Chi ha incastrato il whistleblower?

Con provvedimento del 7 aprile 2022, il Garante per la protezione dei dati personali ha irrogato una sanzione pecuniaria 40.000 euro nei confronti dell’Azienda Ospedaliera di Perugia, rilevando che il trattamento di dati dalla stessa attuato tramite la piattaforma per il whistleblowing fornita da un software provider esterno non rispettava i principi di correttezza, liceità e trasparenza, integrità e riservatezza previsti dal GDPR.

In Italia, come noto, il whistleblowing è stato introdotto in tempi relativamente recenti, dapprima nel solo settore pubblico, con la legge 190/12, e successivamente nel settore privato con la legge 179 del 30 novembre 2017, n. 179 recante “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato”.

Tale ultima legge, ha inciso in particolare sui modelli di organizzazione gestione e controllo adottati ai sensi del d. lgs. 231/01 introducendovi, tra l’altro, per quanto in questa sede rileva:

a) l’obbligo di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite che, in buona fede, ritengano essersi verificate, o di violazioni del modello di organizzazione e gestione dell’ente di cui siano venuti a conoscenza in ragione delle funzioni svolte;

b) canali alternativi di segnalazione, di cui almeno uno idoneo a garantire, anche con modalità informatiche, la riservatezza dell’identità del segnalante;

c) misure idonee a tutelare l’identità del segnalante e a mantenere la riservatezza dell’informazione in ogni contesto successivo alla segnalazione, nei limiti in cui l’anonimato e la riservatezza siano opponibili per legge.

Ad oggi dunque, i soggetti tenuti ad implementare all’interno della propria organizzazione un sistema di whistleblowing sono le PP.AA. e le imprese private che adottano modelli di organizzazione gestione e controllo ai sensi del d. lgs. 231/01.

La platea dei destinatari della disciplina in materia di segnalazione di illeciti è tuttavia destinata ad ampliarsi nel prossimo futuro, non appena sarà recepita la Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione che - in considerazione del ruolo essenziale nel portare alla luce fatti corruttivi o fondati sospetti di illeciti che possono minacciare l’interesse pubblico – estende l’ambito della protezione attraverso alcune novità, tra cui:

- l’ampliamento dei soggetti destinatari della protezione, che ricomprende anche gli ex-dipendenti, i consulenti, i volontari, e – più in generale - chiunque sia coinvolto lavorativamente nell’attività di un ente pubblico o privato;

- l’introduzione dell’obbligo per le imprese con più di 50 dipendenti di dotarsi di più canali di segnalazione interni, di cui almeno uno in grado di assicurare la riservatezza del segnalante;

- l’obbligo di istituzione dei canali di segnalazione esterni, sia per le Amministrazioni pubbliche sia per gli enti privati.

Il tema è evidentemente molto delicato e non può prescindere da un’applicazione che potremmo definire “GDPR oriented”, come osservato dal Garante in occasione dell’audizione parlamentare relativa al recepimento della citata direttiva 1936/2017, laddove ha evidenziato la necessità di “realizzare un congruo bilanciamento tra l’esigenza di riservatezza della segnalazione, la necessità di accertamento degli illeciti ed il diritto di difesa dei soggetti segnalati”.

L’esigenza di coordinamento tra la normativa in materia di segnalazione di illeciti e quella in materia di protezione dei dati personali, era stata del resto evidenziata dal Garante nel parere reso (con provvedimento del 4 dicembre 2019) in relazione alle (allora) emanande Linee Guida ANAC in materia di whistleblowing.

PA e imprese sono pertanto chiamate a prestare la massima attenzione nell’impostazione e gestione dei sistemi di whistleblowing, garantendo la riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite.

In concreto, è fondamentale che tutti coloro che sono tenuti all’implementazione di sistemi di whistleblowing, rispettino puntualmente gli adempimenti schematizzati nella seguente checklist:

- in ossequio al principio di privacy by design, adottare misure tecniche ed organizzative adeguate. Nel dettaglio, allorquando il Titolare utilizza servizi informatici forniti da provider terzi, è necessario eseguire (con il supporto del DPO, se nominato) una valutazione dei rischi ed accertarsi che siano disattivate eventuali funzioni che risultino prive di base giuridica o che si pongano in contrasto non solo con la disciplina in materia di whistleblowing, ma anche con la normativa nazionale che disciplina le condizioni per l’impiego degli strumenti tecnologici sul posto di lavoro

- effettuare una preliminare valutazione d’impatto sulla protezione dei dati, ai sensi dell’art. 35 GDPR;

- aggiornare il registro dei trattamenti, inserendovi quelli effettuati per finalità di acquisizione e gestione delle segnalazione con indicazione – tra l’altro - della relativa base giuridica;

- fornire preventivamente a tutta la platea di soggetti interessati specifiche informazioni sul trattamento dei dati personali, che sia conforme ai requisiti indicati dall’art. 13 GDPR.