Whistleblowing, una rivoluzione per le aziende e un’occasione in tema di privacy

Il recepimento della direttiva europea sul whistleblowing avrà un impatto notevole per tutte le imprese, pubbliche o private. Le società private già dotate dei modelli di cui al D.lgs. 231/2001 dovranno aggiornare i sistemi di segnalazione a suo tempo implementati, valutandone l’adeguatezza e attuando le procedure e gli strumenti atti a dare seguito alle allegazioni oggetto delle segnalazioni ricevute, con il dovuto grado di diligenza e tempestività, eventualmente affidando tale compito a società terze, specializzate nella fornitura di piattaforme adeguate.

Per tutti gli altri enti che in precedenza non erano soggetti alla normativa in tema di whistleblowing, si tratterà comunque di conformarsi a essa e ciò potrebbe rappresentare un’ottima opportunità per adottare un efficace sistema di gestione, adeguato alle regole dettate dalla 231/2001 e in conformità al disposto del Gdpr.

Ogni azienda dovrà porre particolare attenzione alla tutela della riservatezza che, com’è intuibile, occupa una posizione di rilievo nell’ambito della nuova normativa.  

Il decreto 24/2023 prevede che l’identità della persona segnalante e qualsiasi altra informazione da cui si evinca tale identità non possano essere rivelate a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, senza il consenso espresso del whistleblower. Tale autorizzazione al trattamento dei dati deve essere predisposta alla luce delle norme applicabili a livello europeo (gli articoli 29 e 32 del Gdpr) e a livello italiano (l’articolo 2 del Codice Privacy). 

Il documento dovrà essere molto chiaro in merito agli obblighi da osservare e ai limiti da rispettare nella gestione dei dati, vista la delicatezza degli stessi in questo particolare ambito.

Il decreto prevede il rispetto della riservatezza anche nel contesto, particolarmente sensibile, di un eventuale procedimento disciplinare a carico di un soggetto segnalato: in tale caso, l’identità del segnalante non può essere rivelata, se la contestazione dell’addebito disciplinare è infondata. Se la contestazione fosse fondata, in tutto o in parte, la segnalazione sarà invece utilizzabile ai fini del procedimento disciplinare, ma solo in presenza del consenso espresso del segnalante.

Il Garante della Privacy ha inoltre fornito indicazioni importanti in merito alle attività da svolgere e ai principali adempimenti che occorre rispettare, nell’ottica della protezione dei dati, alla luce del decreto stesso. 

Si tratta per lo più di avvertenze che si muovono nell’alveo già previsto dal Gdpr, sottolineandone taluni passaggi, ritenuti particolarmente opportuni a causa della particolare delicatezza delle informazioni trattate in quest’ambito.

Considerata la vulnerabilità degli interessati e gli elevati rischi di possibili effetti ritorsivi e discriminatori ai danni del segnalante, il trattamento dei dati nell’ambito del whistleblowing deve considerarsi ad alto rischio ed è quindi obbligatorio mettere a punto una valutazione d’impatto, preventiva al trattamento stesso o Dpia (Data Protection Impact Assessment). 

È questo uno degli elementi di maggiore rilevanza nella disciplina europea sul trattamento dei dati personali, perché esprime chiaramente la responsabilizzazione, o accountability, dei titolari nei confronti dei trattamenti effettuati. Gli stessi dovranno quindi mettere in atto tutte le misure affinché vengano rispettati i principi previsti dalla legge, tra cui quelli di liceità, correttezza, trasparenza, limitazione della finalità, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione. 

Dovranno, inoltre, essere messe in atto misure adeguate di privacy by design e by default, concetto cui il Gdpr assegna di per sé un’importanza centrale, che prevede l’incorporazione delle regole della protezione dei dati trattati, fin dalle prime fasi di progettazione di ogni procedura intrapresa e l’attuazione delle misure più adatte a garantire che vengano trattati solo i dati necessari a raggiungere le finalità prestabilite, in modo da ridurre al minimo i rischi connessi. I dati personali che non fossero utili al trattamento di una specifica segnalazione non devono essere raccolti. Se ciò dovesse capitare accidentalmente, dovranno essere immediatamente cancellati. 

In materia di whistleblowing, occorre porre particolare attenzione alla completezza delle informazioni per ciascun trattamento, fornendo informative chiare e complete agli interessati, perché quelle delle società terze che forniscono piattaforme, ad esempio, possono essere inadeguate, in quanto improntate a un uso generico. Il fornitore sarà quindi responsabile del trattamento, ma gli obblighi informativi devono essere assolti dalla società che si avvale del sistema di whistleblowing, che tratterà i dati in qualità di titolare del trattamento. 

A tal proposito, per i gruppi multinazionali, un punto di particolare attenzione sarà quello della lingua delle informative, che devono essere comprensibili a tutti e dunque prevedere traduzioni nell’idioma locale.

Bisognerà indicare nel registro dei trattamenti la finalità di acquisizione e gestione di segnalazioni di condotte illecite e tutte le ulteriori informazioni richieste dalla legge, adottando le misure adeguate per assicurare su base permanente riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento, ivi inclusa l’adozione di strumenti di crittografia, pseudonimizzazione e anonimizzazione, per garantire la riservatezza dell’identità del segnalante e il contenuto delle segnalazioni e della relativa documentazione.

Il periodo di conservazione deve essere limitato al necessario per il trattamento della segnalazione e comunque non potrà superare i cinque anni dalla data della comunicazione dell’esito finale della sua procedura. Infine, come in ogni contesto di trattamento dei dati personali, e a maggior ragione in un ambito delicato come quello del whistleblowing, è necessario che il titolare del trattamento si occupi della formazione delle persone che agiscono sotto la sua autorità.

In poche parole, gli adempimenti che riguardano il whistleblowing non fanno che approfondire e radicalizzare quanto già previsto dal Gdpr, adattandolo a un contesto per certi versi ancora più delicato. Il rispetto dei dettami fin qui ripercorsi, quindi, è rilevante non solo sotto il profilo formale, posto che eventuali gap nell’implementazione delle misure saranno sanzionabili con multe fino a 20 milioni di euro o fino al 4% del fatturato annuo, ma anche da un punto di vista sostanziale.

Assicurarsi che la protezione dei dati degli interessati sia garantita anche nel contesto del whistleblowing rappresenta un punto di forza per ciascuna società, che potrà essere certa di svolgere le operazioni di trattamento in sicurezza, evitando conseguenze negative per la gestione del dato, ma anche possibili data breach potenzialmente molto dannosi per la sua reputazione, nonché reclami davanti al Garante e possibili azioni giudiziali.