevole ritardo rispetto al termine del 17 dicembre 2021 inizialmente previsto, la disciplina relativa alla protezione dei c.d. "whistleblower", termine anglosassone che letteralmente sta ad indicare i "suonatori di fischietto", ovvero i soggetti che denunciano la commissione di illeciti all'interno di organizzazioni o enti. E la ratio di questa normativa va individuata nell'evitare che questi soggetti abbiano conseguenze negative successive alla propria condotta virtuosa e che quindi desistano dai propri buoni propositi.
In effetti una normativa che spinga tutti gli operatori di mercato a segnalare e fare emergere gli illeciti in cui si imbattono non può che essere valutata positivamente e, magari nel nostro Paese più che in altri contesti, dare un contributo decisivo al miglioramento generale della cultura e dell'effettività della compliance normativa in ambito aziendale. Introdurre una tutela efficace dei diritti e delle libertà delle persone che, vincendo il timore di conseguenze negative, superino l'abitudine all'omertà in relazione a comportamenti antigiuridici fino ad oggi sottaciuti e nascosti, porterà a compiere passi in avanti, anche culturali, all'intero mondo del lavoro.
La via segnata dalla direttiva è quella di prevedere l'obbligo per i soggetti privati di introdurre delle procedure interne in grado di consentire all'interessato di effettuare le segnalazioni degli illeciti in modo da avere la certezza che queste rimangano riservate. Il legislatore italiano ha però escluso la possibilità che vengano effettuate segnalazioni completamente anonime, limitazione da ritenersi condivisibile in un'ottica di responsabilizzazione del segnalante e anche di trasparenza nei confronti del soggetto segnalato. E le tempistiche previste per l'adeguamento sono piuttosto stringenti, avendo la norma adottato un criterio dimensionale che prevede il termine del 15 luglio 2023 per i soggetti del settore privato che abbiano impiegato, nell'ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, oltre le 249 unità.
Sono invece tenuti all'adeguamento entro il 17 dicembre 2023 i soggetti che abbiano impiegato nell'ultimo anno la media di almeno 50 unità, o che rientrino in ambiti di attività definite "rilevanti" o che abbiano adottato i modelli di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/2001 in tema di responsabilità amministrativa da reato delle società e degli enti.
Le segnalazioni potranno avvenire attraverso i canali interni oggetto degli obblighi di cui al capoverso precedente oppure direttamente all'ANAC – Autorità Nazionale Anticorruzione in una serie di casi particolari, ad esempio laddove il canale di segnalazione interno non sia stato attivato, non sia adempiente agli obblighi normativi o se la segnalazione interna sia già stata effettuata ma non abbia avuto seguito o possa presentarsi il rischio effettivo di ritorsioni a carico del segnalante. I soggetti privati dovranno adottare procedure interne per le segnalazioni modellate sulle indicazioni del decreto ed effettivamente in grado di tutelare la riservatezza dei soggetti segnalanti, mettendoli al riparo da qualsiasi ingiusta conseguenza negativa.
Ulteriore elemento di interesse del decreto è l'ampia estensione delle categorie dei soggetti segnalanti, a partire naturalmente dai lavoratori subordinati, soggetti per definizione in una posizione di subordinazione nei confronti del datore di lavoro e dell'organizzazione per cui operano, ma anche tutte le categorie di lavoratori parasubordinati e lavoratori autonomi, consulenti esterni o fornitori.
In effetti anche questi soggetti che non possono considerarsi "organici" all'ente potrebbero da un lato utilmente effettuare delle segnalazioni di illeciti in cui si siano imbattiti nel corso della propria attività di outsourcer o di fornitore, dall'altro potrebbero essere anch'essi soggetti a conseguenze negative in termini di risoluzione del contratto di collaborazione o fornitura o anche di denigrazione sul mercato con danno alla propria immagine professionale. L'ampio respiro della norma che mira all'emersione degli illeciti a 360° emerge chiaramente anche da questo aspetto specifico.
Venendo al tema del trattamento dei dati personali che la novella normativa porta con sé, l'art. 13 del decreto offre una serie di indicazioni molto puntuali sull'argomento.
Innanzitutto viene sottolineato il fatto che tutti i trattamenti di dati personali conseguenti alla segnalazione degli illeciti siano soggetti alla normativa obbligatoria in materia di trattamento dati personali e quindi non sia prevista deroga alcuna. L'ente che ha adempiuto agli obblighi in materia di whistleblowing tratterà i dati relativi in qualità di titolare del trattamento e quindi di tali trattamenti sarà chiamato a rispondere. Alla luce di questo e in ossequio al principio dell'accountability previsto dal GDPR quindi l'azienda dovrà organizzarsi internamente e adottare le misure di sicurezza previste per garantire la riservatezza e la sicurezza dei dati trattati all'interno delle segnalazioni raccolte. Quindi in primo luogo i dati del segnalante, ma anche i dati degli interessati oggetto delle segnalazioni e di eventuali terzi coinvolti, fornendo adeguante informazioni circa i trattamenti di cui siano oggetto, come esplicitamente indicato al comma 4.
Il titolare del trattamento, nell'elaborazione del proprio modello organizzativo interno finalizzato alla corretta gestione delle segnalazioni, dovrà adottare tutte le misure organizzative, informatiche e fisiche per garantire che i dati personali trattati non siano soggetti a rischi di accesso abusivo, di perdita o di trattamento illecito, facendo riferimento alle prescrizioni del GDPR e, in particolare, a quanto prescritto dall'art. 32 . Inoltre il comma 6 del Decreto in esame fa esplicitamente riferimento alla valutazione di impatto sulla protezione dei dati regolata dall'art. 35 del Regolamento , che dovrà essere effettuata analizzando i rischi a cui sono soggetti i dati personali riferiti a tutti gli interessati coinvolti, progettando misure di sicurezza specifiche finalizzate alla riduzione del rischio in termini di probabilità e di gravità. Un'attività di analisi molto approfondita che certamente ciascun ente dovrà portare a termine in modo accurato, essendo un obbligo esplicitamente previsto, valutando di fare ricorso al supporto di professionisti esterni specializzati in privacy, qualora tali risorse non siano presenti all'interno della propria organizzazione.
Gli obiettivi di riservatezza delle segnalazioni saranno in molti casi raggiunti attraverso l'utilizzo di software dedicati, già presenti sul mercato ed offerti da anni da molte aziende di servizi IT, visto che gli obblighi in termini di whistleblowing erano già stati introdotti per il settore pubblico dal 2001. Il Titolare del trattamento dovrà prestare la massima attenzione nella scelta dei fornitori di questi servizi informatici e valutare nel dettaglio il loro livello di affidabilità, anche dal punto di vista della privacy compliance. In termini di qualificazione giuridica a fini privacy delle parti infatti il fornitore dovrà essere nominato responsabile del trattamento ai sensi dell'art. 28 del GDPR , come peraltro esplicitato dal comma 6 dell'art. 13 del Decreto . Diventerà così centrale la redazione del c.d. Data Protection Agreement, l'accordo di nomina a responsabile, che dovrà prevedere i diritti e i doveri delle parti e soprattutto espliciterà le misure di sicurezza con cui il fornitore proteggerà i trattamenti di dati personali svolti "per conto" del Titolare.
Da ultimo l'art. 14 del Decreto esplicita le regole in termini di conservazione delle segnalazioni e quindi anche di conservazione dei dati personali ivi contenuti. Viene indicato come parametro il tempo necessario al trattamento della segnalazione e comunque non oltre 5 anni a decorrere dalla data della comunicazione dell'esito della segnalazione. La previsione è coerente con il principio della privacy by default e della minimizzazione del trattamento dei dati personali, che non ammette la conservazione perpetua. Il Titolare del trattamento dovrà quindi prevedere all'interno delle procedure interne per la gestione delle segnalazioni anche delle policy interne di cancellazione dei dati personali trattati, con l'impostazione informatica all'interno degli applicativi utilizzati e la distruzione di eventuale documentazione cartacea raccolta.
Dall'esame della normativa in materia di whistleblowing emerge chiaramente come questa sia strettamente connessa al tema privacy, sia per quanto attiene al profilo della riservatezza dei dati, non solo personali, ma anche dei numerosi adempimenti specifici che l'ente dovrà adottare per trattare correttamente le informazioni raccolte. Ma soprattutto perché anche gli illeciti in materia di privacy sono ricompresi all'interno dell'elenco delle fattispecie che potranno essere oggetto di segnalazione, come indicato esplicitamente all'interno dell'art. 2 comma 1 numero 3) del Decreto, e questo aspetto potrebbe dare una notevole spinta anche alla diffusione e miglioramento della cultura della privacy compliance su tutto il territorio nazionale.
_____
*A cura dell'Avv. Lorenzo Perino – amministratore di Lext Consulting e Of Counsuel di Lexpertise