La nuova normativa Whistleblowing

Autore: di Marzia Marconcini – avvocato, consulente privacy

Descrizione: Whistleblowing: dall’UE una tutela rafforzata per chi segnala violazioni che minacciano o pregiudicano l’interesse pubblico riscontrate in ambito lavorativo

Data: 17/12/2023

Con il D.lgs. 10 marzo 2023 n. 24 è stata recepita in Italia la Direttiva 2019/1937 del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione normativa volta a garantire un elevato livello di protezione a coloro che segnalano minacce o pregiudizi al pubblico interesse di cui sono venuti a sapere nell’ambito delle loro attività professionali.

Di seguito si fornisce un’analisi sintetica delle novità, degli obblighi, degli adempimenti e delle sanzioni introdotte da questa nuova normativa.

La ratio della nuova normativa

Il legislatore europeo ha preso spunto dalla considerazione che chi che lavora all’interno di un’organizzazione, pubblica o privata, o che, pur non facendo parte della compagine interna, ha comunque un qualsiasi tipo di rapporto per ragioni di lavoro con essa, è probabilmente la persona che per prima può venire a conoscenza di minacce o pregiudizi per l’interesse pubblico sorti in tale contesto lavorativo, divenendo, perciò, il soggetto naturalmente destinato ad assumere il ruolo di segnalatore (whistleblower). Si è trovato, tuttavia, a rilevare che, in concreto, queste persone esitano nell’effettuare tali segnalazioni per timore di possibili ritorsioni, che potrebbero addirittura estendersi a colleghi e familiari.

Da qui, la necessità di predisporre una protezione rafforzata, finalizzata a dare fiducia all’informatore, così come a garantire adeguata tutela avverso ogni pratica ritorsiva.

L’ambito di applicazione oggettivo della normativa whistleblowing

La normativa whistleblowing si applica alle violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui il segnalatore sia venuto a conoscenza in un contesto lavorativo pubblico o privato.

Il legislatore europeo ha indicato un elenco di settori a cui si applica la normativa (recepito dal D.lgs. 24/2023):

  1. i) appalti pubblici;
  2. ii) servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo;

iii) sicurezza e conformità dei prodotti;

  1. iv) sicurezza dei trasporti;
  2. v) tutela dell’ambiente;
  3. vi) radioprotezione e sicurezza nucleare;

vii) sicurezza degli alimenti e dei mangimi e salute e benessere degli animali;

viii) salute pubblica;

  1. ix) protezione dei consumatori;
  2. x) tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi.

Ad essi si aggiungono le violazioni che consistono in condotte illecite rilevanti ai sensi del D.lgs. 8 giugno 2001, n. 231, o le violazioni dei modelli di organizzazione e gestione ivi previsti; le violazioni che ledono gli interessi finanziari dell’Unione di cui all’articolo 325 del TFUE; le violazioni delle norme dell’Unione in materia di concorrenza e di aiuti di Stato; le violazioni della normativa in materia di imposta sulle società o i meccanismi il cui fine è ottenere un vantaggio fiscale che vanifica l’oggetto o la finalità della normativa applicabile in materia di imposta  sulle società.

Sono esclusi dall’applicazione della normativa whistleblowing:

– le contestazioni, rivendicazioni o richieste legate ad un interesse di carattere personale della persona segnalante o della persona che ha sporto una denuncia all’autorità giudiziaria o contabile che attengono esclusivamente ai propri rapporti individuali di lavoro o di impiego pubblico, ovvero inerenti ai propri rapporti

di lavoro o di impiego pubblico con le figure gerarchicamente sovraordinate;

– le segnalazioni già disciplinate nei settori indicati nella parte II dell’Allegato al D.Lgs. 24/2023;

– le segnalazioni nei seguenti settori:

– difesa nazionale e sicurezza pubblica;

– informazioni classificate;

– segreto professionale forense e medico;

– segretezza delle deliberazioni degli organi giurisdizionali;

– autonomia della magistratura e del Consiglio Superiore della Magistratura;

– norme di procedura penale;

– diritto sindacale;

Attualmente non rientra nell’applicazione della normativa anche la materia della sicurezza sui luoghi di lavoro.

L’ambito di applicazione soggettivo

La nuova normativa si applica alle persone segnalanti che lavorano nel settore privato o pubblico che hanno

acquisito informazioni sulle violazioni in un contesto lavorativo, tra i quali:

  1. a) le persone aventi la qualità di lavoratore, compresi i lavoratori a tempo parziale e a tempo indeterminato, gli interinali, e, in generale, tutti coloro che, per un certo periodo di tempo, forniscono prestazioni a favore e dotto la direzione di terzi in cambio di una retribuzione, compresi i dipendenti pubblici;
  2. b) le persone aventi la qualità di lavoratore autonomo, compresi i lavoratori autonomi che prestano servizi, i lavoratori indipendenti, i contraenti, i subappaltatori e i fornitori, che sono generalmente esposte a ritorsioni che possono, per esempio, prendere la forma di risoluzione o annullamento del contratto di servizi, della licenza o del permesso, perdita di opportunità commerciali, perdita di reddito, coercizione, intimidazioni o vessazioni, inserimento nelle liste nere o boicottaggio o danni alla reputazione;
  3. c) gli azionisti e i membri dell’organo di amministrazione, direzione o vigilanza di un’impresa, compresi i membri senza incarichi esecutivi, i volontari e i tirocinanti, retribuiti e non retribuiti;
  4. d) qualsiasi persona che lavora sotto la supervisione e la direzione di appaltatori, subappaltatori e fornitori.
  5. e) le persone segnalanti qualora segnalino o divulghino informazioni sulle violazioni acquisite nell’ambito di un rapporto di lavoro nel frattempo terminato.
  6. f) le persone segnalanti il cui rapporto di lavoro non è ancora iniziato nei casi in cui le informazioni riguardanti una violazione sono state acquisite durante il processo di selezione o altre fasi delle trattative precontrattuali.

 

Le misure intese a proteggere le persone segnalanti si applicano, se necessario, anche a:

  1. a) facilitatori;
  2. b) terzi connessi con le persone segnalanti e che potrebbero rischiare ritorsioni in un contesto lavorativo, quali colleghi o parenti delle persone segnalanti; e
  3. c) soggetti giuridici di cui le persone segnalanti sono proprietarie, per cui lavorano o a cui sono altrimenti connesse in un contesto lavorativo.

 

 

Tipologie di segnalazioni

La Dir. 1937/2019, e, con essa, il D.lgs. 24/2023, individuano tre diversi canali di segnalazione attraverso i quali le segnalazioni possono essere effettuate: interno, esterno e tramite divulgazione pubblica.

Il legislatore europeo esprime espressamente il proprio favore verso le segnalazioni effettuate tramite il canale interno, perché Studi empirici mostrano che la maggior parte degli informatori tende a effettuare segnalazioni all’interno dell’organizzazione presso la quale lavora. La segnalazione interna è anche il modo migliore per far giungere le informazioni alle persone che possono contribuire ad affrontare in modo rapido ed efficace i rischi per il pubblico interesse (Considerando 33). Tuttavia, non esclude che le persone possano preferire il canale esterno, tramite il quale la segnalazione perviene direttamente all’autorità competente e al quale, in ogni caso, è possibile accedere in caso di assenza o mancato funzionamento del canale interno, o anche la divulgazione pubblica, strumento utile in caso di necessità di interventi urgenti o sospetti di collusioni e connivenze tra il segnalato e i soggetti incaricati della gestione dei canali di segnalazione, gli organi di vertice dell’organizzazione segnalata o, addirittura, l’autorità di controllo.

Organizzazioni pubbliche e private obbligate a dotarsi di un canale di segnalazione interno

Devono obbligatoriamente dotarsi di un sistema di segnalazione interna:

 

  1. a) tra i «soggetti del settore pubblico»
  • le Amministrazioni pubbliche di cui all’art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165,
  • le Autorità amministrative indipendenti di garanzia, vigilanza o regolazione,
  • gli enti pubblici economici,
  • gli organismi di diritto pubblico di cui all’articolo 3, lettera d), del decreto legislativo 18 aprile 2016, n. 50,
  • i concessionari di pubblico servizio,
  • le società a controllo pubblico e
  • le società in house.

I comuni diversi dai capoluoghi di provincia possono condividere il canale di segnalazione interna e la relativa gestione.

  1. b) tra «soggetti del settore privato», i soggetti diversi da quelli rientranti nella definizione di soggetti del settore pubblico i quali:
  • hanno impiegato, nell’ultimo anno, una media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • rientrano nell’ambito di applicazione degli atti dell’Unione di cui all’allegato, parti I.B e parte II, del D.Lgs.24/2023 (cioè, i soggetti che operano nei settori individuati come rilevanti ai fini dell’applicazione della normativa whistleblowing) anche se nell’ultimo anno non hanno raggiunto la media di 50 lavoratori subordinati;
  • rientrano nell’ambito di applicazione del D.lgs. 231/2001 e adottano modelli di organizzazione e gestione, anche se nell’ultimo anno non hanno raggiunto la media di 50 lavoratori subordinati.

I soggetti del settore privato che hanno impiegato nell’ultimo anno una media di non più di 249 dipendenti a tempo indeterminato o a termine possono condividere le risorse per il ricevimento delle segnalazioni interne e per l’eventuale istruttoria da svolgere.

Procedure per la segnalazione interna

Le procedure per le segnalazioni interne devono anzitutto utilizzare canali per ricevere le segnalazioni progettati, realizzati e gestiti in modo sicuro e tale da garantire la riservatezza dell’identità della persona segnalante e la protezione degli eventuali terzi citati nella segnalazione e da impedire l’accesso da parte del personale non autorizzato.

In secondo luogo, la persona o il servizio imparziale competente per raccogliere e dare seguito alle segnalazioni, che potrebbe essere la stessa persona o lo stesso servizio che riceve le segnalazioni, e che, se necessario, possono tenere interlocuzioni con il segnalante e chiedergli di fornire ulteriori informazioni.

La persona o il servizio designati è a dare avviso del ricevimento della segnalazione alla persona segnalante entro sette giorni a decorrere dal ricevimento stesso.

Da tale termine decorre un periodo di tre mesi, entro il quale la persona o il servizio designati deve dare seguito diligente alla segnalazione.

Al termine dei tre mesi, la persona o il servizio designato deve dare riscontro al segnalante circa l’esito della procedura.

Di tutto quanto sopra deve essere fornita adeguata informativa a tutti gli interessati, non solo ai lavoratori interni all’organizzazione, ma anche ai soggetti esterni sopra individuati, che possono conoscere eventuali violazioni in ragione del loro rapporto di lavoro con l’organizzazione. Detta informativa deve contenere anche informazioni chiare e facilmente accessibili sulle procedure per effettuare segnalazioni esterne alle autorità competenti e, se l’organizzazione possiede un sito web, deve essere pubblicata in una sezione facilmente individuabile del medesimo.

Procedure per la segnalazione esterna

Il legislatore europeo dispone che gli stati membri individuino le autorità competenti, cui assegnare l’organizzazione e la gestione dei canali di segnalazione esterni.

In Italia l’organizzazione e la gestione del canale di segnalazione esterno sono demandate all’ANAC-Agenzia Nazionale Anti Corruzione.

Trattamento dei dati personali

Ogni trattamento dei dati personali connesso alla gestione dei canali di segnalazione deve essere eseguito a norma del GDPR o del D.lgs. 51/2018.

I soggetti pubblici e privati che gestiscono i canali di segnalazione sono qualificati dalla normativa titolari del trattamento e devono pertanto:

– fin dalla progettazione delle procedure di gestione dei canali di segnalazione, rispettare i principi di cui all’art. 5 del GDPR e all’art. 3 del D.lgs.51/2018;

eseguire una Valutazione di Impatto sulla Protezione dei Dati Personali (c.d. DPIA);

– curare la formazione e conferire formale lettera di incarico ai dipendenti chiamati a gestire il canale di segnalazione, ai sensi dell’art. 29 GDPR e dell’art. 2-quaterdecies Codice Privacy;

– designare come responsabili del trattamento eventuali fornitori esterni che trattano dati personali per loro conto;

I diritti degli interessati di cui agli artt. 15-22 GDPR possono essere esercitati con la mediazione dell’Autorità Garante nei limiti di quanto previsto dall’articolo 2-undecies del Codice Privacy.

La segnalazione del whistleblower è sempre sottratta all’accesso documentale ed all’accesso civico.

Le misure di protezione

La nuova normativa prevede una serie di misure di protezione che comprendono:

  • l’obbligo di riservatezza in ordine all’identità del segnalante, salvaguardando anche i diritti di difesa della persona coinvolta/segnalata;
  • un generale divieto di ritorsione, riportando una casistica (esemplificativa e non esaustiva né tassativa) delle stesse fattispecie ritorsive comprensive anche dei danni reputazionali prevedendo contestualmente l’inversione dell’onere probatorio in ordine alla natura ritorsiva della condotta e al danno subito;
  • misure di sostegno in favore del segnalante, assicurate dagli enti del Terzo settore, che sono inseriti in elenchi tenuti dall’ANAC e che forniscono dette misure di sostegno, sulla base di convenzioni stipulate con la stessa autorità.

Violazioni per le quali sono previste sanzioni pecuniarie

Fermi restando gli altri profili di responsabilità, Ai sensi dell’art. 21 del d.lgs. n. 24/2023, ANAC applica al responsabile, sia nel settore pubblico che nel

settore privato, le seguenti sanzioni amministrative pecuniarie:

  1. a) da 10.000 a 50.000 euro quando accerta che la persona fisica individuata come responsabile abbia commesso ritorsioni;
  2. b) da 10.000 a 50.000 euro quando accerta che la persona fisica individuata come responsabile abbia ostacolato la segnalazione o abbia tentato di ostacolarla;
  3. c) da 10.000 a 50.000 euro quando accerta che la persona fisica individuata come responsabile abbia violato l’obbligo di riservatezza di cui all’art. 12 del d.lgs. n. 24/2023. Restano salve le sanzioni applicabili dal Garante per la protezione dei dati personali per i profili di competenza in base alla disciplina in materia di dati personali;
  4. d) da 10.000 a 50.000 euro quando accerta che non sono stati istituiti canali di segnalazione; in tal caso responsabile è considerato l’organo di indirizzo sia negli enti del settore pubblico che in quello privato;
  5. e) da 10.000 a 50.000 euro quando accerta che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni ovvero che l’adozione di tali procedure non è conforme a quanto previsto dal decreto; in tal caso responsabile è considerato l’organo di indirizzo sia negli enti del settore pubblico che in quello privato;
  6. f) da 10.000 a 50.000 euro quando accerta che non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute; in tal caso responsabile è considerato il gestore delle segnalazioni;
  7. g) da 500 a 2.500 euro, quando è accertata, anche con sentenza di primo grado, la responsabilità civile della persona segnalante per diffamazione o calunnia nei casi di dolo o colpa grave, salvo che la medesima sia stata già condannata, anche in primo grado, per i reati di diffamazione o di calunnia o comunque per i medesimi reati commessi con la denuncia all’autorità giudiziaria.

Compatibilmente con le disposizioni previste dal d.lgs. n. 24/2023, trova applicazione la L. n. 689/1981.

Torna in alto