La nuova disciplina del whistleblowing: il parere del Garante privacy e il position paper di Confindustria sullo schema di d.lgs. di recepimento della Direttiva

di Eliana Romanelli,  Dottoranda  di ricerca in Diritto penale ; Funzionario amministrativo presso il Ministero della Cultura

 

 

 

Con un ritardo di oltre un anno, l’iter di recepimento della cd. Direttiva whistleblowing da parte dello Stato italiano – che avrebbe dovuto concludersi entro il 17 dicembre 2021 – sembra finalmente essere giunto al suo completamento.

 

In data 9 dicembre 2022 il Consiglio dei Ministri ha approvato, in via preliminare, lo schema di decreto legislativo attuativo della Direttiva (UE) n. 2019/1937 del Parlamento Europeo e del Consiglio del 23 ottobre 2019 riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione”.

Lo schema di decreto – adottato nell’esercizio della delega legislativa conferita, al Governo, ai sensi dell’art. 13 della Legge di delegazione europea 4 agosto 2022, n. 127 – è attualmente pendente presso le Commissioni Parlamentari per l’espressione dei relativi pareri.

 

Pare opportuno evidenziare che la vigente normativa italiana in materia di whistleblowing risulta parzialmente già allineata alle previsioni della Direttiva, essendo già regolata dal decreto legislativo 20 marzo 2001, n. 165, per il settore pubblico, e dal decreto legislativo 8 giugno 2001, n. 231, per il settore privato, nonché dalla legge 30 novembre 2017, n. 179.

La Direttiva ha, tuttavia, inteso porre standard minimi e uniformi, per gli Stati Membri dell’Unione Europea, in tema di gestione delle segnalazioni e tutela del whistleblower senza differenziazione tra settore pubblico e settore privato.

Sul fronte normativo interno, dunque, il decreto legislativo di recepimento della Direttiva ha inteso perseguire la finalità di “raccogliere in un unico testo normativo” la disciplina del whistleblowing “tenendo conto delle previsioni legislative vigenti e di quelle da adottare per conformarsi alla direttiva” (cfr. Relazione illustrativa, p. 5)

 

Sulle previsioni dettate dalla Direttiva si è diffusamente discorso in un precedente contributo, al quale si rimanda. In attesa della definitiva approvazione del decreto legislativo – entro il termine massimo del 10 marzo 2023 – vengono di seguito illustrate le posizioni assunte sullo schema di decreto dal Garante per la Protezione dei Dati Personali e dall’associazione Confindustria di rappresentanza delle imprese manifatturiere e di servizi in Italia.

 

1. Il parere del Garante Privacy

 

Con provvedimento n. 1 dell’11 gennaio 2023 il Garante per la Protezione dei Dati Personali ha espresso il proprio parere favorevole sullo schema di decreto legislativo, sottolineando che il Governo ha puntualmente recepito le indicazioni precedentemente fornite nell’ambito dei lavori preliminari, con particolare riferimento a:

 

• la maggiore determinatezza della nozione di ‘violazione’, la quale ha permesso di meglio circoscrivere l’ambito oggettivo di applicazione della disciplina. Ai sensi dell’art. 1, infatti, si specifica che il “decreto disciplina la protezione delle persone che segnalano violazioni [consistenti in comportamenti, atti o omissioni, come meglio dettagliati all’art. 2, comma 1, lett. a)] di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato”;

 

• la migliore definizione dell’oggetto delle linee guida da emanare da parte dell’ANAC (previo parere del Garante Privacy), ai sensi dell’art. 10, inerenti le procedure di presentazione e gestione delle segnalazioni esterne (effettuate, sia per il settore pubblico che privato, tramite un canale esterno nel caso di assenza o inefficacia dei canali di segnalazione interna, di timore di ritorsione o pericolo per il pubblico interesse);

 

• il perfezionamento della disciplina degli obblighi di riservatezza di cui all’art. 12, ai sensi del quale (i) le segnalazioni non possano essere utilizzate se non per darvi seguito, con espresso divieto di rivelazione, a persone diverse da quelle specificamente autorizzate, dell’identità del segnalante, in assenza del suo consenso espresso; (ii) sono previste specifiche modalità di tutela nell’ambito di procedimenti giudiziari; (iii) le ragioni sottese alla rivelazione dei dati riservati, indispensabile anche per la difesa del soggetto coinvolto, devono essere comunicate per iscritto al segnalante; (iv) la segnalazione deroga all’applicazione della disciplina amministrativa dell’accesso;

 

• l’integrazione della disciplina relativa al trattamento dei dati personali funzionali al ricevimento e alla gestione delle segnalazioni, di cui all’art. 13, con particolare riguardo alla corretta individuazione dei ruoli dei soggetti coinvolti nel trattamento, all’obbligo di procedere alla valutazione d’impatto sulla protezione dei dati e al divieto di raccolta (con obbligo di cancellazione in caso di acquisizione accidentale) dei dati personali manifestamente non utili alla gestione di una specifica segnalazione;

 

• la revisione del termine massimo di conservazione della documentazione inerente le segnalazioni interne ed esterne, ex 14 (solo per il tempo necessario alla loro definizione e, comunque, per non più di cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione), tenendo conto anche con la durata media dei termini prescrizionali dei principali illeciti suscettibili di segnalazione.

 

La disciplina dettata dallo schema di decreto legislativo è stata, dunque, ritenuta conforme alla normativa vigente sulla privacy (Regolamento (UE) 2016/679, decreto legislativo n. 196/2003 e decreto legislativo n. 51/2018) nonché idonea a garantire l’assoluta riservatezza dei soggetti coinvolti nella segnalazione e la tutela dei dati personali in essa contenuti, perseguita anche mediante il ricorso a strumenti di crittografia.

 

2. Il position paper di Confindustria

 

In data 20 gennaio 2023 Confindustria ha elaborato un position paper, condiviso con il Ministero della Giustizia e le Commissioni Parlamentari competenti, con il quale sono state segnalate alcune criticità dello schema di decreto legislativo.

 

In primo luogo, Confindustria ha evidenziato che il recepimento della Direttiva nell’ordinamento nazionale dovrebbe essere teso a garantire «un bilanciamento tra la protezione dei “whistleblower” e la salvaguardia delle imprese nei confronti di utilizzi distorti (o abusivi) dello strumento delle segnalazioni», da cui potrebbero derivare rilevanti danni reputazionali ed economici.

 

Le riflessioni dell’associazione hanno, inoltre, messo in luce quanto segue:

 

• sul piano definitorio è stato rilevato che dovrebbero essere esclusi dalla nozione di “soggetti del settore pubblico” (di cui all’art. 2, comma 1, lett. p, dello schema di decreto):
  1. le società quotate, per ragioni di coerenza sistematica con la disciplina pubblicistica dettata dal decreto legislativo n. 175/2016, dalla legge n. 190/2012 e dal decreto legislativo n. 33/2013 e in quanto tali società, a ben vedere, rientrano tra i “soggetti del settore privato” e, conseguentemente, si troverebbero ad essere soggette a regimi giuridici differenti, con maggiori oneri di adeguamento alla nuova disciplina;
  2. i concessionari di pubblico servizio, in quanto enti di diritto privato che dovrebbero, piuttosto, rientrare tra i “soggetti del settore privato”.

Si propone altresì di precisare quali debbano essere i “soggetti diversi” dai soggetti del settore pubblico e che includono i soggetti del settore privato (di cui all’art. 2, comma 1, lett. r), dello schema del decreto);

 

• quanto all’ambito soggettivo di applicazione nel settore privato lo schema di decreto legislativo (art. 2, comma 1, lett. q), n. 3) e art. 3, comma 2, lett. b) troverebbe applicazione anche alle imprese con meno di 50 dipendenti dotate di un modello di organizzazione, gestione e controllo ai sensi del decreto legislativo n. 231/2001, nonostante la Direttiva escluda tali imprese (di piccole dimensioni o microimprese) dall’ambito di applicazione obbligatoria della nuova disciplina, lasciando la facoltà agli Stati Membri di includere tali imprese solo “in seguito a un’adeguata valutazione dei rischi e tenuto conto della natura delle attività dei soggetti e del conseguente livello di rischio, in particolare per l’ambiente e la salute pubblica”.

Secondo Confindustria, ciò comporterebbe “un aggravio di adempimenti [per le PMI] che mal si conciliano con le dimensioni organizzative del nostro tessuto produttivo” e, pertanto:

1. 1. per gli enti che hanno già adottato un modello organizzativo e hanno meno di 50 dipendenti dovrebbe continuare a trovare applicazione la attuale disciplina del whistleblowing di cui al decreto legislativo n. 231/2001;
   2. le segnalazioni inerenti violazioni del modello organizzativo – avendo “rilevanza meramente interna” e attenendo “ad aspetti squisitamente organizzativi dell’impresa, rispetto ai quali qualunque “intrusione” (anche indiretta) dei poteri pubblici appare sproporzionata e inopportuna” – dovrebbero essere veicolate esclusivamente mediante canali interni all’ente. Si propone, in tal modo, una differenziazione rispetto alle violazioni integranti la commissione di un reato presupposto della responsabilità amministrativa degli enti, per le quali potrebbe essere, invece, ragionevole prevedere, ove ne ricorrano i presupposti, l’utilizzo dei canali di segnalazione esterni e della divulgazione pubblica;

 

• in relazione a requisiti e corretta gestione del canale di segnalazione interna per i soggetti privati lo schema di decreto non detta alcuna indicazione (a differenza di quanto previsto per le segnalazioni esterne, ove l’ANAC è tenuta ad elaborare apposite linee guida). Confindustria, pertanto, suggerisce di predisporre apposite linee guida / indicazioni tecniche, le quali dovrebbero, inter alia, coordinarsi con le previsioni del decreto legislativo n. 231/2001;

 

• con riguardo alla facoltà di condividere le risorse per le segnalazioni interne e per la loro eventuale istruttoria questa è prevista, nello schema di decreto, solo per i soggetti privati fino a 249 dipendenti, in linea con la Direttiva, la quale ha inteso semplificare gli adempimenti per le imprese di minori dimensioni. Come evidenziato da Confindustria, tuttavia, diverse sono le riserve manifestate, anche a livello europeo, verso una tale impostazione, essendo, piuttosto, opportuno estendere tale facoltà anche ai gruppi di imprese, ove l’“esigenza di contenimento degli oneri e di rafforzamento dell’assetto organizzativo” spesso comporta un accentramento delle attività in capo a soggetti operanti in diverse società del gruppo;

 

• in tema di condizioni per l’effettuazione della segnalazione esterna è stato evidenziato che:
  1. sarebbe opportuno escludere il ricorso alla segnalazione esterna nella ipotesi in cui la segnalazione interna si sia conclusa con un provvedimento finale negativo (art. 6, comma 1, lett. b), in quanto, da un lato, tale ipotesi non è contemplata dalla Direttiva e, dall’altro, lo schema di decreto prevede già diverse condizioni all’occorrere delle quali il segnalante può effettuare direttamente la segnalazione esterna, “riconoscendogli un ampio margine di discrezionalità”. Secondo Confindustria, “riconoscere al segnalante anche la facoltà della segnalazione esterna qualora quella interna abbia avuto esito negativo, appare irragionevole e tale da alterare (vanificandola) la gradualità impostata nello Schema tra i differenti canali, oltre che inficiare il valore dell’istruttoria interna”;
  2. dovrebbe essere meglio precisata la condizione per cui il segnalante può ricorrere direttamente alla segnalazione esterna se ha “fondati motivi di ritenere che, ove effettuasse una segnalazione interna, alla stessa non sarebbe dato efficace seguito ovvero che la stessa segnalazione possa determinare il rischio di ritorsione” (art. 6, comma 1, lett. c);

 

• con riferimento alle condizioni in cui il segnalante può effettuare una divulgazione pubblica si evidenzia l’opportunità di riprendere integralmente la formulazione della Direttiva. Secondo Confindustria, infatti, le “specifiche circostanze del caso concreto” che possono portare il segnalante ad avere un “fondato motivo di ritenere che la segnalazione esterna possa comportare il rischio di ritorsioni o possa non avere efficace seguito” devono essere ricondotte a “quelle in cui possano essere occultate o distrutte prove oppure in cui un’autorità possa essere collusa con l’autore della violazione o coinvolta nella violazione stessa” (art. 15 della Direttiva). Ciò sarebbe funzionale ad evidenziare che il ricorso alla divulgazione pubblica deve rappresentare una extrema ratio, incidendo la divulgazione pubblica su beni giuridici rilevanti, quali la reputazione delle persone coinvolte;

 

• relativamente ai casi di segnalazioni effettuate con dolo o colpa grave e che poi si rivelano false o infondate viene incentivata la costruzione di un efficace sistema sanzionatorio, in linea con quanto richiesto dalla Direttiva e già previsto dal decreto legislativo n. 231/2001. Lo schema di decreto legislativo, infatti, prevede (all’art. 16, comma 3) esclusivamente che – nei predetti casi e solo a seguito di una sentenza di condanna in primo grado per i reati di diffamazione o calunnia o per responsabilità civile – le tutele poste per il segnalante non siano garantite e sia irrogata una sanzione disciplinare;

 

• in tema di divieto di atti ritorsivi viene contestata la presunzione relativa di conseguenzialità tra segnalazione effettuata e gli atti lesivi, riconosciuta dallo schema di decreto nel caso in cui siano instaurati procedimenti giudiziali o controversie stragiudiziali. A parere di Confindustria la prova liberatoria posta in capo al soggetto accusato di aver posto in essere comportamenti ritorsivi nei confronti del segnalante sarebbe troppo gravosa, dovendo questi dimostrare che tali atti “sono motivati da ragioni estranee alla segnalazione o alla divulgazione o alla denuncia”, di fatto “determinando incertezza sull’esatta configurazione dell’onere probatorio”. Al fine di meglio bilanciare gli interessi del segnalante e quelli del segnalato dovrebbe essere ripresa puntualmente la formulazione della Direttiva (art. 21, comma 5), ai sensi della quale “spetta alla persona che ha adottato la misura lesiva dimostrare che tale misura è imputabile a motivi debitamente giustificati”;

 

• con riguardo alla figura del soggetto segnalato (“persona coinvolta”) Confindustria evidenzia la necessità di disporre un’adeguata tutela anche di tale soggetto, in linea con quanto previsto dalla Direttiva, ad esempio garantendogli il diritto di essere sentito dal gestore della segnalazione, il diritto di difendersi e di accedere agli atti inerenti alla segnalazione stessa, nonché il diritto di agire per la tutela dei propri diritti lesi nel caso di segnalazione falsa o infondata.

 

Alla luce di quanto sopra, la rimeditazione e riformulazione, in chiave di semplificazione e precisazione, di alcune disposizioni dello schema di decreto legislativo sono state auspicate soprattutto al fine di evitare che un framework normativo poco chiaro possa disincentivare il ricorso allo strumento del whisteblowing.

Non resta che attendere l’intervento del legislatore per verificare l’eventuale recepimento delle predette osservazioni nel testo definitivo del decreto legislativo.