A seguito della pubblicazione in Gazzetta Ufficiale della Legge 30 novembre 2017, n. 179 recante "Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato"^[1], sono state previste misure di tutela per i lavoratori appartenenti al settore privato che denunciano reati o irregolarità di cui siano venuti a conoscenza nell'ambito del rapporto di lavoro.

Rinviando per ulteriori approfondimenti alla nostra precedente newsletter sul tema^[2], riportiamo di seguito alcune brevi note sulle implicazioni che la disciplina del whistleblowing pone in relazione alla tematica della protezione dei dati personali.

L'argomento è oggetto di attenzione da tempo, infatti, già nel 2009 il Garante per la protezione dei dati personali italiano aveva sollecitato il Parlamento e il Governo ad adottare un provvedimento normativo "volto a fornire un'idonea e sistematica base normativa nonché a disciplinare i profili di interferenza di tale fenomeno con la disciplina di protezione dei dati personali contenuta nel decreto legislativo 30 giugno 2003, n. 196" ^[3].

In considerazione delle modifiche apportate al D.Lgs. 231/01 e qui in commento, lo scenario normativo di partenza è in parte mutato rispetto a quanto attentamente osservato dal Garante nella sua segnalazione, pertanto, si può iniziare col sostenere che appare legittimo ritenere che il trattamento dei dati personali e/o sensibili oggetto di segnalazione avvenga, seppur in assenza di consenso, in virtù di quanto previsto dall'art. 24, co. 1, lett. a), D.Lgs. 196/2003.

Del pari, la novella legislativa sembra soddisfare, limitatamente al perimetro della normativa richiamata nei suoi articoli, anche la necessità di definire "l'ambito soggettivo di applicazione della disciplina e le finalità che si intendono perseguire"^[4]:

• la disciplina si applica agli enti che hanno adottato un modello organizzativo ex D.Lgs. 231 e ai loro dipendenti;
• "coloro che possono assumere la qualità di soggetti segnalati" ^[5], sono i destinatari del modello organizzativo;
• con riferimento alle "finalità che si intendono perseguire e le fattispecie oggetto di possibile denuncia da parte dei segnalanti" ^[6], si può richiamare la necessità di individuare "condotte illecite, rilevanti ai sensi del presente decreto e fondate su elementi di fatto precisi e concordanti, o violazioni del modello".

Restano, invece, privi di disciplina gli aspetti legati alla definizione della "portata del diritto di accesso previsto dall'art. 7 del Codice da parte del soggetto al quale si riferisce la segnalazione (interessato), con riguardo ai dati identificativi dell'autore della segnalazione (denunciante)" e al trattamento delle segnalazioni anonime, salvo non voler ritenere quest'ultimo profilo coperto dal vago concetto di "garanzia della riservatezza dell'identità del segnalante".

Passando, invece, alla corretta adozione e attuazione dei c.d. whistleblowing schemes in conformità con le vigenti (fino al 25 maggio 2018) norme europee sulla protezione e sul trattamento di dati personali, giova richiamare quanto indicato dal Gruppo per la tutela dei dati personali^[7] (il "WP29") nel Parere 1/2006 nel quale sono svolti approfondimenti in merito all' applicazione dei principi relativi alla qualità dei dati e di proporzionalità del trattamento, all'obbligo di fornire informazioni chiare e complete sulla procedura, ai diritti del soggetto denunciato, alla sicurezza dei trattamenti che la procedura deve garantire e alle modalità di gestione delle procedure stesse ^[8].

Ulteriori riflessioni e spunti in materia sono stati recentemente forniti dalla European Data Protection Supervisor nelle sue "Guidelines on processing personal information within a whistleblowing procedure" (le "Guidelines") pubblicate nel luglio 2016 e con le quali sono state dettate indicazioni per la creazione di "whistleblowing schemes" da parte di Istituzioni e Pubbliche Amministrazioni così come previsto dal Regolamento (CE) n. 45/2001^[9]. Le Guidelines contengono una lista di raccomandazioni che devono essere seguite affinché le istituzioni siano "compliant" con le disposizioni contenute nel Regolamento 45/2001. In particolare, è richiesto che il whistleblowing scheme preveda:

• canali di comunicazione interna ed esterna con specifica definizione delle finalità delle segnalazioni;
• garanzie adeguate sulla riservatezza delle informazioni ricevute e sulla protezione dell'identità dei segnalatori e di tutte le altre persone coinvolte;
• la corretta applicazione del principio della minimizzazione del trattamento dei dati;
• che cosa si intende per "informazioni personali" e chi siano le persone interessate al fine di determinare il loro diritto di informazione, accesso e rettifica;
• una procedura a due fasi, la prima per informare genericamente ogni categoria di soggetti interessati sulle modalità di trattamento dei loro dati e la seconda maggiormente dettagliata per quei soggetti direttamente coinvolgi nella specifica segnalazione;
• periodi di conservazione dei dati proporzionati a ciascun singolo caso di segnalazione; e
• misure organizzative e tecniche di sicurezza basate su un'adeguata valutazione dei rischi.

Le osservazioni sopra riportate diventano ancora più attuali in considerazione dell'ormai prossima entrata in vigore del Regolamento (UE) 2016/679 (il "GDPR") alla luce del quale il whistleblowing scheme dovrà:

• definire esaustivamente i ruoli attribuiti ai vari attori coinvolti nella procedura anche dal punto di vista del cd. organigramma privacy;
• garantire adeguate misure di sicurezza del dato personale e/o sensibile trattato;
• in caso di intervento di soggetti esterni, la nomina di un responsabile esterno con contratti scritti in linea con i nuovi standard normativi;
• in caso di multinazionali, disciplinare le modalità di eventuali trasferimenti di dati tra Stati extra-europei;
• rispettare i principi in materia di data retention; e
• disciplinare il diritto di accesso del segnalato agli atti.

^[1] La legge è stata pubblicata in G.U. n. 291 del 14 dicembre 2017 ed entrerà in vigore il 29 dicembre 2017.

^[2] Si veda la precedente newsletter [https://www.orrick.com/Insights/2017/11/Whistleblowing-approvata-la-Legge].

^[3] Garante per la Protezione dei Dati Personali, Segnalazione al Parlamento e al Governo sull'individuazione, mediante sistemi di segnalazione, degli illeciti commessi da soggetti operanti a vario titolo nell'organizzazione aziendale, 10 dicembre 2009, doc. web n. 1693019 sul sito www.garanteprivacy.it/.

^[4] Ibidem.

^[5] Ibidem.

^[6] Ibidem.

^[7] Il Gruppo è stato costituito in applicazione dell'art. 29 della direttiva 95/46/CE, in quanto organismo europeo indipendente con finalità consultive che si occupa di protezione dei dati e di riservatezza.

^[8] Per approfondimenti sul tema si rinvia al position paper di AODV231, Il Whistleblowing, Novembre 2015, http://www.aodv231.it/images/pdf/1787-10-Position%20Paper_Il%20Whistleblowing.pdf.

^[9] Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, pubblicato sulla Gazzetta Ufficiale dell'Unione Europea n. L 008 del 12 gennaio 2001.