Il nuovo decreto sul whistleblowing: che cos’è e perché gli Enti locali devono (pre)occuparsene

DPO in pillole/ Data protection e cybersecurity: dal prossimo 15 luglio gli Enti pubblici interessati dalla nuova normativa dovranno attivare al proprio interno i processi aziendali necessari per dare attuazione al decreto

20 Marzo 2023
Modifica zoom
100%
di LUISA DI GIACOMO*

Di whistleblowing si parla già da parecchio tempo, e sempre con scarso interesse. La legge 179/2017, che già prevedeva forme di tutela per i segnalatori di illeciti all’interno del proprio ambiente di lavoro, non ha mai trovato una vera e propria realizzazione strutturata all’interno delle pubbliche amministrazioni, e la direttiva Europea UE 2019/1937, che prevede una serie di tutele rafforzate, ha impiegato molto tempo prima di essere recepito nel nostro ordinamento.
Tuttavia, i tempi sono oggi maturi e dopo l’ok definitivo del Garante della Privacy, e il parere favorevole del Senato allo schema di decreto legislativo di recepimento, la Direttiva UE 2019/1937, riguardante la protezione dei soggetti che, nelle Pubbliche Amministrazioni, segnalano violazioni del diritto dell’Unione da parte dell’Ente è diventata legge dello Stato Italiano.
Il 9 marzo 2023, il Consiglio dei ministri ha approvato in via definitiva il decreto legislativo del 10 marzo 2023, n. 24, pubblicato in Gazzetta Ufficiale, che entrerà in vigore il 15 luglio prossimo.
La novità non è di poco conto per gli Enti locali: sarà obbligatorio adeguarsi alla normativa, prevedendo una procedura, attuando i principi di minimizzazione e protezione dei dati richiesti dal Garante della Privacy, provvedendo ad effettuare una valutazione di impatto del trattamento dei dati e formando adeguatamente il proprio personale interno (o eventualmente delegando ad un soggetto esterno) per la gestione delle segnalazioni.
Con il consueto intento di fornire una consulenza pratica all’interno di questa rubrica, vediamo pertanto di che si tratta e che cosa è necessario che gli Enti locali mettano in atto.

Che cos’è il whistleblowing

Whistleblower significa letteralmente “soffiatore di fischietto” ed è un termine che definisce il dipendente pubblico che segnala comportamenti o situazioni irregolari non di interesse personale, di cui è venuto a conoscenza a causa del suo ruolo di dipendente dell’amministrazione o del fornitore dell’azienda pubblica.
Si tratta di una figura di derivazione anglosassone, come accennato entrata nell’ordinamento italiano già dal 2017. Successivamente, nel 2019, l’Unione Europea ha approvato la direttiva UE 2019/1937, che ha fissato standard comuni minimi di protezione nei confronti del segnalatore e che ha avuto impatti anche sulla norma preesistente in Italia, contribuendo a “sdoganare” anche nel nostro Paese il tema del whistleblowing. La Direttiva ha previsto obbligo per gli enti interessati di incrementare la prevenzione degli illeciti, svolgendo indagini preliminari e adottando comportamenti proattivi volti non solo a perseguire, ma anche a prevenire gli illeciti ed ha ampliato la platea di soggetti protetti, estendendola non solo ai dipendenti, ma anche ai consulenti, ai fornitori, agli stagisti ed ai volontari.
Tutto questo ha portato, dopo 4 anni, all’approvazione del nuovo decreto, che entrerà in vigore nel luglio prossimo: altri 4 mesi affinché gli enti possano adeguarsi al dettato normativo, in particolare in merito allo svolgimento della valutazione di impatto, adempimento essenziale reso obbligatorio dal decreto di recepimento.

Il decreto legislativo n. 24/2003

La nuova legge sul whistleblowing prevede la sua applicabilità a tutti i soggetti, pubblici e privati, indipendentemente dall’adozione del modello organizzativo 231/01 (modello per la prevenzione degli illeciti dell’Ente, cioè la legge sulla responsabilità per fatto illecito delle persone giuridiche).
I canali di segnalazione degli illeciti messi a disposizione dei lavoratori sono tre: interno, esterno e pubblico. Gli Enti pubblici, dunque, dovranno provvedere ad attivare un canale interno di segnalazione, predisponendo e portando a conoscenza dei dipendenti una apposita procedura, che garantisca l’anonimato e la minimizzazione dei dati raccolti.

La procedura potrà prevedere quattro modalità di segnalazione:

  • la forma scritta;
  • la forma orale, con un incontro di persona con personale addetto;
  • attraverso linee telefoniche o altri sistemi di messaggistica vocale registrati o non registrati (in questo ultimo caso le conversazioni dovranno essere trascritte e firmate);
  • tramite la piattaforma informatica messa a disposizione da ANAC (Autorità Nazionale Anti Corruzione) per la segnalazione esterna.

Le tutele per i whistleblowers

Tutti coloro che effettuano segnalazioni di violazioni del diritto dell’Unione da parte dell’ente di appartenenza, nell’ambito del proprio lavoro, che siano dipendenti o collaboratori, lavoratori autonomi o subordinati, liberi professionisti, volontari, tirocinanti (anche non retribuiti) hanno diritto alle tutele previste dal decreto.
In pratica, non possono, per il fatto di aver segnalato un illecito, subire ritorsioni di alcun tipo, tra cui:

  • il licenziamento, la sospensione;
  • la retrocessione di grado o la mancata promozione;
  • il mutamento di funzioni, il cambiamento del luogo di lavoro, la riduzione dello stipendio, la modifica dell’orario di lavoro;
  • la sospensione della formazione;
  • le note di merito negative;
  • l’adozione di misure disciplinari o di altra sanzione anche pecuniaria;
  • la coercizione, l’intimidazione, le molestie o l’ostracismo;
  • la discriminazione o comunque il trattamento sfavorevole;
  • la mancata conversione di un contratto di lavoro a termine in un contratto di lavoro a tempo indeterminato, laddove il lavoratore avesse una legittima aspettativa a detta conversione;
  • il mancato rinnovo o la risoluzione anticipata di un contratto di lavoro a termine;
  • i danni, anche alla reputazione della persona, in particolare sui social media, o i pregiudizi economici o finanziari, comprese la perdita di opportunità economiche e la perdita di redditi;
  • l’annullamento di una licenza o di un permesso;
  • la richiesta di sottoposizione ad accertamenti psichiatrici o medici.

In ogni caso, sarà onere dell’ente prevedere una apposita procedura per tutelare la riservatezza dei segnalatori e del contenuto della segnalazione, procedura che include anche l’effettuazione di una valutazione di impatto (DPIA, Data Protection Impact Assesment) ex art. 35 del GDPR. La valutazione di impatto è un adempimento formale oneroso per gli Enti, soprattutto per le pubbliche amministrazioni di dimensioni più modeste.

La valutazione sensi del GDPR dovrà contenere, come previsto dal dettato normativo:

  1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
  2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  3. la valutazione dei rischi per i diritti e le libertà fondamentali degli interessati:
  4. le misure di sicurezza previste dal titolare per minimizzare i rischi e presidiarli.

La gestione del canale interno di segnalazione potrà essere affidata a una persona o a un ufficio interno – con personale specificamente formato – oppure a un consulente esterno.
La protezione dei whistleblowers prevede tra l’altro il divieto di rivelarne l’identità senza il suo consenso a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni ed anche nell’ambito di procedimenti disciplinari a carico del segnalato.

Il whistleblowing e la tutela dei dati personali

Per quanto riguarda il trattamento dei dati, oltre al citato obbligo di DPIA, il decreto prevede:

  1. l’obbligo di informativa in capo ai soggetti che attivano i canali di segnalazione interni, Titolari del trattamento;
  2. la necessità di un accordo interno ai sensi dell’art. 26 GDPR per i soggetti che “condividono risorse per il ricevimento e la gestione delle segnalazioni”;
  3. la necessità di nomina a responsabile esterno di eventuali fornitori che trattano dati personali per loro conto.

In pratica che cosa sarà obbligatorio fare per gli Enti?

A far data dal 15 luglio prossimo, quindi, gli Enti pubblici e privati interessati dalla nuova normativa dovranno quindi attivare al proprio interno i processi aziendali necessari per dare attuazione al decreto, in particolare:

  • effettuare una valutazione di impatto (Data Protection Impact Assesment) sul trattamento;
  • attivare il canale di segnalazione interno;
  • attuare le tutele in ambito di protezione dei dati (di concerto con il DPO);
  • elaborare e portare a conoscenza di tutti i dipendenti una procedura che illustri gli illeciti da segnalare e le varie modalità per farlo;
  • nominare e formare adeguatamente il personale interno (o il consulente esterno) incaricato della gestione del canale di segnalazione.

>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.

Cybersecurity - Luisa Di GiacomoL’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.

Scrivi un commento

Accedi per poter inserire un commento