Whistleblowing, D.Lgs. 231/01 e Privacy

Corporate Alert
January.04.2018

In English: Whistleblowing and Privacy in Italy

A seguito della pubblicazione in Gazzetta Ufficiale della Legge 30 novembre 2017, n. 179 recante "Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato"^[1], sono state previste misure di tutela per i lavoratori appartenenti al settore privato che denunciano reati o irregolarità di cui siano venuti a conoscenza nell'ambito del rapporto di lavoro.

Rinviando per ulteriori approfondimenti alla nostra precedente newsletter sul tema^[2], riportiamo di seguito alcune brevi note sulle implicazioni che la disciplina del whistleblowing pone in relazione alla tematica della protezione dei dati personali.

L'argomento è oggetto di attenzione da tempo, infatti, già nel 2009 il Garante per la protezione dei dati personali italiano aveva sollecitato il Parlamento e il Governo ad adottare un provvedimento normativo "volto a fornire un'idonea e sistematica base normativa nonché a disciplinare i profili di interferenza di tale fenomeno con la disciplina di protezione dei dati personali contenuta nel decreto legislativo 30 giugno 2003, n. 196" ^[3].

In considerazione delle modifiche apportate al D.Lgs. 231/01 e qui in commento, lo scenario normativo di partenza è in parte mutato rispetto a quanto attentamente osservato dal Garante nella sua segnalazione, pertanto, si può iniziare col sostenere che appare legittimo ritenere che il trattamento dei dati personali e/o sensibili oggetto di segnalazione avvenga, seppur in assenza di consenso, in virtù di quanto previsto dall'art. 24, co. 1, lett. a), D.Lgs. 196/2003.

Del pari, la novella legislativa sembra soddisfare, limitatamente al perimetro della normativa richiamata nei suoi articoli, anche la necessità di definire "l'ambito soggettivo di applicazione della disciplina e le finalità che si intendono perseguire"^[4]:

la disciplina si applica agli enti che hanno adottato un modello organizzativo ex D.Lgs. 231 e ai loro dipendenti;
"coloro che possono assumere la qualità di soggetti segnalati" ^[5], sono i destinatari del modello organizzativo;
con riferimento alle "finalità che si intendono perseguire e le fattispecie oggetto di possibile denuncia da parte dei segnalanti" ^[6], si può richiamare la necessità di individuare "condotte illecite, rilevanti ai sensi del presente decreto e fondate su elementi di fatto precisi e concordanti, o violazioni del modello".

Restano, invece, privi di disciplina gli aspetti legati alla definizione della "portata del diritto di accesso previsto dall'art. 7 del Codice da parte del soggetto al quale si riferisce la segnalazione (interessato), con riguardo ai dati identificativi dell'autore della segnalazione (denunciante)" e al trattamento delle segnalazioni anonime, salvo non voler ritenere quest'ultimo profilo coperto dal vago concetto di "garanzia della riservatezza dell'identità del segnalante".

Passando, invece, alla corretta adozione e attuazione dei c.d. whistleblowing schemes in conformità con le vigenti (fino al 25 maggio 2018) norme europee sulla protezione e sul trattamento di dati personali, giova richiamare quanto indicato dal Gruppo per la tutela dei dati personali^[7] (il "WP29") nel Parere 1/2006 nel quale sono svolti approfondimenti in merito all' applicazione dei principi relativi alla qualità dei dati e di proporzionalità del trattamento, all'obbligo di fornire informazioni chiare e complete sulla procedura, ai diritti del soggetto denunciato, alla sicurezza dei trattamenti che la procedura deve garantire e alle modalità di gestione delle procedure stesse ^[8].

Ulteriori riflessioni e spunti in materia sono stati recentemente forniti dalla European Data Protection Supervisor nelle sue "Guidelines on processing personal information within a whistleblowing procedure" (le "Guidelines") pubblicate nel luglio 2016 e con le quali sono state dettate indicazioni per la creazione di "whistleblowing schemes" da parte di Istituzioni e Pubbliche Amministrazioni così come previsto dal Regolamento (CE) n. 45/2001^[9]. Le Guidelines contengono una lista di raccomandazioni che devono essere seguite affinché le istituzioni siano "compliant" con le disposizioni contenute nel Regolamento 45/2001. In particolare, è richiesto che il whistleblowing scheme preveda:

canali di comunicazione interna ed esterna con specifica definizione delle finalità delle segnalazioni;
garanzie adeguate sulla riservatezza delle informazioni ricevute e sulla protezione dell'identità dei segnalatori e di tutte le altre persone coinvolte;
la corretta applicazione del principio della minimizzazione del trattamento dei dati;
che cosa si intende per "informazioni personali" e chi siano le persone interessate al fine di determinare il loro diritto di informazione, accesso e rettifica;
una procedura a due fasi, la prima per informare genericamente ogni categoria di soggetti interessati sulle modalità di trattamento dei loro dati e la seconda maggiormente dettagliata per quei soggetti direttamente coinvolgi nella specifica segnalazione;
periodi di conservazione dei dati proporzionati a ciascun singolo caso di segnalazione; e
misure organizzative e tecniche di sicurezza basate su un'adeguata valutazione dei rischi.

Le osservazioni sopra riportate diventano ancora più attuali in considerazione dell'ormai prossima entrata in vigore del Regolamento (UE) 2016/679 (il "GDPR") alla luce del quale il whistleblowing scheme dovrà:

definire esaustivamente i ruoli attribuiti ai vari attori coinvolti nella procedura anche dal punto di vista del cd. organigramma privacy;
garantire adeguate misure di sicurezza del dato personale e/o sensibile trattato;
in caso di intervento di soggetti esterni, la nomina di un responsabile esterno con contratti scritti in linea con i nuovi standard normativi;
in caso di multinazionali, disciplinare le modalità di eventuali trasferimenti di dati tra Stati extra-europei;
rispettare i principi in materia di data retention; e
disciplinare il diritto di accesso del segnalato agli atti.

^[1] La legge è stata pubblicata in G.U. n. 291 del 14 dicembre 2017 ed entrerà in vigore il 29 dicembre 2017.

^[2] Si veda la precedente newsletter [https://www.orrick.com/Insights/2017/11/Whistleblowing-approvata-la-Legge].

^[3] Garante per la Protezione dei Dati Personali, Segnalazione al Parlamento e al Governo sull'individuazione, mediante sistemi di segnalazione, degli illeciti commessi da soggetti operanti a vario titolo nell'organizzazione aziendale, 10 dicembre 2009, doc. web n. 1693019 sul sito www.garanteprivacy.it/.

^[4] Ibidem.

^[5] Ibidem.

^[6] Ibidem.

^[7] Il Gruppo è stato costituito in applicazione dell'art. 29 della direttiva 95/46/CE, in quanto organismo europeo indipendente con finalità consultive che si occupa di protezione dei dati e di riservatezza.

^[8] Per approfondimenti sul tema si rinvia al position paper di AODV231, Il Whistleblowing, Novembre 2015, http://www.aodv231.it/images/pdf/1787-10-Position%20Paper_Il%20Whistleblowing.pdf.

^[9] Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, pubblicato sulla Gazzetta Ufficiale dell'Unione Europea n. L 008 del 12 gennaio 2001.

Insights

Authors

Alessandro De Nicola Partner, Mergers & Acquisitions, Antitrust & Competition

Milan

See my bio

D: +39 02 4541 3800
E: [email protected]

Practice:

Mergers & Acquisitions
Antitrust & Competition
Corporate Governance
Complex Litigation & Dispute Resolution

vCard

See full bio

Alessandro De Nicola Partner

Milan

Alessandro De Nicola is member of Orrick's Global Board of Directors, Senior Partner of the Italian offices in Milan and Rome, and has acted as European Corporate Group Leader.

Alessandro has extensive experience in commercial and corporate law, M&A, competition law and corporate governance. He has worked on complex domestic and cross-border corporate transactions including acquisitions and corporate restructurings for some of the most important players in the market. He leads extensive corporate governance projects with a particular focus on Legislative Decree 231.

Alessandro has pleaded before the Italian Antitrust Authority (AGCOM), Consob (the public authority responsible for regulating the Italian securities market), and before civil and administrative courts.

Ivan Rotunno Of Counsel, Cyber, Privacy & Data Innovation, Corporate Governance

Milan

See my bio

D: +39 02 4541 3800
E: [email protected]

Practice:

Cyber, Privacy & Data Innovation
Corporate Governance
Mergers & Acquisitions

vCard

See full bio

Ivan Rotunno Of Counsel

Milan

Ivan, of Counsel in Orrick’s Milan office, has 10+ years of experience in corporate governance, regulatory and compliance matters, with a particular focus on data privacy, cybersecurity, it crimes, digital advertising and Internet law. Ivan regularly counsels businesses on how to mitigate risks associated with the collection, use, retention, disclosure, transfer and disposal of personal data.

His clients come from diverse business sectors, including technology, financial services, retail, consumer products, energy and infrastructure, healthcare and life sciences, manufacturing, food and beverage, automotive. In addition, Ivan serves as member of the board of directors, Data Protection Officer and Supervisory Bodies pursuant to Legislative Decree 231/2001.

Related Areas

Markets

Italy

Insight

Whistleblowing: approvata la Legge sulle segnalazioni di reati o irregolarità di cui i lavoratori siano venuti a conoscenza nello svolgimento delle loro funzioni

by Alessandro De Nicola and Ivan Rotunno
November.28.2017

Il 15 novembre 2017 la Camera dei Deputati ha approvato definitivamente il DDL recante "Disposizioni per la tutela degli autori di segnalazione di ...