Whistleblowing: a che punto siamo arrivati?

 

A meno di un mese dalla scadenza (17 dicembre 2021) fissato per il recepimento della Direttiva europea (UE) 2019/1937[1] (di seguito “Direttiva”) e ancora il legislatore italiano non ha pubblicato i decreti attuativi.

Infatti, con Legge 22 aprile 2021, n. 53 recante “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2019-2020” (di seguito “Legge delega”) il Parlamento ha delegato il Governo ad adottare i decreti legislativi per il recepimento di una serie di direttive europee e altri atti dell’Unione europea tra cui la Direttiva (si veda art. 23 della citata Legge delega).

Tra i principi e i criteri direttivi specifici si ricorda:​

            1. modificare, in conformità alla disciplina della direttiva (UE) 2019/1937, la normativa vigente in materia di tutela degli autori di segnalazioni delle violazioni di cui siano venuti a conoscenza nell’ambito di un contesto lavorativo pubblico o privato e dei soggetti indicati dall’articolo 4, paragrafo 4, della stessa direttiva;​
            2. curare il coordinamento con le disposizioni vigenti, assicurando un alto grado di protezione e tutela dei soggetti di cui alla lettera a), operando le necessarie abrogazioni e adottando le opportune disposizioni transitorie;​
            3. esercitare l’opzione di cui all’articolo 25, paragrafo 1, della direttiva (UE) 2019/1937, che consente l’introduzione o il mantenimento delle disposizioni più favorevoli ai diritti delle persone segnalanti e di quelle indicate dalla direttiva, al fine di assicurare comunque il massimo livello di protezione e tutela dei medesimi soggetti.​

La Legge delega prevede che gli schemi dei decreti legislativi delegati debbano essere trasmessi dal Governo, dopo l’acquisizione degli altri pareri previsti dalla Legge delega, alla Camera dei deputati e al Senato della Repubblica affinché su di essi sia espresso il parere dei competenti organi parlamentari.​

 

Principali aspetti della Direttiva

Ripercorrendo gli aspetti principali coperti dalla Direttiva ricordiamo come sia previsto, per le aziende con più di 50 dipendenti – ma anche per quelle più piccole se operanti nei settori indicati dalla Direttiva – l’adozione di canali di segnalazione sia interna che esterna (intesi come canali resi disponibili preso le Autorità pubbliche e presso la stampa) da attivare ove quelli interni non siano adeguati o idonei.

Un elemento sul quale la Direttiva si dedica particolarmente è quello relativo alla individuazione dei possibili segnalanti che non sono più solo i dipendenti dell’azienda, ma anche fornitori, collaboratori autonomi, occasionali, tirocinanti e volontari; in buona sostanza tutti i coloro che a vario titolo possono essere a conoscenza di fatti che costituiscono violazione delle norme dell’Unione. Infatti, oggetto di segnalazione sono tutte le violazioni del diritto dell’Unione in uno dei settori in cui l’Unione Europea ha competenza ratione materia.

Circa i canali con i quali effettuare le segnalazioni vengono citate sia le piattaforme informatiche o in generale strumenti informatici come e-mail, ma viene mantenuta anche la possibilità di effettuare la segnalazione a mezzo posta cartacea e anche oralmente, istituendo linee telefoniche dedicate.

Un elemento importante a cui prestare attenzione è la previsione per la quale alle segnalazioni deve essere dato un seguito entro un termine ragionevole che è comunque indicato in massimo tre mesi. Ciò pone un limite all’ammissibilità delle segnalazioni anonime, rispetto alle quali la Direttiva non prende una posizione esplicita a favore o contro la loro previsione, rimandando in tal senso alle valutazioni del legislatore nazionale.

 

La posizione del Garante Italiano

In materia preme segnalare il provvedimento[2] dell’Autorità Garante per la Protezione dei Dati Personali avverso l’Aeroporto Guglielmo Marconi di Bologna S.p.A. che ha subito una sanzione di 40.000 euro (e di 20.000 euro il fornitore della piattaforma).

Secondo il Garante, anche se i trattamenti svolti dai soggetti obbligati possono essere fatti ricadere nella previsione di cui all’art. 6.1.c del Regolamento, ciò non esime i titolari dal rispetto dell’adozione delle adeguate misure di sicurezza per assicurare che non vengano effettuati trattamenti non autorizzati o illeciti.

Dall’istruttoria svolta rispetto all’applicativo in uso dall’Aeroporto per effettuare le segnalazioni, il Garante ha ritenuto che lo stesso non offrisse misure di sicurezza adeguate al rischio e non fosse stato rispettato il principio di privacy by design. Ciò in quanto la piattaforma non utilizzava un protocollo di rete sicuro (quale il protocollo https) né la cifratura dei dati identificativi del segnalante, delle informazioni relative alla segnalazione e della eventuale documentazione allegata.

Ulteriore criticità evidenziata dal Garante si rinveniva nel tracciamento, mediante i log generati dai firewall, l’accesso effettuato alla piattaforma dei dipendenti che si connettevano all’applicativo mediante la rete aziendale vanificando così le misure di protezione poste in essere al fine di tutelare la riservatezza sull’identità del soggetto segnalante, ciò anche in ragione delle limitate segnalazioni che erano state presentate.

 

Per approfondimenti, segnaliamo il webinar gratuito – mercoledì 1° dicembre ore 14:30

Whistleblowing: prospettive di riforma alla luce della Direttiva Europea 2019/1937

 

 

 

[1] Provvedimento n.235 del 10 giugno 2021 “Ordinanza ingiunzione nei confronti di Aeroporto Guglielmo Marconi di Bologna S.p.A.”

 https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9685922

[2] Si veda “Direttiva (UE) 2019/1937 del Parlamento Europeo e del Consiglio del 23 ottobre 2019 riguardante la protezione delle persone che segnalazioni violazioni del diritto dell’Unione”

https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32019L1937&from=RO

ICTLC Italy
italy@ictlegalconsulting.com