Giovedì 1° dicembre, De Luca & Partners e HR Capital hanno organizzato un nuovo HR Breakfast.
I relatori Enrico De Luca, Partner di De Luca & Partners, Martina De Angeli, Associate di De Luca & Partners e Francesco Lofaro, Account Manager di HR Capital, hanno fatto il punto sul tema del Whistleblowing, con un focus normativo ed operativo sulla protezione delle persone che segnalano violazioni del diritto dell’Unione Europea, illustrando i prossimi adempimenti per i datori di lavoro.
“Chi lavora per un’organizzazione pubblica o privata o è in contatto con essa nello svolgimento della propria attività professionale è spesso la prima persona a venire a conoscenza di minacce o pregiudizi al pubblico interesse sorti in tale ambito. Nel segnalare una violazione tali persone (gli «informatori – i whistleblowers») svolgono un ruolo decisivo nella denuncia e nella prevenzione di tali violazioni e nella salvaguardia del benessere della società. Tuttavia, i potenziali informatori sono spesso poco inclini a segnalare inquietudini e sospetti nel timore di ritorsioni. In tale contesto, l’importanza di garantire una protezione equilibrata ed efficace degli informatori è sempre più riconosciuta sia dall’Unione Europea sia a livello internazionale.
Attualmente, le leggi sul whistleblowing sono in vigore su base nazionale più o meno in tutta l’Unione Europea ma, nella maggior parte degli Stati membri, le protezioni sono limitate, insufficienti o inesistenti.
Proprio in un contesto così frammentato, l’Unione Europea ha adottato nel 2019 la Direttiva 2019/1937 che disciplina “la protezione delle persone che segnalano violazioni del diritto dell’Unione” e si pone l’obiettivo di uniformare l’approccio esistente definendo norme minime comuni per proteggere gli informatori.
Lo scopo del legislatore europeo è quello di creare un quadro giuridico che preveda:
Info a: events@delucapartners.it
È in fase di definizione la riforma del c.d. Whistleblowing. Il Decreto Legislativo di recepimento della direttiva UE 2019/1937 “riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione” (la “Direttiva”) è quasi pronto e porterà con sé importanti novità rispetto alla disciplina entrata in vigore nel 2012 nel settore pubblico (Legge 6 novembre 2012, n. 190) e alla fine del 2017 in quello privato (Legge 30 novembre 2017, n. 179).
◊◊◊◊
Il 23 ottobre 2019 il Parlamento europeo e il Consiglio hanno adottato la Direttiva che detta le “norme minime comuni” atte a garantire una protezione efficace degli informatori (c.d. “whistleblowers”) negli ordinamenti degli Stati Membri. Ciò al fine di dare uniformità a normative nazionali assai eterogenee o frammentate nonché di valorizzare siffatto strumento.
Il 23 aprile scorso è stata pubblicata in Gazzetta Ufficiale la Legge n. 53/2021 (c.d. legge di delegazione europea) la quale si compone di 29 articoli, che recano disposizioni di delega per il recepimento di direttive europee e per l’adeguamento della normativa nazionale ad alcuni regolamenti UE.
Con tale legge il Parlamento ha, tra le altre, delegato il Governo ad adottare un decreto legislativo per il recepimento proprio della Direttiva. All’art. 23 della Legge in esame viene previsto che il Governo nell’esercizio della delega deve osservare i seguenti principi e criteri direttivi specifici:
La disciplina così posta è destinata ad incidere su quella nazionale. L’incidenza della nuova disciplina europea parrebbe riguardare, prima che il contenuto della tutela, la sua estensione. Infatti, nelle materie su cui venga ad applicarsi la Direttiva la tutela del segnalante (c.d. whistleblower) non prevede una differenziazione tra settore pubblico e settore privato, invece presente nella legge n. 179/2017.
Ciò premesso, entriamo nel dettaglio delle principali novità introdotte dalla Direttiva.
Nella Direttiva viene meglio definita la figura della persona segnalante e cioè la persona fisica che segnala o divulga informazioni sulle violazioni acquisite nell’ambito del proprio contesto lavorativo.
Vengono ricomprese all’interno di tale figura anche (i) i lavoratori autonomi che prestano la propria attività in favore di un soggetto del settore pubblico ovvero del settore privato, (ii) gli azionisti e i membri dell’organo di amministrazione, direzione o vigilanza di un’impresa, compresi i membri senza incarichi esecutivi, i volontari e i tirocinanti retribuiti e non retribuiti, nonché (iii) qualsiasi persona che lavora sotto la supervisione e la direzione di appaltatori, subappaltatori e fornitori.
Le misure protettive potranno estendersi, altresì, ai colleghi o parenti delle persone segnalanti ove sussista, a causa della segnalazione, il rischio di ritorsioni nel contesto lavorativo anche nei loro confronti.
In considerazione di quanto sopra esposto, l’ambito di applicazione personale risulta più esteso rispetto a quello della legge italiana e, pertanto, il novero dei soggetti informatori tutelati dovrebbe essere rivisto alla luce della nuova disciplina europea.
A differenza di quanto previsto nella Legge 179/2017, per l’applicazione delle protezioni previste a favore della persona segnalante non sarà necessario che le segnalazioni siano circostanziate su condotte illecite, rilevanti ai sensi del D.Lgs. 231/2001 e fondate su elementi di fatto precisi e concordanti.
Sarà sufficiente che la persona segnalante abbia avuto, al momento della segnalazione, il ragionevole motivo di ritenere che le informazioni segnalate fossero vere e che la segnalazione o divulgazione pubblica fosse necessaria per fare emergere una violazione di pubblico interesse rientrante nel campo di applicazione del decreto. I motivi posti alla base della segnalazione effettuata dalla persona segnalante sono, invece, considerati irrilevanti fini della sua protezione.
La Direttiva impone l’istituzione di canali di segnalazione interna prima di effettuare segnalazioni mediante canali di segnalazione esterna (ndr segnalazioni alle autorità designate dagli Stati Membri nonché a quelle competenti a livello europeo), “laddove la violazione possa essere affrontata efficacemente a livello interno e la persona segnalante ritenga che non sussiste il rischio di ritorsione”.
Le aziende con più di 50 dipendenti, indipendentemente dalla natura delle loro attività, nonché tutti i soggetti giuridici del settore pubblico, compresi quelli di proprietà o sotto il controllo degli stessi, dovranno dotarsi di canali di segnalazione interna. L’esenzione delle piccole e medie imprese da tale obbligo non si applica alle aziende che rientrano nel perimetro della disciplina antiriciclaggio e finanziamento al terrorismo.
Inoltre, a seguito di un’opportuna valutazione del rischio, è riconosciuta agli Stati membri la facoltà di esigere che anche società con un numero di dipendenti inferiore istituiscano canali di segnalazione interna in casi specifici.
Con particolare riferimento alle divulgazioni pubbliche di illeciti viene previsto nella Direttiva che la tutela del segnalante si attivi solo al ricorrere di una delle seguenti condizioni:
La divulgazione pubblica (a determinate condizioni) sopra citata non trova riscontro nella legge italiana.
Ai sensi della Direttiva, gli Stati membri debbono provvedere affinché, fatte salve specifiche eccezioni, l’identità della persona segnalante non sia divulgata, senza il suo consenso esplicito, a nessuno che non faccia parte del personale autorizzato competente a ricevere o a dare seguito alle segnalazioni. Altrettanto vale per qualsiasi altra informazione da cui si possa dedurre direttamente o indirettamente l’identità del segnalante.
Sempre ai sensi della Direttiva, gli Stati membri devono adottare le misure necessarie per vietare qualsiasi forma di ritorsione contro la personale segnalante, inclusi, tra le altre, il licenziamento, il mutamento di mansioni, la riduzione dello stipendio o la modifica dell’orario di lavoro e la comminazione di sanzioni disciplinari.
La raccolta e il trattamento dei dati dovranno essere effettuati nel rispetto di quanto previsto dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali.
I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione, secondo la Direttiva, non devono essere raccolti o, se raccolti accidentalmente, devono essere cancellati senza indugio.
Ai sensi della Direttiva, dovrebbero essere previste sanzioni elevate in capo a coloro che avranno atteggiamenti ostruzionistici nei confronti delle persone segnalanti. E sanzioni dovrebbero essere disposte anche contro le persone che segnalano o divulgano pubblicamente informazioni su violazioni che risultano scientemente false.
◊◊◊◊
Non resta che attendere la pubblicazione in Gazzetta del Decreto Legislativo di recepimento della Direttiva.
Altri insight correlati:
Il Quotidiano del Lavoro pubblica un articolo a firma di Vittorio De Luca, Antonella Iacobellis e Martina De Angeli a proposito di un recente provvedimento dell’Autorità Garante per la protezione dei dati personali, che sanziona un ateneo italiano per non aver adeguatamente tutelato, affidandosi alle procedure di sicurezza scelte dal proprio fornitore software, i dati personali di due whistleblowers.
Clicca qui per leggere il DLP insights relativo alla vicenda e le considerazioni dello Studio.
L’Autorità Garante per la protezione dei dati personali con il Provvedimento n. 17 del 23 gennaio 2020, nel sanzionare un Ateneo italiano per non aver adeguatamente tutelato la riservatezza dei dati identificativi di due soggetti – i whistleblowers – che avevano segnalato possibili comportamenti illeciti, ha ribadito la sussistenza dell’obbligo in capo al datore di lavoro “Titolare del trattamento” (ai sensi dell’articolo 4, del Regolamento UE 2016/679, il “GDPR”) di porre in essere misure tecniche ed organizzative adeguate a garantire la protezione dei dati personali trattati (cfr. Newsletter del Garante n. 462 del 18 febbraio 2020).
Nello specifico, all’epoca dei fatti, l’Ateneo nell’adeguarsi agli obblighi di adeguata tutela del dipendente che segnala condotte illecite dall’interno dell’ambiente di lavoro (il c.d. “whistleblowing” introdotto nell’ordinamento italiano con il decreto legislativo n. 165 del 30 marzo 2001), aveva scelto di utilizzare una soluzione tecnologica. In questo caso, per garantire la protezione dell’acquisizione e della gestione delle segnalazioni degli illeciti, l’Ateneo era ricorso all’utilizzo di una piattaforma software fornitagli da un soggetto terzo esterno rispetto all’organizzazione dell’Ateneo stesso.
Durante una modifica con contestuale aggiornamento della piattaforma software, si verificava una c.d. sovrascrittura dei permessi di accesso che aveva comportato l’esposizione dei dati personali dei due whistleblowers, su alcuni motori di ricerca accessibili e visualizzabili da chiunque effettuasse una ricerca tramite Internet.
A fronte di quanto sopra, l’Ateneo notificava all’Autorità Garante per la protezione dei dati personali una violazione – c.d. data breach – con la quale si denunciava la dispersione dei dati personali comuni dei due whistleblowers sulla rete pubblica, resi in tal modo potenzialmente consultabili da chiunque.
L’attività istruttoria, posta in essere dall’Autorità Garante per la protezione dei dati personali, ha rilevato che l’Ateneo non aveva adottato adeguati accorgimenti tecnici ed organizzativi finalizzati a garantire “le esigenze di sicurezza e riservatezza proprie della gestione dei dati nell’ambito delle procedure di whistleblowing”, non impostando, peraltro, una corretta procedura per il controllo degli accessi che avrebbe dovuto limitare il trattamento dei dati al personale autorizzato.
L’Ateneo, infatti, si era limitato a fare proprie le misure di sicurezza scelte dal fornitore del software. Tuttavia, predette misure di sicurezza non erano adeguate e idonee, non prevedendo accorgimenti quali la cifratura o l’adozione di un protocollo di comunicazione sicura delle informazioni e consentendo in tal modo la violazione della riservatezza e dell’integrità dei dati personali trattati e la non corretta conservazione e accessibilità degli stessi.
In particolare, l’Autorità Garante per la protezione dei dati personali sosteneva che “Con riguardo all’applicativo in questione, tenuto conto della natura, dell’oggetto e della finalità del trattamento nonché dell’elevato rischio per i diritti e le libertà dei segnalanti, la soluzione adottata dall’Ateneo non può essere considerata una misura tecnica adeguata a garantire la riservatezza e l’integrità dei dati trattati nonché l’autenticità del sito web visualizzato da parte dei soggetti che lo utilizzano sia come canale di invio delle segnalazioni (dipendenti, studenti, ecc.) che come strumento di gestione delle stesse (RPCT ed eventuali suoi collaboratori”.
Clicca qui per continuare a leggere l’articolo.
Il 26 novembre 2019 è stata pubblicata nella Gazzetta Ufficiale Europea la Direttiva del Parlamento Europeo e del Consiglio del 23 ottobre 2019, n. 1937/0/201 , riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione, in tema quindi di whistleblowing. Di particolare importanza, si rivelano le disposizioni della Direttiva che contemplano: – la creazione di canali sicuri di segnalazione. Si prevede infatti l’obbligo di creare canali di segnalazioni all’interno sia di organizzazioni pubbliche o private con oltre 50 dipendenti, sia di comuni con più di 10 mila abitanti (art. 8); – un’ampia platea di soggetti tutelati dalla Direttiva a cui è data la possibilità di effettuare segnalazioni: (i) lavoratore ai sensi dell’articolo 45, paragrafo 1, TFUE, compresi i dipendenti pubblici; (ii) lavoratore autonomo ai sensi dell’articolo 49 TFUE; (iii) dipendenti pubblici, azionisti e membri dell’organo di amministrazione, direzione o vigilanza di un’impresa (compresi i membri senza incarichi esecutivi); (iv) volontari e tirocinanti retribuiti e non retribuiti; (v) qualsiasi persona che lavora sotto la supervisione e la direzione di appaltatori, subappaltatori e fornitori; (vi) persone segnalanti qualora segnalino o divulghino informazioni sulle violazioni acquisite nell’ambito di un rapporto di lavoro nel frattempo cessato; (vii) persone segnalanti il cui rapporto di lavoro non è ancora iniziato nei casi in cui le informazioni riguardanti una violazione sono state acquisite durante il processo di selezione o altre fasi delle trattative precontrattuali (art. 4); – le misure di sostegno e di protezione 1) dei facilitatori, 2) dei terzi connessi con il whistleblower e che potrebbero rischiare ritorsioni in un contesto lavorativo (es: colleghi o parenti del whistleblower), 3) dei soggetti giuridici di cui il whistleblower sia proprietario, per cui lavori o a cui sia altrimenti connesso in un contesto lavorativo (art. 4). Si tratta di soggetti che potrebbero subire anche la cosiddetta “ritorsione indiretta” che si attua ad esempio con “l’annullamento della fornitura di servizi, l’inserimento in una lista nera o il boicottaggio”; – una gerarchia dei canali di segnalazione dando priorità e incoraggiando le segnalazioni attraverso i canali interni per poi ricorrere a quelli esterni, che le autorità pubbliche sono tenute a istituire (artt. 7 e 8); – la previsione di un termine di riscontro non superiore a 3 mesi dalla segnalazione a far data dall’avviso di ricevimento della segnalazione, oppure, se non è stato inviato alcun avviso alla persona segnalante, tre mesi dalla scadenza del termine di sette giorni dall’effettuazione della segnalazione (art. 9); – l’ambito di applicazione delle nuove regole poste dall’UE in materia di whistleblowing a tutela di informatori che rivelano le violazioni anche a) in settori come quello degli appalti pubblici, dei servizi, dei prodotti e dei mercati finanziari; b) nella prevenzione del riciclaggio e del finanziamento del terrorismo; c) nella sicurezza e conformità dei prodotti; d) nella sicurezza dei trasporti; e) nella tutela dell’ambiente; f) nella radioprotezione e sicurezza nucleare; g) nella sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; h) nella tutela della salute pubblica; – l’inversione dell’onere della prova a carico alla persona che avrebbe adottato la misura lesiva nei procedimenti giudiziari (art. 21); – l’esonero da responsabilità per la divulgazione di informazioni per il whistleblower (art. 21). Le finalità espressamente previste dalla Direttiva è quella di garantire una protezione efficace in favore: – degli “informatori” e quindi delle categorie di persone che “pur non dipendendo dalle loro attività lavorative dal punto di vista economico, rischiano comunque di subire ritorsioni per aver segnalato violazioni. Tra le forme di ritorsione contro i volontari e i tirocinanti retribuiti o non retribuiti: non avvalersi più dei loro servizi, dare loro referenze di lavoro negative, danneggiarne in altro modo la reputazione o le prospettive di carriera”; – dei “facilitatori, dei colleghi di lavoro o dei parenti della persona segnalante che sono in una relazione di lavoro con il datore di lavoro della persona segnalante o il suo cliente o destinatario dei servizi”; – dei rappresentanti sindacali o dei rappresentanti dei lavori qualora (i) effettuino in prima persona una segnalazione in qualità di lavoratori; (ii) forniscano una consulenza e sostegno al whistleblower.
Clicca qui per continuare a leggere la nota a sentenza.
