Whistleblowing e privacy: alleati o nemici?

Le nuove frontiere di efficienza e buon andamento della Pubblica Amministrazione degli ultimi anni hanno indotto il legislatore a dare nuova linfa agli strumenti di contrasto dei fenomeni di maladministration.

Uno dei recenti ed innovativi sistemi di prevenzione e lotta alla corruzione è quello del whistleblowing , modello di derivazione anglosassone, traducibile letteralmente ” soffiatore di fischietto “.

Per whistleblowing si intende quel mezzo attraverso cui i dipendenti (prima del settore pubblico ora anche di quello privato [1] ), possono segnalare illeciti dei quali siano venuti a conoscenza.

La prima norma che ha regolato la tematica del whistleblowing all’interno dell’ordinamento italiano è stata la legge del 06 novembre 2012, n. 190 che ha introdotto l’articolo 54- bis del decreto legislativo 30 marzo 2001, n. 165. In particolare, la versione attuale della norma dispone che “ Il pubblico dipendente che, nell’interesse dell’integrità della pubblica amministrazione, segnala […] condotte illecite di cui è venuto a conoscenza in ragione del proprio rapporto di lavoro non può essere sanzionato, demansionato, licenziato, trasferito, o sottoposto ad altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro determinate dalla segnalazione”.

Uno dei punti centrali di riflessione è quello relativo al conferimento di dati. Infatti, per sua fisiologia, lo strumento di segnalazione degli illeciti comporta una serie di passaggi che, sin dal primo atto d’impulso (la segnalazione) pretendono il trattamento di dati personali. Primi tra tutti, quelli del segnalante. E’ opportuno richiamare brevemente le condizioni di liceità per un corretto flusso della trasmissione e conservazione circa i dati processati , ai sensi del Reg. UE 679/2016 cd “GDPR”.

L’atto regolamentare europeo, invero, osserva come i sistemi di segnalazione devono essere finalizzati a prevedere l’applicazione dei principi relativi alla qualità e alla proporzionalità dei dati trattati (limitazione del numero di soggetti autorizzati a denunciare presunte irregolarità, limitazione del numero dei soggetti denunciabili, promozione delle denunce nominative riservate rispetto a quelle anonime), l’obbligo di informativa, le misure di sicurezza da adottare nei trattamenti posti in essere, l’osservanza dei termini di conservazione dei dati, il diritto del segnalato di accedere ai dati che lo riguardano, di chiederne la rettifica o la cancellazione. Tanto al fine di consentire che l’intero processo di gestione avvenga in un contesto di liceità, [2] .In particolare, i contributi dell’esperienza consentono di affermare l’opportunità per l’ente pubblico e/o impresa di istituire un organo specifico preposto alla gestione delle denunce e all’attività di verifica, composto da personale in possesso di un’apposita formazione e vincolato da precisi obblighi di riservatezza. Con riferimento, invece alle grandi aziende del settore privato, la normativa sovranazionale [3] impone che in relazione alla territorialità delle denunce e del trasferimento extraterritoriale è necessario, ai fini del principio della minimizzazione, evitare una condivisione automatica delle segnalazioni e, in ogni caso , di rispettare la disciplina sui trasferimenti verso paesi terzi. A riguardo, il Garante della Privacy, con una missiva inviata al Parlamento e al Governo, ha richiesto intervento e richiamato l’attenzione sugli aspetti legati al sistema di elaborazione delle segnalazioni.

L’Autorità Amministrativa si è poi espressa sullo schema delle “Linee guida” in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis, del d.lgs. 165/2001 . Con parere a contenuto positivo n. 215 del 4/12/2019 il Garante precisava, in particolare, l’importanza del rispetto delle seguenti caratteristiche:

“- le misure atte a garantire la liceità, la correttezza e la trasparenza del trattamento (art. 5, par. 1, lett. a) eb), e 6, par. 3, lett. b) del Regolamento), nonché, in generale, il rispetto dei principi di protezione dei dati (art. 5 del Regolamento);

 – il ruolo dell’RPCT, il quale è legittimato, dalla normativa di settore, a trattare i dati personali del segnalante ea conoscerne l’identità, e il ruolo dei soggetti che all’interno dell’organizzazione dell’ente trattano i dati personali contenuti nella segnalazione (artt. 4, co. 1, n. 10), 29, 32, par. 4, del Regolamento; v.art. 2-quaterdecies del Codice);

 – il ruolo dei fornitori dei servizi informatici che, trattando i dati personali per conto del titolare (sia nel caso in cui la procedura informatica di acquisizione e gestione delle segnalazioni risieda presso il titolare sia nel caso in cui venga fornito in modalità “software as a servizio”), agiscono quali responsabilità del trattamento (art. 28 del Regolamento);

 – le misure tecniche e organizzative di base idonee a garantire la tutela dell’identità del segnalante, quali, tra le altre, gli accorgimenti per anonimizzare la segnalazione e la documentazione allegata al fine di evitare che dalle informazioni e dai fatti ivi descritti sia possibile risalire all’identità del segnalante; le cautele volte a garantire la non tracciabilità delle connessioni del segnalante alla procedura informatica (artt. 5, par. 1, lett. f), 24, 25 e 32 del Regolamento);

 – l’introduzione del riferimento all’art. 2-undecies del Codice, quale specifica disposizione a tutela della riservatezza dell’identità del segnalante; 87

– il richiamo ai principali adempimenti previsti dalla normativa in materia di protezione dei dati personali (artt. 13, 14, 30, 35 e 36 del Regolamento), anche tenuto conto degli specifici rischi per i diritti e le libertà degli interessati nel contesto lavorativo;

– il richiamo alle disposizioni che prevedono le responsabilità, anche sul piano penale, derivanti dalla violazione della disciplina di protezione dei dati (artt. 58, par. 2, 82, 83 e 84 del Regolamento e 166 e ss. del Codice)”.

Sulla scorta di tali indicazioni è evidente come non sia sufficiente valutare ed attuare unicamente l’aspetto tecnico, ovvero dotarsi di una piattaforma di gestione delle segnalazioni che garantisca conformità alla normativa, ma che occorra strutturare una completa procedura interna, funzionale e controllata in un’altra altra altra ottica di privacy by default e by design . Ciò al fine di dissipare eventuali conflitti tra due istituti che, ognuno per il proprio ambito, presiede alla tutela del pubblico interesse e dei informatori . Una soluzione interpretativa in tal senso, propende per identificare un modello adeguato alla normativa in esame mediante la parola di: a)garanzie adeguate sulla riservatezza delle informazioni ricevute e sulla protezione dell’identità dei segnalatori e di tutte le altre persone coinvolte; b) la corretta applicazione del principio della minimizzazione del trattamento dei dati (ovvero trattare i dati esclusivamente per le finalità relative all’attività di indagine da svolgere); c) il rispetto dei principi di conservazione dei dati con individuazione dei periodi di conservazione dei dati proporzionati a ciascun singolo caso di segnalazione; d) l’individuazione dei ruoli attribuiti ai vari attori coinvolti nella procedura anche dal punto di vista del cd. organigramma privacy(individuazione della figura interna destinataria delle segnalazioni, ODV o altra funzione assimilabile al Responsabile della Prevenzione della Corruzione e Trasparenza – RPCT del settore pubblico, cioè colui che ha la responsabilità di garantire e controllare che il sistema delle segnalazioni rispettivo il principio di imparzialità , nonché l’anonimato del segnalante); e) gestione dei rapporti interni e individuazione dei relativi compiti, ad esempio tra ODV, RPCT e DPO; f) gestione dei rapporti esterni e individuazione dei relativi compiti affidati ai responsabili dei trattamenti ex art. 28 GDPR; g) misure organizzative e tecniche di sicurezza basate su un’adeguata valutazione dei rischi; H)valutazione d’impatto ai sensi dell’art. 35 GDPR. Del resto, quand’anche l’applicativo scelto asserisca di operare in maniera del tutto conforme alle predette disposizioni [4] , magari facendo anche riferimento a certificazioni di settore come la ISO 37001:2016, è sui piani operativi integrati, affiancati da idonee procedure interne, che l’impianto organizzativo deve poggiare, dall’inizio alla fine della procedura di segnalazione.

Infine, è stato rilevato che i precetti imposti dalla normativa europea per effetto del combinato disposto del Reg. UE/679/2016 e dei D.lgs. 196/2003 e 101/2018 sono stati trasfusi nell’art. 14 del D.lgs. N. 24/2023, di recepimento della Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. (23G00032) (GU Serie Generale n.63 del 15-03-2023) [5] .

Gli aspetti da non sottovalutare sono dunque molteplici, ma l’evoluzione tecnologica e procedurale delle PA e delle aziende del settore privato, consentono di poter strutturare, in linea con quanto auspicato dal legislatore nazionale e sovranazionale, “un’architettura delle segnalazioni” virtuosa, efficace e trasparente, orientato positivamente alla tutela dei dati personali e dei soggetti coinvolti.

[1] Legge n. 179/2017. A riguardo, va rilevato che con D. Lgs n. 24/2023 è stata data attuazione alla Direttiva 1937 del 2019, adottata dal Parlamento europeo e dal Consiglio, in ordine alla protezione di coloro che segnalano violazioni nell’ambito più esteso del diritto dell’UE. Si è così data armonizzazione definitiva nazionale alla Direttiva sul Whistleblowing .

[2] Parere WP 1/2006 relativo all’applicazione della normativa UE sulla protezione dei dati alle procedure interne per la denuncia delle irregolarità riguardanti la tenuta della contabilità, i controlli contabili interni, la revisione contabile, la lotta contro la corruzione, la criminalità bancaria e finanziaria

[3] Recepita nel nostro ordinamento con il D. Lgs. 101/2018 .

[4] A riguardo si richiamano due provvedimenti sanzionatori (n. 134 e 135/2022) emessi dal Garante Privacy il quale, nel comminare la sanzione, ha rilevato, in generale, che l’accesso all’applicazione web di whistleblowing , basato su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservavano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.

[5] https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg

The following two tabs change content below.

• Bio
• Latest Posts

Avv. Antonio Ardimento

Ho conseguito la Laurea Magistrale in Giurisprudenza nell'ottobre del 2014, presso l'Università degli Studi di Bari "Aldo Moro", discutendo la mia tesi di laurea in diritto tributario.Successivamente, ho proseguito il percorso giuridico nella pratica professionale forense, nei settori diritto civile-diritto del lavoro.Dal mese di febbraio 2015 e fino all'agosto 2016 ho svolto un tirocinio presso gli uffici giudiziari del Tribunale di Bari - sezione lavoro.Ho potuto approfondire le tematiche sottese alla vasta area del diritto del lavoro, sia del settore privato che di quello pubblico.Nel mese di ottobre 2017 mi sono abilitato come Avvocato presso la corte di Appello di Bari, con voto agli esami orali pari a 300/300.Ho esercitato la professione legale fino al mese di dicembre 2018.Durante tutto il percorso pre e post universitario, ho sempre affiancato il lavoro allo studio, in svariate realtà multi nazionali nei settori amministrativo-legali. Nel contempo, ho iniziato a provare un forte trasporto personale e professionale nel settore HR.Dal mese di gennaio 2018 fino al mese di gennaio 2019 ho iniziato il mio percorso volto all'acquisizione delle competenze richieste nell'ambito delle risorse umane, dapprima con un master di durata annuale e poi con diversi corsi di formazione orientati alle tecniche di selezione e di gestione amministrativa delle risorse.In seguito, ho iniziato la mia attività professionale in agenzie per il lavoro e società private come Recruiter e consulente legale del lavoro.Dal 2020 ho intrapreso una nuova entusiasmante avventura nella Pubblica Amministrazione.Ho rivestito altresì le funzioni di componente di commissione in pubblici concorsi nonché, attualmente, di cultore della materia all'Università LUM di Casamassima, nella disciplina: "Organizational Behaviour".Nel mese di giugno 2023 ho conseguito la laurea magistrale in "Psicologia del Lavoro e delle Organizzazioni" presso l'Università "Mercatorum" di Roma.

Latest posts by Avv. Antonio Ardimento (see all)

• Legge 104 e caregiver: sì al diritto di assistenza al disabile non grave - 4 September 2023
• Actio quanti minoris: rimedi estimatori e vizi occulti - 29 August 2023
• Whistleblowing e privacy: alleati o nemici? - 24 August 2023