La nuova disciplina del whistleblowing nel settore privato e i profili di privacy
(Articolo originariamente pubblicato su Diritto 24)
La proposta di legge recante “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”, già ribattezzata come “legge sul whistleblowing”, è stata definitivamente approvata dalla Camera dei deputati il 25 novembre scorso ed è in procinto di essere promulgata.
Di whistleblowing si parla in Italia ormai da almeno 15 anni, da quando, cioè, nel 2002 il Congresso degli Stati Uniti ha emanato la legge Sarbanes-Oxley, che fa obbligo alle imprese statunitensi ad azionariato diffuso e alle loro controllate con sede nell’UE di adottare procedure per la segnalazione di illeciti commessi nell’interesse dell’azienda, anche in via anonima. La carenza di norme nazionali analoghe aveva reso sempre complicata l’attuazione di quell’obbligo per le filiali italiane di corporation statunitensi, specialmente per gli ostacoli frapposti dalla normativa in materia di privacy.
Dopo una prima introduzione nel solo settore pubblico ad opera della legge n. 190 del 2012, con le nuove norme – oltre ad ampliare l’ambito di applicazione di quella prima disciplina – il legislatore si è fatto finalmente carico di introdurre disposizioni in materia di whistleblowing anche nel settore privato. Il profilo su cui la proposta di legge appena approvata pone l’accento è la protezione del segnalante contro misure discriminatorie o comunque penalizzanti nell’ambito del rapporto di lavoro.
La tecnica prescelta dal legislatore è stata quella di intervenire a modificare il decreto legislativo n. 231/2001, relativo alla responsabilità amministrativa delle persone giuridiche ed associazioni. Com’è noto, quella storica legge ha istituito un sistema di responsabilità delle persone giuridiche che comporta la soggezione di queste ultime a sanzioni pecuniarie e interdittive in relazione a reati commessi da soggetti legati ad esse da un rapporto funzionale. Al contempo, il d. lgs. n. 231/2001 prevede l’esonero da responsabilità, a certe condizioni, per le società che si dotino di c.d. modelli organizzativi idonei a prevenire gli illeciti del tipo di quelli commessi.
Ebbene, la proposta di legge appena approvata dal Parlamento introduce, tra i requisiti dei modelli organizzativi aziendali eventualmente adottati, quello di prevedere dei “canali” (sic) che consentano, sia ai vertici degli enti che a soggetti sottoposti alla direzione o vigilanza di questi, di presentare segnalazioni relative a condotte illecite o di violazioni del modello di organizzazione e gestione dell’ente, e che garantiscano, al contempo, la riservatezza dell’identità del segnalante.
Per proteggere il segnalante (e incoraggiare le segnalazione) è inoltre previsto che il modello organizzativo di cui si doti l’ente disponga il divieto di atti di ritorsione o discriminatori nei confronti del segnalante (ad es. licenziamento, demansionamento, sanzioni disciplinari, trasferimenti) per motivi collegati, direttamente o indirettamente, alla segnalazione. In caso sorga controversia sulla natura ritorsiva o discriminatoria di misure aventi comunque effetti negativi sulle condizioni di lavoro del segnalante, sarà onere del datore di lavoro dimostrare che esse sono fondate su ragioni estranee alla segnalazione.
E’ infine previsto che, a determinate condizioni, l’eventuale rivelazione da parte del segnalante di segreti d’ufficio, professionali o industriali, ovvero la violazione dell’obbligo di fedeltà al datore di lavoro, non costituisca illecito.
La nuova disciplina avrà ripercussioni soprattutto in materia di diritto del lavoro e di privacy. A quest’ultimo proposito, si deve tener presente che un sistema di reportistica come quello introdotto comporta un trattamento di dati personali relativi sia ai soggetti segnalanti che ai segnalati, e, in questo secondo caso, dati anche molto delicati, quali quelli relativi alla presunta commissione di illeciti.
Già nel 2009, il Garante della privacy aveva inviato una segnalazione al Parlamento e al Governo in cui aveva denunciato l’esistenza, al tempo, di un vuoto normativo in materia di sistemi di whistleblowing e la possibile interferenza del fenomeno con la disciplina della protezione dei dati personali. In particolare, il Garante aveva segnalato la difficoltà di individuare nell’ordinamento (allora) vigente un presupposto di liceità del trattamento dei dati personali connesso a sistemi di reportistica di questo tipo; la difficoltà di giustificare, volendo proteggere l’identità del segnalante, una compressione del diritto del soggetto segnalato ad avere accesso a tutte le informazioni sull’origine dei dati che lo riguardano; e il rischio di usi strumentali di eventuali segnalazioni anonime.
Nel frattempo, in materia di privacy è intervenuta l’emanazione del Regolamento c.d. GDPR (Regolamento UE 2016/679, infra il “Regolamento”), che diventerà applicabile anche nel nostro Paese dal 25 maggio 2018, e che è opportuno considerare sin d’ora come punto di riferimento normativo.
La domanda da porsi è, pertanto, tenendo presente quella risalente segnalazione del Garante, se la legge qui commentata presenti profili di attrito con la normativa comunitaria in materia di privacy di prossima applicazione.
Cominciando dal primo dei punti evidenziati nel 2009 dal Garante, si deve rilevare che, anche nel vigore del nuovo Regolamento, qualsiasi trattamento di dati personali dovrà presentare un fondamento di liceità, costituito dal consenso dell’interessato, ovvero dalla necessità di adempiere un obbligo contrattuale o di legge, o dalla necessità di eseguire compiti di interesse pubblico o salvaguardare interessi vitali, ovvero perseguire il legittimo interesse del titolare del trattamento (cfr. articolo 6 Reg.).
Dovendosi escludere per ovvi motivi che le aziende possano procurarsi il consenso liberamente manifestato di tutti i propri dipendenti e collaboratori alla soggezione ad un sistema di segnalazioni, si potrebbe essere tentati di concludere che, grazie alla nuova normativa, la base giuridica per il trattamento di dati che consegue all’adozione di un sistema di reportistica aziendale sarà l’adempimento di un obbligo di legge. Tuttavia, a giudizio di chi scrive sarebbe una conclusione affrettata, perché l’adozione di questi sistemi di reportistica da parte degli enti è subordinata all’adozione, a monte, di un modello organizzativo aziendale, che a sua volte costituisce sì un onere per le aziende stesse, ma non un obbligo.
Ritengo, pertanto, che sia più corretto ricondurre il whistleblowing “all’italiana” nell’alveo del perseguimento del legittimo interesse, assumendo che questo sia stato soppesato ab origine dal legislatore del 2017 nel confronto con gli altri interessi in gioco, in primis quelli dei segnalati, e ritenuto meritevole.
Quanto al profilo di possibile contrasto tra diritto di accesso dell’interessato (in specie, il segnalato) ed esigenza di proteggere l’identità del segnalante, almeno in una fase iniziale dell’indagine che consegue alla segnalazione, anche in questo caso il Regolamento, non diversamente dalla normativa in materia di privacy tuttora in vigore nel nostro Paese, prevede che l’interessato abbia diritto di conoscere “qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine” (art. 15, comma 1 lett. g), ergo anche il nome del segnalante.
Il potenziale conflitto con la normativa comunitaria in questo caso è disinnescato, a parere di chi scrive, dal successivo art. 23 del Regolamento, che prevede la facoltà per ogni Stato membro di limitare per legge la portata del diritto di accesso per salvaguardare interessi quali, ad esempio, “la prevenzione, l’indagine, l’accertamento e il perseguimento di reati”, o anche “la tutela dei diritti e delle libertà altrui”. Si può, appunto, ritenere che la nuova legge abbia introdotto, in anticipo rispetto alla data di applicazione del Regolamento, un limite normativo al diritto di accesso, in nome soprattutto della protezione dell’interesse alla protezione e repressione di certi reati.
Si deve, inoltre, sottolineare che il Gruppo che riunisce i Garanti Europei (Gruppo di lavoro ex art. 29) in un apposito parere del 2006 aveva ritenuto compatibile con i principi in materia di privacy espressi nella direttiva 95/46/CE (che sul punto non è molto difforme dal Regolamento GDPR) una limitazione del diritto d’accesso del segnalato, ritenendo, anzi, che questi potesse ottenere informazioni sull’identità del segnalante solo in caso di segnalazioni in malafede.
La nuova legge, d’altro canto, non incoraggia né offre in alcun modo tutela a segnalazioni anonime, l’ultima delle preoccupazioni del Garante nella comunicazione del 2009.
Naturalmente, escludere che vi sia conflitto tra la normativa in tema di whistleblowing appena approvata e quella in materia di privacy non equivale a dire che la prima non dovrà essere coordinata con la seconda, a cominciare, ad esempio, dal rispetto degli obblighi in materia di informativa ai soggetti interessati dal trattamento, che, ancora una volta, dovranno essere contemperati con l’esigenza di non compromettere le indagini a carico del segnalato.
E’ auspicabile a questo riguardo che, all’indomani della pubblicazione della legge, il Garante della privacy diffonda linee guida sulla prima attuazione della stessa.