Whistleblowing: profili di conformità al GDPR
a cura di Francesca Manca.
Il presente contributo, dopo una breve ricognizione normativa sul whistleblowing, ne approfondisce i profili di conformità alla normativa privacy e, in particolare, al Regolamento (UE) 2016/679 (“GDPR”), soffermandosi sulle indicazioni fornite, in proposito, dal Garante Privacy e dal Gruppo per la tutela dei dati personali.
1. Brevi cenni sull’istituto ed inquadramento normativo.
Come è noto, il whistleblowing (letteralmente “soffiare nel fischietto”) è un istituto volto a disciplinare e tutelare la condotta degli autori di segnalazioni di reato o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato.
Tale istituto è costituito da elementi specifici, quali: a) un atto di comunicazione, che può essere formale o informale; b) la figura del whistleblower (cioè colui che soffia ne fischietto), che può essere un dipendente, un consulente, un fornitore, un cliente; c) l’oggetto della segnalazione, che può essere un comportamento scorretto posto in essere o che, secondo la percezione del whistleblower, potrebbe essere posto in essere in futuro.
Il whistleblowing è un istituto che si è sviluppato nei contesti di common law dove ha avuto un’ampia regolamentazione fin dal False Claims Act con lo scopo di ridurre le frodi da parte dei fornitori di munizioni e di materiale bellico durante la guerra di secessione. Il Legislatore Americano ha poi emanato dei provvedimenti successivi tra i quali possiamo menzionare il Sarbanes-Oxley Act (“SOX”) del 2002 e il Dodd-Frank Wall Street Reform and Consumer Protection Act del 2011.
In Italia si è iniziato a disciplinare l’istituto del whistleblowing, limitatamente al settore pubblico con la Legge n.190 del 6 novembre 2012[1]; con la Direttiva n. 2004/39/CE[2], recepita in Italia con la Legge n. 179 del 3 agosto 2017[3], si è poi ampliato l’ambito di applicazione anche al settore privato. In particolare, con la Legge 179/2017, sono state apportate importanti modifiche al D.lgs. 231/2001, introducendo il comma 2 bis, ter e quater[4] dell’art.6.
Il sistema normativo che regola l’istituto è fortemente frammentario: questo si compone di diverse norme primarie alle quali si aggiungono poi regolamenti e soft-law. Indubbiamente questo consente di comprendere quanto la materia sia oggetto di una particolare attenzione e la volontà di disciplinare il fenomeno sia elevata.
2. Focus: i profili privacy del whistleblowing.
Un importante profilo di criticità dell’istituto è rappresentato dall’applicazione della normativa privacy e dal bilanciamento tra l’interesse dell’azienda o del datore di lavoro nel porre in essere i procedimenti sanzionatori, e le garanzie da fornire al soggetto segnalato nella protezione dei suoi dati. Invero, a ben vedere, vi è un ulteriore bilanciamento da effettuare, e cioè tra gli interessi di colui che ha effettuato la segnalazione, il whistleblower (il quale avrà delle aspettative di riserbo) e il diritto di accesso esercitabile dal segnalato.
Il Garante della Privacy, con deliberazione del 10 novembre[5] ha segnalato al Parlamento la necessità di adottare una disciplina generale sulla liceità del trattamento dei dati nell’ambito di tali sistemi di segnalazione, e in particolare si è concentrato su “[…]i profili relativi: all’individuazione dei soggetti operanti all’interno delle società che possono assumere la qualità di segnalanti, delle finalità che si intendono perseguire, delle fattispecie oggetto di possibili “denunce” da parte dei segnalanti. Occorre chiarire la portata del diritto di accesso previsto dall’art. 7 del Codice da parte del soggetto al quale si riferisce la segnalazione (interessato), con riguardo ai dati identificativi dell’autore della segnalazione (denunciante), nonché l’eventuale ammissibilità dei trattamenti derivanti da segnalazioni anonime.”[6]
Al fine di fornire un quadro completo dei rapporti tra whistleblowing e privacy è necessario far menzione del parere 1/2006[7] del Gruppo per la tutela dei dati personali che ha fornito delle linee-guida per le imprese che intendano introdurre il whistleblowing scheme.
“Applicare le norme sulla protezione dei dati alle procedure di denuncia implica l’esame dei seguenti aspetti: legittimità dei sistemi di denuncia; applicazione dei principi relativi alla qualità dei dati e di proporzionalità; obbligo di fornire informazioni chiare e complete sulla procedura; diritti del soggetto denunciato; sicurezza dei trattamenti; gestione delle procedure interne di denuncia ;aspetti connessi con il trasferimento internazionale dei dati; obbligo di notificazione e controllo preliminare”.[8]
Nel whistleblowing scheme[9] il datore di lavoro, o più in generale l’ente che istituisce il sistema di segnalazione e che definisce modalità e finalità del trattamento, deve esser considerato il titolare di questo. Ciò comporta che in capo al titolare vi siano plurime responsabilità: preliminarmente che, ai sensi dell’art. 6 comma 2bis lettera b) del d.lgs. 231/2001, venga adottato “almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante”[10], il suddetto canale deve essere compliant con l’art. 25 GDPR[11]. Qualora poi questo canale venga fornito da soggetti terzi questi sono da considerarsi responsabili del trattamento ex art. 28 GDPR[12] e il Titolare deve accertarsi che presentino “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”[13].
Dunque, il primo aspetto da analizzare è la legittimità dei sistemi di segnalazione e dunque la base giuridica ex art. 6 GDPR, sulla quale si fonda il trattamento dei dati del lavoratore.
Partendo dal presupposto che le aziende non ottengano il consenso liberamente manifestato di tutti i propri lavoratori alla soggezione ad un sistema di segnalazioni, si può ritenere che la base giuridica sia l’adempimento di un obbligo di legge o, secondo un’altra corrente di pensiero, il legittimo interesse dell’azienda o del datore di lavoro.
Sul punto, il Gruppo “ha ribadito che i principi della direttiva devono essere applicati integralmente alle procedure di denuncia. In particolare, i sistemi di segnalazione devono essere finalizzati all’adempimento di un obbligo legale, imposto dal diritto comunitario o dal diritto degli Stati membri, diretto a istituire procedure di controllo interno in settori specifici, ovvero ritenuti necessari per il perseguimento dell’interesse legittimo del responsabile del trattamento. Tale interesse legittimo va però valutato e bilanciato con l’interesse o i diritti e le libertà fondamentali della persona”.[14]
Tra gli elementi individuati dalle linee guida vi è ulteriormente, il problema dell’applicazione dell’obbligo di informativa ex art. 13 D.lgs. n. 196/2003 e del consenso, ai sensi dell’art. 24, comma 1, L.196/2003 nei confronti del soggetto segnalato.
Per quanto concerne l’art. 13 comma 4, questo stabilisce che l’informativa deve essere data all’interessato “all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione”[15]; alla luce di questo il titolare, qualora riceva delle informazioni per mezzo di una segnalazione, non è tenuto a fornire alcuna informativa all’interessato fintanto che le informazioni vengono valutate solo da lui e non vi sia trasmissione a soggetti terzi. Ulteriormente, l’art. 13 precisa che “la disposizione di cui al comma 4 non si applica quando: a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) […] o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento […]”[16].
Pertanto, qualora il datore tratti i dati per adempiere ad obbligo di legge o per far valere un diritto in sede giudiziaria (ad esempio per un risarcimento danni), potrà non fornire al soggetto segnalato alcuna informativa, consentendo una maggiore tutela alla riservatezza della segnalazione effettuata dal whistleblower.
In merito invece, al consenso ex art. 24, comma 1, L.196/2003, questo non è richiesto: “a) quando il trattamento è necessario per adempiere ad un obbligo imposto dalla legge, da un regolamento o dalla normativa comunitaria” e “g)nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all’attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato”[17]. Quindi in egual misura al diritto di informazione, anche il consenso è sottoposto a delle restrizioni.
Proseguendo con la disamina della legittimità dei sistemi di segnalazione, uno dei principali requisiti è l’applicazione del principio di finalità e pertinenza del trattamento dei dati, declinazioni del più generale principio di minimizzazione su cui si basa il GDPR. Nel caso del whistleblowing, la finalità è indubbiamente quella di vigilare sulle condotte illecite eventualmente realizzabili dai lavoratori, ciò comporta che i dati trattabili siano quelli limitatamente necessari al perseguimento della suddetta finalità.
Come abbiamo visto, il whistleblowing e la protezione dei dati vanno incontro ad un continuo bilanciamento: da un lato vi è la compressione dei diritti dell’interessato, quali l’esercizio del diritto di informazione, accesso, rettifica e cancellazione, nella fase di accertamento della segnalazione, a favore di un pieno interesse dell’azienda; dall’altra, vi è poi il pieno ripristino dei diritti esercitabili ex post, al termine della fase istruttoria.
Come detto in precedenza il bilanciamento si effettua anche a favore del terzo soggetto presente nell’istituto, cioè il segnalante, che viene tutelato nella riservatezza della sua persona a discapito, dunque, del diritto di accesso ex art. 15 GDPR di cui godrebbe il segnalato.
Posto che sono state, in questa sede, già oggetto di valutazione le eccezioni normative che consentono la limitazione al diritto di informativa e al consenso, occorre chiarire che, per quanto riguarda il diritto di accesso, queste limitazioni vengono disciplinate ai sensi dell’art. 23 GDPR, il quale prevede espressamente che il diritto può essere limitato dagli Stati membri per salvaguardare interessi quali “la prevenzione, l’indagine, l’accertamento e il perseguimento di reati” o “la tutela dei diritti e delle libertà altrui”[18].
Tuttavia, come precedentemente anticipato, una volta terminata la fase di indagine e accertamento, non esistendo più le condizioni per limitare i diritti esercitabili dal segnalato, questo potrà accedere ai dati oggetto della segnalazione, chiedere la rettifica dei dati inesatti, incompleti o non aggiornati e chiedere la cancellazione dei dati per i quali è cessato lo scopo di conservazione. Unica eccezione è rappresentata dai dati del segnalante, poiché la L. 179/2017 ha disposto che la sua identità può essere rivelata solo nei casi in cui il segnalante stesso dia il consenso; la contestazione dell’addebito disciplinare risulti fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità del segnalante risulti indispensabile alla difesa dell’incolpato[19].
In conclusione, l’identità del segnalante deve essere protetta sia nella fase di acquisizione della segnalazione che successivamente nella fase istruttoria, vi sono però dei casi in cui la legge stabilisce che l’identità debba essere rivelata, tra questi vi sono le indagini penali, tributarie o amministrative, ispezioni di organi di controllo.
[1] Legge del 6 novembre 2012, n.190 Gazzetta Ufficiale
[2] Direttiva n. 2004/39/CE, EUR-Lex – 32004L0039 – EN – EUR-Lex (europa.eu)
[3] Legge del 3 agosto 2017, n.179, Gazzetta Ufficiale
[4] D.lgs. del 8 giugno 2001, n.231 DECRETO LEGISLATIVO 8 giugno 2001, n. 231 – Normativa
[5] Garante della Privacy, deliberazione del 10.11.09, Segnalazione al Parlamento e al Governo sull’individuazione, mediante… – Garante Privacy
[6] ibidem
[7] Gruppo per la tutela dei dati personali, parere n. 1/2006, WP 117 – Parere 1/2006 relativo all’applicazione della normativa UE sulla… – Garante Privacy
[8] ibidem
[9] “Procedura che consente ad un soggetto di segnalare secondo le modalità predeterminate, ad organismi individuati antecedentemente, dei comportamenti contrari alla legge o ai regolamenti aziendali” (wrongdoing)
[10] Art. 6 comma 2bis lettera b) della L.231/2001
[11] Art.25 del Regolamento (UE) 2016/679
[12] Art.28 del Regolamento (UE) 2016/679
[13] Art. 28, comma 4 del Regolamento (UE) 2016/679
[14] Ibidem
[15] Art. 13, comma 4 D.lgs. n. 196/2003
[16] Ibidem
[17] Art. art. 24, comma 1, L.196/2003
[18] Art. 23 Regolamento UE 679/2016
[19] Art. 1, comma 4 L. 179/2017