WHISTLEBLOWING: UNA SOFFIATA SUGLI ILLECITI

whistleblowing una soffiata sugli illeciti

La legge 179/2017 ha introdotto nel nostro ordinamento specifiche disposizioni a tutela degli autori di segnalazioni di reati o di irregolarità di cui siano venuti a conoscenza nell’ambito del rapporto di lavoro pubblico o privato. Una disciplina ampliata dalla recente adozione della Direttiva UE sulla protezione degli informatori nell’ambito del c.d. Whistleblowing.

1. LA SOFFIATA CONTRO IL PRESIDENTE TRUMP: UN CASO RECENTE DI WHISTLEBOWING

Il 31 ottobre 2019 la Camera Statunitense ha dato il via libera alla procedura di impeachment annunciata il precedente 24 settembre dalla speaker della Camera, Nancy Pelosi, nei confronti del Presidente degli Stati Uniti d’America.

Il motivo?  Il Presidente americano, nel corso di una telefonata de 25 luglio scorso, avrebbe esercitato pressioni sul Presidente ucraino Zelensky, affinché indagasse sul figlio di Joe Biden, vale a dire uno dei possibili rivali nella corsa alla Casa Bianca del 2020. In cambio sarebbe stato promesso lo sblocco di 400 mln di dollari in aiuti militari.

La fonte? Un whistleblower, protetto dall’anonimato, venuto a conoscenza della telefonata trascritta per ragioni di servizio – sarebbe un ex agente della CIA.

Se lo stato di accusa costituisce solo il primo passo di un lungo percorso, colpisce, fin d’ora, il peso attribuito alla “soffiata” e la necessità di mantenere anonima la “spia”.

2. WHISTLEBLOWING: COSA SIGNIFICA E CHI PUÓ SEGNALARLO?

WHISTLEBLOWING, termine di origine americana, letteralmente “soffiare nel fischietto”, coniato nel 1971 quando Daniel Ellsberg consegnò al The New York Times i cosiddetti Pentagon Papers, documenti che dimostravano come gli Stati Uniti avessero ampliato in segreto la portata delle azioni di guerra in Vietnam. Altra epoca rispetto a quella attuale in cui si è assistito alle rivelazioni di Julian Assange, di Edward Snowden, di Chelsea Manning e che ha visto la affermazione di WikiLeaks come baluardo della verità

Whisleblower può essere definito il soggetto che segnala illeciti di interesse collettivo, posti in essere all’interno di un Governo, di Enti pubblici o privati e dei quali sia venuto a conoscenza per ragioni di servizio.

Si badi bene, il Whistleblower non è un investigatore.

Pertanto, si è di fronte al fenomeno descritto quando la rivelazione non autorizzata, da una parte è di interesse generale, quindi non soggettivo o strettamente personale, e dall’altra quando il soggetto informatore è venuto a conoscenza dell’illecito durante lo svolgimento della propria attività lavorativa, come un insider, (per maggiori approfondimenti, G. Ziccardi e P. Perri in “Tecnologia e diritto”, vol. III, Giuffrè, Milano 2019).

Edward Snowden, uno dei più celebri whistleblower, salito agli onori della cronaca per aver dato il via, con le sue rivelazioni ha dato il via ad un vero e proprio scandalo sulla sorveglianza di messo in atto in maniera indiscriminata da alcuni governi e all’insaputa dei cittadini.

3. E IN ITALIA? QUALE NORMA A TUTELA DEL WHISTLEBLOWER?

La soffiata per smascherare un reato o una pratica contraria alla legge, non era sconosciuta all’ordinamento, ma il fenomeno, con la globalizzazione e con internet, si è espanso notevolmente, per cui al fine di adeguare la normativa ai tempi, alle convenzioni europee e internazionali e soprattutto alle esigenze di tutela del segnalatore, il 29.12.2017 è entrata in vigore la L. n. 179 che ha introdotto “disposizioni a tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”.

Nel pubblico la Legge 179/2017 è intervenuta, modificando l’art. 54 bis del D.lgs 165/2001 (Testo Unico sul Pubblico Impiego), mentre in ambito privato sono stati aggiunti all’art. 6 del D.lgs 231/2001 i commi n. 2 bis, 2 ter e 2 quater.

La ratio della norma è evidente come il suo scopo.

E’ necessario garantire effettiva ed efficace tutela ai soggetti segnalanti, impedire che subiscano qualsiasi forma di ritorsione collegata alla denuncia di un illecito anche solo potenziale.

Una protezione non più confinata nel settore pubblico, ma estesa anche al settore privato.

Il dipendente, pubblico o privato, che segnala una irregolarità non può essere sanzionato, demansionato, licenziato o sottoposto ad altre misure che abbiano in concreto effetti negativi sul lavoratore.

I dati del fenomeno non sono trascurabili. Le segnalazioni di illeciti sono state due al giorno nel 2018 (783), il doppio rispetto a quelle del 2017. Nel primo semestre del 2019 le segnalazioni sono state 439, (fonte: quarto rapporto ANAC sul Whistleblowing).

L’ANAC registra, nel suo quarto rapporto, un trend in crescita sul fronte delle segnalazioni mensili.

4. A CHI FARE LA SEGNALAZIONE?

Preposti a ricevere le soffiate sono anzitutto il Responsabile della Prevenzione della Corruzione e della Trasparenza (Art. 1 l. 190/2012), in alternativa l’ ANAC (Autorità Nazionale Anticorruzione) o l’Autorità giudiziaria ordinaria.

Gli Enti, si dovranno dotare di apposite procedure per garantire l’effettiva gestione di eventuali segnalazioni. Inoltre dovrà essere garantito l’ANONIMATO del segnalante, la cui identità non può essere rivelata.

5. L’IMPATTO SULLE AZIENDE PRIVATE

5a. IL WHISTLEBLOWING NEI MODELLI ORGANIZZATIVI 231.

Soffermando l’attenzione sul settore privato, l’obiettivo è di rendere le aziende – quelle che già si sono dotate dei cosiddetti “Modelli 231”, (MOG) – , capaci di gestire in maniera idonea la segnalazione di un illecito.

In particolare, sono stati previsti strumenti finalizzati ad:

  1. offrire appositi canali per consentire ai soggetti di presentare, a tutela dell’integrità aziendale, segnalazioni circostanziate di condotte illecite rilevanti ai sensi del D.lgs 231/2001 (art. 6). I fatti segnalati dovranno fondarsi su elementi precisi e concordanti. Il fine non è soggettivo, ma è la tutela dell’interesse generale;
  2. ogni canale deve poter garantire la riservatezza, l’anonimato della identità del segnalante; pertanto dovrà essere previsto anche un o più canali alternativi;
  3. impedire atti di ritorsione o atti discriminatori nei confronti dei whistleblowers;  è affetto da nullità il licenziamento ritorsivo o discriminatorio del segnalante;
  4. stabilire un apposito regime sanzionatorio per chi viola i divieti di cui sopra, ma anche nei confronti di chi effettua con dolo o colpa grave segnalazioni poi rivelatesi infondate.

Il primo passo si realizza con la modifica/integrazione dei modelli di organizzazione e gestione.

Un ruolo chiave è rivestito dall’Organismo di Vigilanza (ODV) istituito all’interno delle realtà aziendali, il quale avrà il compito di sovraintendere alla integrazione dei Modelli e, soprattutto, di supportare la società nella predisposizione di una procedura specifica, verificando l’adeguatezza dei canali informativi, appurando che sia data una idonea formazione ai dipendenti ed una informativa esauriente circa la corretta segnalazione delle irregolarità o dei reati ed infine, accertando che sia garantita la riservatezza dei segnalanti.

In ambito privato, l’ODV sembra essere il destinatario naturale e principale delle segnalazioni effettuate dai whistleblowers, purché preservi le essenziali caratteristiche di indipendenza e autonomia rispetto all’Ente.

5.b IL WHISTLEBLOWING E LA PROTEZIONE DEI DATI PERSONALI (GDPR)

La disciplina del Whistleblowing ha trovato nel nuovo Regolamento europeo 679/2016, GDPR, un alleato necessario, dal momento che obiettivo centrale di entrambe le discipline normative è quella di garantire la protezione dei dati, in questo caso la riservatezza delle identità, sia del lavoratore segnalante, sia del presunto autore della violazione.

L’ente dovrà essere perciò in grado di garantire l’anonimato del whistleblower in tutti i passaggi che si susseguono nella gestione della segnalazione e, sulla scorta del principio di responsabilizzazione imposto dal GDPR, limitare al massimo l’esposizione del dato a fattori di rischio, nonché il potenziale impatto sui soggetti interessati.

La soffiata non deve provocare né la caccia alla spia, né l’isolamento preventivo di chi sia stato segnalato, prima di un doveroso accertamento dei fatti e delle responsabilità.

Secondo le indicazioni fornite dal Garante e dall’EDPS (European Data Protection Supervisor), l’azienda titolare del trattamento che abbia già adottato un Modello 231 e che volesse dotarsi di un proprio sistema di Whistleblowing deve seguire alcuni step:

  • effettuare una valutazione di impatto che tenga conto delle misure tecniche e organizzative già implementate dalla società Titolare per comprendere se il rischio per i diritti e le libertà delle persone fisiche coinvolte in un eventuale procedimento di whistleblowing sia stato adeguatamente mitigato;
  • adottare una specifica policy (c.d. whstle-blowing policy) fondata sul principio di trasparenza per informare i dipendenti e i potenziali interessati delle finalità e delle modalità del trattamento dei loro dati in sede di whistleblowing;
  • integrare il Registro dei Trattamenti con l’ipotesi specifica del trattamento dei dati in caso di whistleblowing (ex art. 30 GDPR);
  • se è previsto il trasferimento dei dati personali extra UE (ad esempio ci si affida a società esterne di whistleblowing), rafforzare le tutele – qualora necessario – in apposite clausole a margine delle nomine a responsabile (ex art. 28 GDPR);
  • disciplinare in maniera dettagliata e con tempi certi il diritto di accesso degli interessati;
  • definire una policiy di data retention che preveda un periodo di conservazione dei dati molto ristretto, in relazione al tempo che si ritiene strettamente necessario per concludere l’indagine dei fatti segnalati (es. 2 mesi), con eliminazione successiva di ogni dato superfluo;
  • informare gli interessati su eventuali limitazioni dei diritti giustificate dalle finalità del whistleblowing (si pensi all’ipotesi di notifica di apertura delle indagini nei confronti della persona segnalata dal whistleblower; una tale procedure potrebbe infatti mettere a rischio l’efficacia dell’intera procedura);
  • definire la governance della procedura di whistleblowing, designando le persone autorizzate a gestire l’intero proce per le operazioni di gestione del processo di segnalazione.

Trattandosi di segnalazioni di condotte costituenti verosimilmente fattispecie di reato, in via generale il titolare, nel corso della procedura, sarà legittimato a trattare i dati personali per adempiere ad un obbligo di legge; in taluni casi, e in via residuale, potrebbe ricorrere anche ll legittimo interesse del Titolare o di un terzo (si pensi a chi potrebbe essere coinvolto anche marginalmente nel fatto segnalato).