In attuazione della Direttiva UE n. 1937/2019 è stato emanato il D.lgs. n. 24/2023 (d’ora in poi anche Decreto) contenente modifiche in materia di cd. whistleblowing e già parzialmente efficace dal 15 luglio 2023. Al termine whistleblowing (dall’inglese: soffiare nel fischietto) è riconducibile, come noto, quel complesso di norme volto a regolare i processi di segnalazione degli illeciti nel contesto aziendale.
Il legislatore ha previsto differenti termini entro cui le organizzazioni devono adeguarsi. L’ultimo di questi spira il 17 dicembre 2023 e riguarda le società che hanno impiegato, nell’ultimo anno, una media di almeno 50 dipendenti.
La nuova disciplina, in linea con gli orientamenti comunitari in materia, contempla elementi nuovi rispetto la normativa previgente. Emerge infatti, tra le diverse novità, la tipizzazione delle violazioni con la possibilità di segnalare le inosservanze di norme, comunitarie e nazionali, racchiuse in un elenco già fornito dal legislatore; oppure l’ampliamento dell’ambito soggettivo di applicazione tramite un’estensione di tutela verso quei soggetti diversi dal segnalante, sia appartenenti al settore pubblico che privato; o ancora, il complesso meccanismo previsto per la tutela dalle ritorsioni, ovvero dai pregiudizi che il segnalante potrebbe conseguire a seguito della segnalazione.
L’organizzazione onerata, per conformarsi dunque alla nuova regolamentazione, è tenuta a revisionare il previgente modello di gestione delle segnalazioni o, in alcuni casi, a strutturalo ex novo.
La conformità al Decreto whistleblowing richiede interventi finalizzati alla costruzione di un vero e proprio modello di gestione, documentato e scalabile.
Le società obbligate devono pertanto redigere un progetto organizzativo dove siano ben definiti e descritti i canali di segnalazione (come previsti secondo la normativa) e che contempli un meccanismo formativo (per gli operatori) e informativo, per ogni utente, che sia ben conoscibile tramite gli strumenti di comunicazione a disposizione.
Il progetto deve poi coordinarsi con i modelli già presenti nell’organizzazione e preposti alla conformità verso ulteriori e diverse normative. Giova infatti rilevare che gli interventi per la costruzione di un modello whistleblowing devono necessariamente misurarsi, per effetti ed efficacia, anche con i diversi modelli riguardanti la compliance (globale) dell’organizzazione rispetto ai rischi, anche normativi, già da questa considerati. La società interessata dovrà quindi coordinare la propria azione con le politiche, già esistenti e adottate, finalizzate alla mitigazione dei rischi rilevanti, tra cui quelli derivanti dalle non conformità normative.
Tra i modelli certamente rinvenibili vi è quello preposto alla gestione della conformità dell’organizzazione alla normativa per la protezione dei dati personali (Reg. Eu 679/2016 e D.lgs. 196/2003), ma non solo, devono considerarsi interventi anche rispetto al MOG 231 per la responsabilità degli enti in ossequio al D.lgs. 231/2001, se adottato (cfr. artt. 4 e 21, comma 2, del D. lgs 24/2023).
Ciò detto, anche al fine di fornire un supporto alle organizzazioni, nel seguito verranno analizzati i punti di contatto della nuova normativa whistleblowing con il modello di gestione data protection, così da agire tramite un approccio integrato ed evitare ridondanze o addirittura conflitti tra i diversi modelli.
La gestione della segnalazione: riservatezza e tutela dei dati personali
La nuova normativa whistleblowing è, per oggetto e natura, strettamente connessa alla normativa in materia di protezione dei dati personali. Ciò emerge con chiarezza dall’espresso rinvio che il legislatore ha previsto, nel corpo del Decreto, al Regolamento EU 679/2016 e al D.lgs. 196/2003.
Le norme (in particolare, gli artt. 12, 13 e 14 del D.lgs. 24/2023) evocano principi e concetti portanti per la tutela dei dati personali e che pare debbano invocarsi, dato l’espresso richiamo, anche nella regolazione delle segnalazioni di illeciti nel contesto aziendale.
Si pensi al concetto di riservatezza: tale elemento è assunto quale fondamento per garantire il segnalante, e la segnalazione, da effetti ritorsivi e pregiudizievoli e gli strumenti per la sua applicazione sono ripresi dalla normativa per la tutela dei dati personali.
Oppure si consideri l’uso del “consenso”, previsto dal Decreto come uno strumento utile per attivare un meccanismo di controllo sui propri dati personali e, in generale, sulla propria identità (cfr. artt. 12 e 14 D.lgs. 24/2023).
Ciò non deve stupire.
Non è insolito, infatti, constatare come i più recenti testi legislativi (soprattutto in ambito tech), sia europei che nazionali, prevedano al loro interno rinvii al GDPR. Il motivo è presto detto oltre che riconducibile ad un semplice concetto: la digitalizzazione dei processi e la loro pervasività nelle nostre identità (digitali).
Ma nel contesto del whistleblowing, il legislatore nazionale, anche in funzione del dettato dell’art. 88 del GDPR, rinvia al Regolamento EU 679/2016 al fine di assicurare, tramite gli strumenti già conosciuti dalla normativa per la data protection, l’obbligo di riservatezza. Elemento questo ritenuto cruciale per l’efficacia dell’intera struttura del nuovo codice sulle segnalazioni.
La prossimità sostanziale delle due discipline è evidente anche nell’approccio sanzionatorio ove pare desumibile un doppio binario di punibilità. Infatti, all’art. 21, comma 1, par. a) è punita, con sanzione pecuniaria da 10.000 a 50.000 euro, la violazione dell’obbligo di riservatezza. Ma se, come detto, gli strumenti atti a garantirla sono rinvenibili nel GDPR, va da sé che laddove la violazione dell’obbligo di riservatezza sia ascrivibile ad una non conformità al Regolamento EU 679/2016 (circostanza altamente probabile) si aprirebbe, in via presuntiva, la strada per una duplice sanzione. Deve ovviamente premettersi che le condotte sanzionabili potrebbero esser molteplici e devono considerare differenti varabili, ma in linea di principio l’assunto anzidetto è difficilmente contestabile. Emerge dunque come una corretta applicazione della normativa whistleblowing, nel contesto aziendale, debba inevitabilmente considerare i processi posti a presidio dei dati personali (già trattati dall’organizzazione) e che, come noto, sono ricompresi nell’alveo di un modello di gestione già espressione del principio di accountability (risk management) dell’organizzazione.
Nel seguito si tratterà pertanto dei segmenti rilevanti, con riguardo al modello di gestione data protection, che devono necessariamente valutarsi per la predisposizione del modello per la conformità al D.lgs. 24/2023. Il Decreto prevede, come accennato, che l’obbligo di riservatezza debba garantirsi per mezzo di strumenti derivanti dal Reg. EU 679/2016.
Invero, al comma 2 dell’art. 12, è fissato il principio secondo il quale qualsiasi elemento da cui possa evincersi l’identità del segnalante non debba essere comunicato a persone diverse da quelle già autorizzate a riceverle nell’ambito della segnalazione. Unica deroga a tale principio risiederebbe nel consenso, prestato dal segnalante, per la comunicazione a soggetti diversi.
Il medesimo articolo, poi, rinvia espressamente agli artt. 29 e 32, par. 4, del GDPR e l’art.2-quaterdecies del D.lgs. 196/2003 per indicare i cd. incaricati o autorizzati al trattamento dei dati personali. Riferendosi a quei soggetti che, in virtù delle loro mansioni e compiti, vengono autorizzati dal Titolare del trattamento, o dal Responsabile del trattamento, a gestire i dati personali tramite apposite istruzioni a cui devono obbligatoriamente attenersi.
Già in questo primo passaggio è rinvenibile uno dei punti di contatto tra la normativa whistleblowing e quella data protection. Punto che, come per altri che analizzeremo nel seguito, prevede un intervento revisorio.
L’organizzazione deve infatti procedere con un’iniziale individuazione di quei soggetti, interni all’organizzazione, a cui siano deputate funzioni per la gestione dei canali di segnalazione.
Successivamente, nel documento di sintesi del modello di gestione per la normativa whistleblowing deve integrarsi un rinvio al modello di gestione data protection, per quel che riguarda la nomina di tali soggetti come incaricati/autorizzati al trattamento, la loro formazione specifica per le mansioni assunte e le relative istruzioni per l’assolvimento della funzione.
Non di meno, le istruzioni devono essere sostenute da un buon livello di formazione degli stessi che il Titolare del trattamento deve garantire. Formazione auspicabilmente verticalizzata, non solo su processi e temi propri della normativa sulla protezione dei dati personali, ma anche sulle declinazioni dei principi sottesi al GDPR nell’ambito della gestione delle segnalazioni. Con un evidente occhio di riguardo all’obbligo di riservatezza.
Tale tipologia di formazione è essenziale per procedere secondo i paradigmi imposti dalla normativa allorquando la gestione della segnalazione è affidata a soggetti interni all’organizzazione.
Esternalizzazione del servizio
A proposito invece di affidamento a soggetti esterni, anche in tale segmento è rinvenibile un ulteriore punto di contatto tra le discipline.
Il Decreto apre alla possibilità di affidare a soggetti esterni all’organizzazione alcuni segmenti del modello di gestione dei canali di segnalazione. Infatti, è possibile sia esternalizzare la fase di gestione per la valutazione della fondatezza della segnalazione sia affidarsi ad una piattaforma digitale, fornita da società specializzate, per gestire l’intero impianto di segnalazione.
In tali casi, in ossequio alla normativa per la protezione dei dati personali e in ordine alle azioni di conformità da intraprendere, deve valutarsi preliminarmente il livello di sicurezza del fornitore prima di procedere con l’affidamento e poi, al momento della scelta, sottoscrivere un data processing agreement (in ordine ai dettami dell’art. 28 del GDPR e, eventualmente, del provvedimento del Garante del 2008 relativo alla figura degli amministratori di sistema).
La valutazione iniziale deve certamente muovere, come espressamente previsto anche dalla normativa whistleblowing, dalla conduzione di una valutazione d’impatto (DPIA – data protection impact assessment) ai sensi dell’art. 35 del GDPR.
La valutazione d’impatto, sia chiaro, non deve condursi solo nella circostanza in cui l’organizzazione si avvalga di sistemi forniti da terzi, ma per qualsiasi modello organizzativo che l’ente decida di adottare (cfr. art. 13, comma 6, D. lgs 24/2023) per la conformità alla normativa whistleblowing.
Invero, come noto, la DPIA è uno strumento finalizzato a dimostrare la conformità alla normativa data protection di uno o più processi di trattamento, non solo per quelli automatizzati e come più volte ribadito, la segnalazione di illeciti è certamente assimilabile ad un trattamento di dati personali.
Nel caso di una piattaforma digitale fornita da un terzo, però, assume particolare importanza il complesso di misure di sicurezza tecniche adottate dal fornitore e previste nell’applicativo; la loro valutazione per la conformità globale (che soddisfi pertanto la normativa data protection e, in conseguenza, la normativa whistleblowing) è quanto mai essenziale.
Le Linee guida di ANAC offrono, per esempio, un interessante modello di comparazione quando descrive le misure di sicurezza della piattaforma informatica che lo stesso ente mette a disposizione per le cd. segnalazioni esterne.
Prescrive infatti ANAC che, in applicazione delle disposizioni dell’art. 7, comma 1 del D.lgs. 24/2023, l’uso di strumenti di crittografia e un sistema di autenticazione multifattoriale sono di per sé elementi idonei a garantire un livello di sicurezza sufficiente. Inoltre, la descrizione della piattaforma, nelle sue funzioni, è foriera di indicazioni sulle modalità per garantire l’osservanza dei principi previsti dal GDPR.
La valutazione preliminare deve quindi muovere dai riferimenti concernenti l’idoneità della sicurezza tecnica (cfr. artt. 25 per la progettazione del processo di trattamento dei dati personali incorporando i principi di privacy-by-design e by-default e 32 GDPR) ma si devono altresì considerare gli aspetti riguardanti la sicurezza intrapresa nell’alveo della stessa organizzazione (designazioni e istruzioni per il corretto trattamento) che, nei processi in outsourcing, il fornitore deve garantire e devono essere sanciti, come detto, in un accordo ai sensi dell’art. 28 del GDPR.
Data retention
Ulteriore elemento degno di rilievo concerne le logiche di data retention (conservazione dei dati personali). Il legislatore prevede nel Decreto precise metriche per la conservazione dei dati personali e per poter addivenire ad una loro corretta cancellazione.
L’art. 12, al comma 1, enuclea infatti un criterio guida (in ossequio ai principi di proporzionalità e minimizzazione sanciti dall’art. 5 del GDPR) secondo il quale le segnalazioni, ovvero qualsiasi dato e informazione afferente al segnalatore, la segnalazione ed eventuali segnalati, “non devono essere utilizzati oltre quanto necessario per dare adeguato seguito alle stesse”.
Strettamente connesso al principio enunciato dall’art. 12 predetto è la previsione sancita nell’art. 14. Invero questi fornisce un criterio temporale sull’uso dei dati della segnalazione. Infatti, il decreto whistleblowing prevede che le informazioni concernenti la segnalazione non debbano essere conservati per un periodo superiore ai 5 anni.
Tale indicazione temporale comporta conseguenze in ordine al modello data protection, tra cui la revisione delle informative e del registro dei trattamenti e la costruzione di processi interni di trattamento che facciano leva su logiche efficaci per la cancellazione del dato.
In conclusione, l’adozione di un modello di gestione per la conformità alla normativa whistleblowing, transita da una puntuale revisione del modello di gestione per la data protection.
Alla luce delle suddette osservazioni, appare quanto mai essenziale condurre qualsiasi operazione di conformità tramite logiche di integrazione tra i diversi modelli adottati per la gestione delle conformità normative e, più in generale, per la riduzione del rischio nei contesti d’impresa.