Home / Blog / Whistleblowing e Privacy

Whistleblowing e Privacy

Inserito da Anna Veltri 15 dicembre 2017 in Privacy e tutela delle informazioni

Che cos’è il whistleblowing?

Il whistleblower è colui che “fa una rivelazione nel pubblico interesse”, pertanto con il termine inglese whistleblowing si indica l’istituto di prevenzione della corruzione, derivato dall’esperienza dei Paesi anglosassoni e indica la condotta di alcuni soggetti che appartengono a enti pubblici o a società private, che autonomamente e di propria iniziativa effettuano delle segnalazioni su fatti integranti la fattispecie astratta di alcuni reati eventualmente conosciuti in occasione della loro attività lavorativa.

Come viene normato il whistleblowing in Italia?

A differenza dei sistemi giuridici di common law che sono maggiormente evoluti tanto che hanno disciplinato al loro interno il whistleblowing già dal 1800, in Italia il nostro ordinamento, fino ad oggi, non dedicava una disciplina sistematica al tema delle segnalazioni interne per tutti gli enti privati.

Il whistleblowing era disciplinato dall’ art. 54 bis del D.lgs. 165/2001 – Testo Unico del Pubblico Impiego (TUPI), introdotto solo nel 2012 con la L. 190/2012, che garantiva tutela per il dipendente pubblico che segnalava illeciti di cui sia venuto a conoscenza in ragione del rapporto di lavoro. In specifico, le tutele consistevano in garanzie minime in opposizione ad eventuali sanzioni o misure discriminatorie che potevano avere effetti sul rapporto lavorativo per ragioni collegate alla denuncia

Verbal OrderOggi, la nuova legge «Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato» approvata il 15 novembre 2017 aggiorna l’art. 54 bis del TUPI e prevede anche una tutela nel settore privato modificando l’art. 6 del D.lgs. 8 giugno 2001, n. 231 che disciplina la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica.

La nuova disciplina introduce specifiche misure di protezione dei lavoratori dipendenti che, denunciando, rischiano di trovarsi inevitabilmente in situazioni molto complicate: stigma, mobbing, demansionamento, licenziamento.

Nel settore privato, già prima della nuova legge sul whistleblowing, l’art. 6 del D.lgs. 231/2001 prevedeva (e prevede tuttora) esplicitamente precisi obblighi di informazione di cui l’organismo di controllo deve risultare destinatario.

Ai sensi del disposto dell’art. 6, comma 2, lett. d) del D.lgs. 231/2001, in particolare, il modello organizzativo adottato dall’ente deve prevedere l’obbligo “per i dipendenti, i direttori, gli amministratori della società di riferire all’organismo di vigilanza notizie rilevanti e relative alla vita dell’ente, a violazioni del modello o alla consumazione di reati …”. Da tempo gli esperti nel settore, avvalorati anche dalla giurisprudenza, indicavano tra i motivi a sostegno della decisione di inidoneità del modello organizzativo 231 adottato dall’ente, l’assenza di indicazioni procedurali da seguire per poter attivare i canali d’informazione verso l’Organismo di Vigilanza.

Con la nuova normativa, viene previsto l’allargamento dei soggetti obbligati a dotarsi di un sistema di whistleblowing inserendo i commi 2-bis, 2-ter e 2-quater dopo il comma 2 dell’art. 6 del D.lgs. 231/2001. In specifico dopo tale aggiornamento i modelli organizzativi 231 dovranno ora prevedere tra l’altro:

  • uno o più canali che consentano a coloro che a qualsiasi titolo rappresentino o dirigano l’ente di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del D.lgs. 231/2001e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte;
  • almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante;
  • il divieto di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione;
  • prevedere sanzioni nei confronti di chi viola le misure di tutela del segnalante, nonché di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate

I modelli organizzativi 231 dovranno quindi essere implementati a tal fine e integrati con la previsione di un regolamento che disciplini internamente il sistema segnalazione delle violazioni conforme alle intervenute novità legislative. Inoltre, dovranno descrivere:

  • chi sono i soggetti abilitati ad effettuare le segnalazioni,
  • quali sono i contenuti oggetto di tali segnalazioni,
  • le aree aziendali che gestiscono il sistema di whistleblowing,
  • le tutele riservate ai soggetti segnalanti e le sanzioni nei confronti di chi viola tali misure.

Quali sono gli accorgimenti relativi alla privacy da adottare nel sistema di whistleblowing?

rules-1752630_640Già nel 2009 il Garante per la protezione dei dati personali con la sua segnalazione al Parlamento e al Governo sull’individuazione, mediante sistemi di segnalazione, degli illeciti commessi da soggetti operanti a vario titolo nell’organizzazione aziendale aveva evidenziato le criticità di tale materia.

La sua segnalazione, così come le segnalazioni provenienti da tutte le autorità garanti per la protezione dei dati personali europee, si basava essenzialmente su 5 capisaldi:

  • bisogna individuare i presupposti di liceità del trattamento, quindi individuare la base giuridica del trattamento (la legge), altrimenti acquisire il consenso dell’interessato ai sensi dell’art 23 del D.lgs. 196/2003;
  • bisogna individuare l’ambito di applicazione del trattamento: deve essere circoscritto ai soli illeciti indicati dalla normativa e non a qualsiasi tipo di lamentela;
  • bisogna tutelare l’esercizio del diritto di accesso da parte dell’interessato: questo può essere limitato per garantire la tutela dei diritti e delle libertà altrui, tuttavia “in nessuna circostanza può essere permesso al denunciato di avvalersi del suo diritto di accesso per ottenere informazioni sull’identità del denunciante”;
  • occorre informare il dipendente: rilasciare a quest’ultimo una informativa ex art. 13 del D.lgs. 196/2003 redatta ad hoc utile ad informarlo sul trattamento che ne deriva;
  • occorre garantire la sicurezza del trattamento: attraverso l’adozione di idonee misure di sicurezza sulla base di una procedura che tenga conto delle modalità di invio delle segnalazioni, la loro riservatezza, la conservazione in ambiente protetto, etc.

Tali indicazioni sono state ribadite dalle Linee guida del Garante europeo per la protezione dei dati personali Guidelines on processing personal information within a whistleblowing procedure del 18 luglio 2016 che si soffermano:

  • sull’implementazione di canali definiti per la reportistica interna ed esterna e regole specifiche dove lo scopo è chiaro;
  • sull’obbligo di garantire la riservatezza delle informazioni ricevute e proteggere l’identità degli informatori e tutte le altre persone coinvolte;
  • sull’applicazione del principio della minimizzazione dei dati;
  • sull’identificazione delle informazioni personali trattate e sui diritti di informazione, accesso e rettifica degli interessati;
  • sulle restrizioni al diritto di accesso degli interessati;
  • sul trasferimento delle informazioni personali all’esterno e sui limiti dello stesso;
  • sui periodi di conservazione delle informazioni personali elaborate all’interno l’ambito della procedura di denuncia delle irregolarità a seconda dell’esito di ciascun caso;
  • sull’implementazione di adeguate misure di sicurezza basate su una valutazione del rischio al fine di garantire una legittima e sicura elaborazione di informazioni personali.

Anche se il provvedimento non è diretto alle società, ma alle istituzioni europee, visto il ruolo dell’European Data Protection Supervisor, è da tenere in considerazione soprattutto in parallelo ai nuovi adempimenti previsti dal Regolamento UE 2016/679 sulla privacy (GDPR) che, come tale, avrà un impatto di ampia portata sui sistemi di segnalazione delle irregolarità organizzative (whistleblowing).

Queste sono solo 4 delle questioni importanti da considerare per garantire che il sistema di segnalazione sia conforme al GDPR:

  • requisiti tecnici più severi relativi al sistema di denuncia delle irregolarità, tra cui i principi di privacy by design e privacy by default,
  • adeguate misure organizzative, tra cui la pseudonimizzazione,
  • richieste di documentazione più elevate,
  • nuovi requisiti per la comunicazione ai dipendenti.

Si consiglia alle organizzazioni di porsi queste 3 domande chiave per valutare se il proprio whistleblowing è conforme al GDPR:

  • Il livello di protezione dei dati del servizio whistleblowing è conforme al GDPR?
  • Quali policy e processi interni sono in atto per la gestione dei casi, la documentazione, la cancellazione, il diritto all’oblio, etc.?
  • Le comunicazioni e le linee guida/policy relative al whistleblowing sono conformi ai requisiti del GDPR?
Don`t copy text!