Il punto sullo Schema di decreto di recepimento Direttiva whistleblowing

Alla data della presente pubblicazione, lo Schema ha ricevuto l’avallo dell’Autorità nazionale anticorruzione (“ANAC”) e del Garante per la protezione dei dati personali (“Autorità”) ma non di tutte le Commissioni Parlamentari, il cui parere era atteso entro il 19 gennaio 2023.

Sebbene l’articolo 31, comma 3, della L. 234/2012 – richiamato dalla legge di delegazione n. 127/2022 - disponga che «decorsi quaranta giorni dalla data di trasmissione, i decreti sono emanati anche in mancanza del citato parere» l’orientamento sembrerebbe quello di attendere le Commissioni Parlamentari.

Con lo Schema, si è inteso raccogliere in un unico testo normativo la disciplina relativa alla tutela del whistleblower (“Segnalante”), tenendo conto delle previsioni legislative vigenti e di quelle da adottare per conformarsi alla Direttiva. 

Lo Schema, rispetto alla DWB, ha ampliato sia il campo di applicazione materiale estendendolo anche alle segnalazioni relative a violazioni del diritto interno, sia il campo di applicazione soggettivo nonché le condizioni in presenza delle quali è obbligatoria l’implementazione di un sistema whistleblowing.

Spesso, si pensa al whistleblowing come ad un processo di compliance 231, con alcuni risvolti lavoristici legati alle potenziali ritorsioni nei confronti dei lavoratori, trascurando gli aspetti di protezione dei dati personali legati a tale processo. 

Un processo di segnalazioni whistleblowing presenta invece diverse implicazioni a livello di protezione dei dati personali. Lo stesso Schema – come peraltro anche la DWB – contiene riferimenti indiretti e rinvii espliciti al Regolamento (UE) 2016/679 (“GDPR”) e alla normativa applicabile in materia di protezione dei dati. 

Lo Schema non manca di evidenziare gli aspetti di protezione dei dati personali rilevanti nel processo di whistleblowing.

Gli articoli 4 e 5 dello Schema disciplinano – inter alia - le  condizioni per tutelare la riservatezza (anche mediante il ricorso alla crittografia) del segnalante, delle persone coinvolte e menzionate nella segnalazione, nonché del contenuto delle stesse segnalazioni.

L’articolo 12 dello Schema specifica – con riferimento alla rilevazione dell’identità del Segnalante anonimo -  che “le segnalazioni non possono essere utilizzate oltre quanto necessario per dare adeguato seguito alle stesse” con espresso divieto di rivelazione - a persone diverse da quelle specificamente autorizzate - dell'identità del segnalante, in assenza del suo consenso espresso. 

Inoltre, le ragioni che rendono necessarie la rivelazione dei dati riservati devono essere comunicate per iscritto al segnalante.

L’articolo 14 dello Schema specifica che “le segnalazioni, interne ed esterne, e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione”, ai sensi dell’articolo 5, paragrafo 1, lettera e) del GDPR.

L'articolo 13 dello Schema disciplina il trattamento dei dati personali, sancendo una clausola di generale conformità al GDPR. In particolare, con riferimento ai ruoli, i soggetti del settore pubblico e i soggetti del settore privato, che effettuano tale trattamento, sono titolari del trattamento. 

Se tali soggetti condividono risorse per il ricevimento e la gestione delle segnalazioni, determinando in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi in materia di protezione dei dati personali, ai sensi dell’art. 26 del GDPR, si qualificano come contitolari del trattamento.

Sempre l’articolo 13 impone anche l'obbligo di procedere alla valutazione d'impatto sulla protezione dei dati e di astenersi dal raccogliere (con immediata cancellazione in caso di raccolta accidentale) i dati personali manifestamente non utili alla gestione di una specifica segnalazione. Inoltre, i diritti di cui agli articoli da 15 a 22 del GDPR possono essere esercitati nei limiti dell'articolo 2-undecies del D.Lgs. 196/2003, come modificato del D.Lgs. 101/2018 (“Codice Privacy”).

A seguito del parere richiesto dalla Presidenza del Consiglio dei ministri, l’Autorità si è espressa in senso favorevole sul testo dello Schema con provvedimento dell’11 gennaio 2023. 

In particolare, l’Autorità ha ritenuto accolte tutte le indicazioni fornite al Governo, nell'ambito dei lavori preliminari alla stesura del testo normativo, con particolare riguardo alla nozione di violazione, al perfezionamento degli obblighi di riservatezza, all'integrazione della disciplina sul trattamento dei dati con particolare riferimento ai ruoli delle parti, alla revisione del termine massimo di conservazione della documentazione, in combinato con la durata media del termine prescrizionale, all’obbligo di adozione di adeguate misure volte a garantire la riservatezza dell'identità degli interessati, nonché all’obbligo di novellare la disposizione di cui all'articolo 2-undecies, c. I, lett. f), del Codice Privacy.

Oltre agli adempimenti in materia di protezione dei dati personali di cui allo Schema si aggiungono quelli di cui alle previsioni del GDPR quali – a mero titolo esemplificativo e non esaustivo:

Nell’attesa di sviluppi sull’iter di approvazione da parte delle Commissioni Parlamentari e sul testo dello Schema definitivo, i titolari del trattamento sono chiamati ad avviare quanto prima la definizione del processo in ottica di privacy by design & by default e a porre in essere gli adempimenti necessari per non farsi trovare impreparati.