Pubblicato in Gazzetta Ufficiale n. 63 del 15 marzo 2023, il Decreto Legislativo n. 24 del 10 marzo 2023, che entrerà in vigore il 30 marzo p.v. (il “Decreto WB”), ha recepito in via definitiva la Direttiva (UE) 2019/1937 in materia di whistleblowing (“Direttiva WB”). L’implementazione obbligatoria di canali di segnalazione richiederà di valutare numerosi temi connessi di corporate governance, risk management, protezione dei dati personali e diritti dei lavoratori. Whistleblowing: quadro normativo La normativa prevede tutele specifiche per la protezione dei whistleblowers che segnalano violazioni di disposizioni normative nazionali ed europee, che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venuti a conoscenza in un contesto lavorativo pubblico o privato. In materia di whistleblowing, era già prevista nel nostro ordinamento la Legge n. 179/2017 che ha apportato rilevanti modifiche sia al D. Lgs. n. 165/2001, recante la disciplina in materia di protezione del segnalante nel settore pubblico, sia al D. Lgs. n. 231/2001 attraverso l’introduzione del comma 2 dell’art. 6, che regola la tutela per il segnalante nel settore privato. Finalità del Decreto WB Il nuovo testo del Decreto WB persegue la finalità di rafforzare i principi di trasparenza e responsabilità, senza alcuna distinzione tra organizzazione pubblica o privata, con riferimento ai settori indicati dalla Direttiva WB (tra questi: appalti pubblici, servizi finanziari, sicurezza dei prodotti e dei trasporti, ambiente, alimenti, salute pubblica, privacy, sicurezza della rete e dei sistemi informatici, concorrenza). Soggetti obbligati Ai sensi del Decreto WB, l’obbligo di istituzione di un canale di segnalazione è previsto: La tutela del whistleblower Ai sensi dell’art. 3 del Decreto WB, l’ambito di applicazione soggettivo delle disposizioni del citato Decreto ricomprende dipendenti, collaboratori, lavoratori subordinati e autonomi, liberi professionisti ed appartenenti ad altre categorie come volontari, tirocinanti e azionisti. Inoltre, le misure di protezione si applicano anche ai cosiddetti “facilitatori”, ossia colleghi, parenti o affetti stabili del soggetto che ha segnalato. Le misure di protezione previste sono volte a garantire la riservatezza del segnalante e il divieto di atti ritorsivi. La gestione dei canali di segnalazione deve essere affidata a una persona o a un ufficio interno oppure a un soggetto esterno, autonomo e con personale specificamente formato. Le segnalazioni possono essere rese in forma scritta o orale ovvero, su richiesta specifica del segnalante, attraverso incontri diretti e posti in essere entro un termine ragionevole. In ottemperanza a quanto previsto dal Decreto WB, può beneficiare delle tutele anche chi effettua la segnalazione mediante la divulgazione pubblica, a patto che sia stato preliminarmente utilizzato il canale interno o esterno, ma non vi sia stata una risposta appropriata o che non siano stati utilizzati i canali interni o esterni per rischio di ritorsione o per inefficacia di quei sistemi. Segnalazione di condotte illecite e sanzioni L’Autorità Nazionale Anticorruzione (“ANAC”) viene individuata, in presenza delle condizioni elencate dall’art. 6 del Decreto WB, quale unica autorità competente a ricevere e gestire segnalazioni in materia di whistleblowing attraverso appositi canali di segnalazione esterni. Inoltre, in caso di mancato adeguamento o violazione della disciplina, l’ANAC può irrogare le sanzioni amministrative pecuniarie da 10.000 a 50.000 euro nei casi in cui vengano commesse ritorsioni o quando viene accertato che una segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l’obbligo di riservatezza, oppure da 10.000 a 50.000 euro nel caso accerti che non sono stati istituiti canali di segnalazione o che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni; inoltre sono previste sanzioni da 500 a 2.500 euro, nel caso in cui venga accertata la responsabilità penale della persona segnalante per i reati di diffamazione o di calunnia. Profili privacy connessi alle segnalazioni e relativi adempimenti ai sensi del GDPR Con riferimento ai profili relativi al trattamento dei dati personali, l’art. 13 del nuovo Decreto WB stabilisce che ogni trattamento dovrà essere posto in essere nel rispetto del Regolamento (UE) 679/2016 (“GDPR”). L’art. 13 del Decreto WB chiarisce i dubbi interpretativi scaturiti dal Parere dell’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) in merito alla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza (“OdV”) eventualmente designato ai sensi del D.lgs. 231/2001. In quell’occasione, il Garante Privacy si concentrò unicamente sui profili privacy connessi ai trattamenti svolti dall’OdV nell’attività di vigilanza (qualificando i membri dell’OdV come “soggetti autorizzati”), senza occuparsi, invece, di quelli derivanti da eventuali segnalazioni. Il predetto articolo interviene quindi sul punto, individuando in modo chiaro i ruoli privacy delle parti coinvolte nei trattamenti connessi alla gestione delle segnalazioni e definendone le relative responsabilità. Nello specifico, i trattamenti di dati personali relativi al ricevimento e alla gestione delle segnalazioni saranno svolti dai soggetti individuati dal Decreto WB in qualità di autonomi titolari del trattamento, i quali quindi saranno responsabili del rispetto di tutti gli obblighi previsti dal GDPR. Rispetto agli adempimenti previsti dal GDPR, i titolari del trattamento sono tenuti - oltre che al rispetto dei principi di cui all’art. 5 e 25 del GDPR (rispettivamente, i principi di liceità del trattamento e il principio di privacy by design e by default) e all’adempimento di tutti gli ulteriori obblighi previsti dal GDPR (ad es., obblighi di trasparenza nei confronti degli interessati, etc.) - anche ad adottare e implementare una serie di misure sia tecniche che organizzative volte a tutelare la riservatezza del segnalante, nonché l’integrità e la confidenzialità dei dati personali oggetto di segnalazione. A tale fine, nell’ambito dell’implementazione del proprio modello di ricevimento e gestione delle segnalazioni interne, gli enti pubblici e privati destinatari delle nuove norme dovranno svolgere una valutazione di impatto (cd. “Data Protection Impact Assesment”) ex art. 35 del GDPR al fine di individuare le misure tecniche ed organizzative necessarie a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati. Con riferimento alla conservazione della documentazione inerente alle segnalazioni, l’art. 14 del Decreto WB stabilisce che la stessa debba essere conservata per il tempo strettamente necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza e del principio di limitazione della conservazione di cui all’art. 5 del GDPR. Questo periodo massimo di conservazione è, secondo il Parere del Garante Privacy espressosi a gennaio 2023 sullo schema di Decreto, compatibile con la durata media del termine prescrizionale dei principali illeciti suscettibili di verificarsi. Infine, con riferimento alla riservatezza delle segnalazioni e all’identità del segnalante, l’art. 12 del Decreto sancisce il principio generale secondo cui le segnalazioni non possano essere utilizzate se non per darvi seguito, con espresso divieto di rivelazione dell’identità del segnalante a persone diverse da quelle specificamente autorizzate anche ai sensi degli articoli 29 e 32(4) del GDPR e 2-quaterdecies del Codice Privacy (i.e. D.lgs. 196/2003 così come modificato dal D.lgs. 101/2018), ad eccezione del caso in cui il segnalante abbia manifestato il proprio consenso espresso. Invece, nell’ambito del procedimento penale, l’identità del segnalante è di per sé coperta da segreto ai sensi dell’articolo 329 c.p.p., mentre nel procedimento dinanzi alla magistratura contabile essa non può essere rivelata sino alla chiusura della fase istruttoria. Nell’ambito del procedimento disciplinare, infine, l’identità del segnalante non può essere rivelata ove la contestazione dell’illecito disciplinare si fondi su accertamenti distinti e ulteriori rispetto alla segnalazione. Profili giuslavoristici Da un punto di vista giuslavoristico, è necessario porre l’accento sulla tema della tutela offerta al whistleblower e agli altri soggetti ad esso equiparati. Gli aspetti principali da segnalare sono quelli riguardanti la tutela della riservatezza dell’identità del segnalante e il divieto, da parte del datore di lavoro, di porre in essere condotte ritorsive nei confronti dello stesso (i.e. licenziamento, mutamento di mansioni, così come ogni altra misura che possa essere ritenuta tale), con conseguenze anche dal punto di vista processuale in quanto viene alleggerito l’onere probatorio in capo al segnalante. Grava sul datore di lavoro, infatti, dimostrare che le misure adottate nei confronti del dipendete sono fondate su ragioni estranee alla segnalazione. L’articolo 17 del Decreto WB, poi, sancisce espressamente il divieto di ritorsione nei confronti del segnalante e fornisce, in linea con quanto indicato anche nell’art. 19 della Direttiva WB, un elenco non esaustivo di possibili fattispecie ritorsive, quali il licenziamento, il mutamento di funzioni, il cambiamento del luogo di lavoro o la modifica dell’orario di lavoro, la sospensione della formazione o qualsiasi restrizione dell’accesso alla stessa, le note di merito negative o le referenze negative, l’adozione di misure disciplinari. La garanzia di riservatezza nei confronti del segnalante viene garantita anche nell’ambito del procedimento disciplinare avviato nei confronti del soggetto segnalato in quanto non possono essere rivelate, a persone diverse da quelle espressamente autorizzate, senza il consenso espresso del segnalante, l’identità di quest’ultimo e qualsiasi altra informazione da cui possa evincersi, direttamente o indirettamente, la stessa. Con la modifica dell’articolo 4 della legge n. 604 del 1966, viene prevista la nullità del licenziamento conseguente all’esercizio di un diritto ovvero alla segnalazione, alla denuncia all’autorità giudiziaria o contabile o alla divulgazione pubblica effettuate in base alle norme sul whistleblowing. Infine, quale ulteriore tutela nei confronti del whistleblower, l’articolo 22 del Decreto WB stabilisce che le rinunce e le transazioni, integrali o parziali, che hanno per oggetto i diritti e le tutele previsti dal decreto medesimo non sono valide, salvo che siano effettuate nelle forme e nei modi di cui all’art. 2113(4) del c.c. Conclusioni: come adeguarsi alle nuove previsioni? Le disposizioni del Decreto WB hanno effetto a decorrere dal 15 luglio 2023. Per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a duecentoquarantanove, l’obbligo di istituzione del canale di segnalazione interna ha effetto a decorrere dal 17 dicembre 2023. In considerazione di quanto sopra, i soggetti interessati dalla nuova normativa dovranno quindi prevedere all’interno del proprio contesto aziendale tutti quei processi necessari per dare attuazione al Decreto WB e, in particolare, tali soggetti dovranno: Se i canali di segnalazione interni non dovessero essere implementati, i segnalanti potranno rivolgersi solo alleautorità pubbliche o ai media, con evidenti conseguenze finanziarie e reputazionali per le aziende;
