Whistleblowing: quando finisce la 231 e comincia la Privacy
Articolo, 13/06/2019 – Di Gianpiero Uricchio
Il presente articolo si pone l’obiettivo di analizzare la misura in cui il segnalante è protetto contro possibili ritorsioni in seguito della denuncia, e come questa disciplina rientra nella disciplina della Privacy.
Il 25 novembre 2017 è stato definitivamente approvata la disciplina sul whistleblowing.
La disciplina del whistleblowing nasce come legge volta a tutelare i soggetti che segnalano, hanno segnalato, o vogliono segnalare illeciti nell’ambito di un rapporto lavorativo, e che potrebbero ritorcersi contro lo stesso soggetto, in seguito alla denuncia.
Per la prima volta, nel 2012 con la Legge n. 190 del 6 novembre 2012, si è iniziato a parlare di whistleblowing, limitatamente al settore pubblico e con una successiva Direttiva n. 2004/39/CE, approvata in Italia con il D.Lgs. 3 agosto 2017, si è ampliato l’ambito di applicazione anche al settore privato.
Innanzitutto, è stato modificato il D.Lgs. 231/2001 che riguarda la responsabilità amministrativa delle persone giuridiche, in particolare, il d.lgs. 231/2001 si pone l’obbiettivo di esonerare o limitare le responsabilità per le società che adottino il Modello di Organizzazione gestione e controllo. Le modifiche riguardano, principalmente, la possibilità di segnalare reati, irregolarità, o anche il non utilizzo dei Modelli di organizzazione, gestione e controllo adottati dall’azienda, garantendo la tutela del segnalante e il suo anonimato.
Si vede, quindi, come la disciplina del whistleblowing è strettamente collegata alla disciplina della Privacy.
Il Garante per la protezione dei dati personali già nel 2009 aveva posto la sua attenzione sulla disciplina del whistleblowing, evidenziando un problema nel sistema disciplinare. Il Garante, ha dunque, sollecitato la disciplina del whistleblowing, evidenziando anche i punti che questa avrebbe dovuto specificare. I due punti cardine della disciplina possono essere cosi riassunti: a) la disciplina si applica solo alle società che hanno adottato un Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/2001; b) la disciplina pone delle limitazioni riguardo “l’anonimato” del segnalante, se le informazioni risultano false (direttiva 95/46/CE che sul punto non è molto difforme dal Regolamento GDPR).
Sembra evidente, che la disciplina del whislteblowing, deve integrarsi con il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Secondo il GDPR, dunque, la disciplina del whistleblowing dovrà necessariamente rispettare i seguenti punti: a) definire esaustivamente i ruoli attribuiti ai vari attori coinvolti nella procedura anche dal punto di vista dell’organigramma privacy; b) garantire adeguate misure di sicurezza del dato personale e/o sensibile trattato; c) in caso di multinazionali, disciplinare le modalità di eventuali trasferimenti di dati tra Stati extra-europei; d) disciplinare il diritto di accesso del soggetto segnalato agli atti.
(Altalex, 13 marzo 2019. Nota di Giampiero Uricchio)
