Whistleblowing, D.Lgs. 231/01 e Privacy

Corporate Alert | January.04.2018

In English: Whistleblowing and Privacy in Italy

A seguito della pubblicazione in Gazzetta Ufficiale della Legge 30 novembre 2017, n. 179 recante "Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato"[1], sono state previste misure di tutela per i lavoratori appartenenti al settore privato che denunciano reati o irregolarità di cui siano venuti a conoscenza nell'ambito del rapporto di lavoro.

Rinviando per ulteriori approfondimenti alla nostra precedente newsletter sul tema[2], riportiamo di seguito alcune brevi note sulle implicazioni che la disciplina del whistleblowing pone in relazione alla tematica della protezione dei dati personali.

L'argomento è oggetto di attenzione da tempo, infatti, già nel 2009 il Garante per la protezione dei dati personali italiano aveva sollecitato il Parlamento e il Governo ad adottare un provvedimento normativo "volto a fornire un'idonea e sistematica base normativa nonché a disciplinare i profili di interferenza di tale fenomeno con la disciplina di protezione dei dati personali contenuta nel decreto legislativo 30 giugno 2003, n. 196" [3].

In considerazione delle modifiche apportate al D.Lgs. 231/01 e qui in commento, lo scenario normativo di partenza è in parte mutato rispetto a quanto attentamente osservato dal Garante nella sua segnalazione, pertanto, si può iniziare col sostenere che appare legittimo ritenere che il trattamento dei dati personali e/o sensibili oggetto di segnalazione avvenga, seppur in assenza di consenso, in virtù di quanto previsto dall'art. 24, co. 1, lett. a), D.Lgs. 196/2003.

Del pari, la novella legislativa sembra soddisfare, limitatamente al perimetro della normativa richiamata nei suoi articoli, anche la necessità di definire "l'ambito soggettivo di applicazione della disciplina e le finalità che si intendono perseguire"[4]:

  • la disciplina si applica agli enti che hanno adottato un modello organizzativo ex D.Lgs. 231 e ai loro dipendenti;
  • "coloro che possono assumere la qualità di soggetti segnalati" [5], sono i destinatari del modello organizzativo;
  • con riferimento alle "finalità che si intendono perseguire e le fattispecie oggetto di possibile denuncia da parte dei segnalanti" [6], si può richiamare la necessità di individuare "condotte illecite, rilevanti ai sensi del presente decreto e fondate su elementi di fatto precisi e concordanti, o violazioni del modello".

Restano, invece, privi di disciplina gli aspetti legati alla definizione della "portata del diritto di accesso previsto dall'art. 7 del Codice da parte del soggetto al quale si riferisce la segnalazione (interessato), con riguardo ai dati identificativi dell'autore della segnalazione (denunciante)" e al trattamento delle segnalazioni anonime, salvo non voler ritenere quest'ultimo profilo coperto dal vago concetto di "garanzia della riservatezza dell'identità del segnalante".

Passando, invece, alla corretta adozione e attuazione dei c.d. whistleblowing schemes in conformità con le vigenti (fino al 25 maggio 2018) norme europee sulla protezione e sul trattamento di dati personali, giova richiamare quanto indicato dal Gruppo per la tutela dei dati personali[7] (il "WP29") nel Parere 1/2006 nel quale sono svolti approfondimenti in merito all' applicazione dei principi relativi alla qualità dei dati e di proporzionalità del trattamento, all'obbligo di fornire informazioni chiare e complete sulla procedura, ai diritti del soggetto denunciato, alla sicurezza dei trattamenti che la procedura deve garantire e alle modalità di gestione delle procedure stesse [8].

Ulteriori riflessioni e spunti in materia sono stati recentemente forniti dalla European Data Protection Supervisor nelle sue "Guidelines on processing personal information within a whistleblowing procedure" (le "Guidelines") pubblicate nel luglio 2016 e con le quali sono state dettate indicazioni per la creazione di "whistleblowing schemes" da parte di Istituzioni e Pubbliche Amministrazioni così come previsto dal Regolamento (CE) n. 45/2001[9]. Le Guidelines contengono una lista di raccomandazioni che devono essere seguite affinché le istituzioni siano "compliant" con le disposizioni contenute nel Regolamento 45/2001. In particolare, è richiesto che il whistleblowing scheme preveda:

  • canali di comunicazione interna ed esterna con specifica definizione delle finalità delle segnalazioni;
  • garanzie adeguate sulla riservatezza delle informazioni ricevute e sulla protezione dell'identità dei segnalatori e di tutte le altre persone coinvolte;
  • la corretta applicazione del principio della minimizzazione del trattamento dei dati;
  • che cosa si intende per "informazioni personali" e chi siano le persone interessate al fine di determinare il loro diritto di informazione, accesso e rettifica;
  • una procedura a due fasi, la prima per informare genericamente ogni categoria di soggetti interessati sulle modalità di trattamento dei loro dati e la seconda maggiormente dettagliata per quei soggetti direttamente coinvolgi nella specifica segnalazione;
  • periodi di conservazione dei dati proporzionati a ciascun singolo caso di segnalazione; e
  • misure organizzative e tecniche di sicurezza basate su un'adeguata valutazione dei rischi.

Le osservazioni sopra riportate diventano ancora più attuali in considerazione dell'ormai prossima entrata in vigore del Regolamento (UE) 2016/679 (il "GDPR") alla luce del quale il whistleblowing scheme dovrà:

  • definire esaustivamente i ruoli attribuiti ai vari attori coinvolti nella procedura anche dal punto di vista del cd. organigramma privacy;
  • garantire adeguate misure di sicurezza del dato personale e/o sensibile trattato;
  • in caso di intervento di soggetti esterni, la nomina di un responsabile esterno con contratti scritti in linea con i nuovi standard normativi;
  • in caso di multinazionali, disciplinare le modalità di eventuali trasferimenti di dati tra Stati extra-europei;
  • rispettare i principi in materia di data retention; e
  • disciplinare il diritto di accesso del segnalato agli atti.

 

[1] La legge è stata pubblicata in G.U. n. 291 del 14 dicembre 2017 ed entrerà in vigore il 29 dicembre 2017.

[2] Si veda la precedente newsletter [https://www.orrick.com/Insights/2017/11/Whistleblowing-approvata-la-Legge].

[3] Garante per la Protezione dei Dati Personali, Segnalazione al Parlamento e al Governo sull'individuazione, mediante sistemi di segnalazione, degli illeciti commessi da soggetti operanti a vario titolo nell'organizzazione aziendale, 10 dicembre 2009, doc. web n. 1693019 sul sito www.garanteprivacy.it/.

[4] Ibidem.

[5] Ibidem.

[6] Ibidem.

[7] Il Gruppo è stato costituito in applicazione dell'art. 29 della direttiva 95/46/CE, in quanto organismo europeo indipendente con finalità consultive che si occupa di protezione dei dati e di riservatezza.

[8] Per approfondimenti sul tema si rinvia al position paper di AODV231, Il Whistleblowing, Novembre 2015, http://www.aodv231.it/images/pdf/1787-10-Position%20Paper_Il%20Whistleblowing.pdf.

[9] Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, pubblicato sulla Gazzetta Ufficiale dell'Unione Europea n. L 008 del 12 gennaio 2001.

Insights