Diritti interna

Doveri interna

ricerca avanzata

Audizione del Garante per la protezione dei dati personali, Antonello Soro in tema di whistleblowing

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
8731812
Data:
22/10/15
Tipologia:
Audizione

Audizione di Antonello Soro, Presidente del Garante per la protezione dei dati personali, nell´ambito dell´esame della proposta di legge C. 1751, recante "Disposizioni per la protezione degli autori di segnalazioni di reati o irregolarità nell´interesse pubblico

presso le Commissioni Riunite II (Giustizia) e XI (Lavoro pubblico e privato)
 della Camera dei Deputati - 22 ottobre 2015

(testo dell´intervento)

 

1. Il fenomeno e i precedenti

Quello della tutela dei dipendenti i quali segnalino illeciti nell´ambito della propria organizzazione (c.d. whistleblowing), è tema di cui il Garante si occupa da tempo.

È del 10 dicembre 2009, in particolare, la segnalazione con cui si sono invitati Parlamento e Governo a valutare l´opportunità di disciplinare questo fenomeno all´interno delle organizzazioni aziendali. Il Garante, in particolare, ha invitato ad individuare i presupposti di liceità del trattamento, definendone puntualmente l´ambito di applicazione, oggettivo e soggettivo, normando le condizioni per l´eventuale ammissibilità delle segnalazioni anonime, nonché il rapporto tra diritto di accesso del segnalato ai propri dati personali e (protezione dell´identità del) segnalante. È infatti evidente come la disciplina in materia debba poter contemperare, in un equilibrio il più possibile ragionevole, l´esigenza di protezione del segnalante (che non deve certo subire ritorsioni per aver denunciato illeciti nell´interesse collettivo) con il diritto del segnalato a conoscere gli elementi essenziali su cui si fondano gli addebiti che gli vengano mossi. In gioco vi sono insomma, da un lato, la tutela del segnalante (funzionale a sua volta al contrasto degli illeciti) e, dall´altro, i diritti alla difesa e al contradditorio del segnalato, nell´ambito dei procedimenti (disciplinari, civili, penali, contabili, ecc.) che possano derivare da quella segnalazione.

Il fenomeno – normato nei Paesi anglosassoni da circa vent´anni – è stato progressivamente oggetto di attenzione anche in sede internazionale e sovranazionale (Onu, Ocse, Consiglio d´Europa, la stessa Ue). L´Assemblea parlamentare del Consiglio d´Europa, in particolare, recependo i principi essenziali affermati in materia dalla Corte di Strasburgo, lo scorso giugno ha sottolineato l´esigenza di assicurare la protezione dei whistleblowers tanto nel settore privato quanto nel pubblico, con particolare riferimento alle agenzie per la sicurezza nazionale. Richiamando espressamente l´esperienza di Snowden, il Consiglio d´Europa ha rilevato come proprio in questo settore la segnalazione, "dall´interno", di abusi, possa contribuire a impedire che la legittima attività di prevenzione degeneri in sorveglianza massiva. Una prospettiva interessante, quella di Strasburgo: la riservatezza del segnalante come presupposto per garantire la legittimità dell´azione pubblica di prevenzione; il whistleblowing, dunque, come strumento non solo di contrasto della corruzione ma anche di garanzia dell´equilibrio tra privacy e sicurezza.

2. La disciplina vigente

Nel nostro ordinamento, nel 2012 è stata introdotta, come noto, una specifica disciplina di tale fenomeno limitatamente, tuttavia, al settore pubblico. La norma – inserita nella legge anti-corruzione – muoveva dall´esigenza di favorire l´emersione degli illeciti dei pubblici dipendenti (notoriamente caratterizzati da un´elevata cifra oscura), a tal fine proteggendo i segnalanti dai possibili rischi di ritorsione.

Dal nostro punto di vista, le principali criticità della disciplina vigente (lievemente modificata con il d.l. 90/2014) attengono essenzialmente alla sua limitazione esclusiva al solo settore pubblico (1); all´assenza di regolamentazione delle segnalazioni anonime nonché del regime di accesso del segnalato ai propri dati personali secondo la disciplina sancita dal Codice in materia di protezione dei dati personali (infra: Codice).

Sotto questo e altri aspetti, un intervento legislativo sarebbe sicuramente opportuno. Basti pensare, ad esempio, che come hanno affermato il Presidente dell´Anac e il dott. Egidi dell´Agenzia delle entrate, ad oggi le segnalazioni anonime, purché sufficientemente circostanziate, determinano comunque l´avvio di un´istruttoria, sia pur non ai sensi dell´art. 54-bis, che riguarda appunto le sole segnalazioni "firmate" e la conseguente necessità di tutela che deriva al loro autore. Pronunciatosi sul punto sin dal 2006, l´organo di coordinamento dei Garanti europei (Wp art. 29) aveva sottolineato i rischi di usi strumentali cui potrebbero prestarsi le segnalazioni anonime, alimentando anche una cultura della delazione e – aggiungeva la nostra segnalazione – ostacolando il lavoro istruttorio del destinatario, che si troverebbe nell´impossibilità di approfondire elementi utili in assenza del contributo ulteriore e del contradditorio con il segnalante. Ciò non vuol dire, ovviamente, escluderne in radice il valore, ma disciplinarne le condizioni di ammissibilità con le cautele idonee ad evitare tali rischi.

La scelta di limitare la protezione al solo settore pubblico, poi, priva di adeguati strumenti di contrasto al malaffare non solo le società in generale , ma anche il delicato settore degli enti di diritto privato in controllo pubblico e degli enti pubblici economici. Un´estensione della disciplina vigente al settore privato – proprio quello da cui muoveva la segnalazione del Garante e che l´Anac propone di includervi – non potrebbe, dunque, che trovarci d´accordo, in quanto consentirebbe di rafforzare la tutela del whistleblower, proteggendone l´identità.

Quanto al regime di accesso del segnalato ai propri dati personali, si tratta di un aspetto tanto rilevante quanto, forse, sottovalutato in un contesto normativo incentrato, piuttosto, sull´esigenza di proteggere il segnalante "in buona fede". E tuttavia è un aspetto importante. La normativa vigente legittima – in un equilibrio ragionevole ma perfettibile – la conoscenza dell´identità del segnalante, in assenza del suo consenso, solo qualora la contestazione disciplinare muova in tutto o in parte dal whistleblowing e non da accertamenti esterni, sempre che tale informazione sia assolutamente indispensabile ai fini dell´esercizio del diritto di difesa. In linea di massima tale scelta può ritenersi ragionevole, in quanto idonea a contemperare l´esigenza di riservatezza del segnalante con il diritto di difesa e al contraddittorio del segnalato, non diversamente dalla regola del "pari rango" enunciata dal nostro Codice per il diritto di accesso che coinvolga dati "ipersensibili" (inerenti cioè lo stato di salute e la vita sessuale: art. 60). Tuttavia, questo principio dovrebb´essere declinato con maggior dettaglio, soprattutto con riferimento alle ipotesi nelle quali la contestazione disciplinare sia fondata solo in parte sulla segnalazione, dal momento che in questi casi la valutazione di indispensabilità dell´accesso all´identità del segnalante dovrebbe poter considerare il valore probatorio dei riscontri estrinseci ai fini dell´avvio della contestazione disciplinare.

Del resto, la disciplina vigente, se da un lato esclude espressamente l´accesso agli atti del procedimento amministrativo determinatosi con la segnalazione, proteggendo alle condizioni suddette l´identità del segnalante, dall´altro nulla statuisce in ordine all´accesso del segnalato ai propri dati personali e, in particolare, alla loro origine (art. 7 del Codice). Riprendendo, dunque, il criterio generale sancito dall´art. 8, c.2, lett. e) – e fermo restando quanto già previsto in ordine alla tutela dell´identità del segnalante – si potrebbe prevedere l´inammissibilità dell´esercizio del diritto di accesso del segnalato ai propri dati, limitatamente al periodo durante cui da tale accesso potrebbe derivare nocumento all´esercizio dei propri diritti da parte del titolare dell´interesse leso (amministrazione di riferimento, datore di lavoro). Alternativamente, si potrebbe riprendere il criterio sancito dall´art. 8-bis d.lgs. 58/1998, ovvero dell´esclusione dal diritto di accesso del segnalato ai propri dati personali della sola identità del segnalante, salvo qualora tale informazione sia indispensabile ai fini della difesa del segnalato stesso.

Ovviamente, sarebbe utile anche una norma di raccordo tra le garanzie di anonimato proprie del procedimento di gestione della segnalazione e le regole sul contraddittorio del procedimento penale, nei casi relativi a illeciti integranti (anche) estremi di reato. Si potrebbe anche pensare all´assegnazione al segnalante, fino al dibattimento, di un´identità di copertura, sulla falsariga di quanto previsto dal d.l. 7/2015 per gli appartenenti agli Organismi per l´informazione e la sicurezza della Repubblica.

Positive sono, indubbiamente, le cautele prescritte dalle Linee guida dell´Anac ai fini della garanzia di riservatezza degli elementi essenziali della segnalazione, quali ad esempio la crittazione dei dati identificativi del segnalante, rendendo possibile l´associazione tra il codice assegnatogli e la sua identità solo nei casi, previsti dalla legge, in cui ciò sia strettamente necessario. Condivisibile anche la prescrizione di sistemi di audit per il controllo degli accessi al sistema, di protocolli sicuri per la comunicazione dei dati e dell´adozione di un modello organizzativo idoneo a definire le responsabilità in ogni fase del processo di gestione della segnalazione. De jure condendo, sarebbe auspicabile sancire normativamente l´obbligo (desumibile tuttavia anche a legislazione vigente) di tutela della riservatezza dell´identità del segnalante anche in fase di inoltro della segnalazione alle altre autorità competenti a riceverla.

Quanto, infine, all´esclusione della tutela in caso di responsabilità del segnalante a titolo di calunnia, diffamazione o comunque di responsabilità extracontrattuale, andrebbe chiarito se a tal fine sia necessario l´accertamento, con sentenza definitiva, di tali titoli di responsabilità e, nel caso di pronuncia sopravvenuta, se essa abbia un´efficacia risolutiva rispetto alla protezione accordata. Le Linee guida emanate dall´Anac indicano nella sentenza di primo grado il provvedimento giurisdizionale idoneo a far venir meno la protezione accordata. Sul punto sarebbe indubbiamente auspicabile un chiarimento da parte del legislatore, che possa peraltro ribadire come, anche in seguito al venir meno della tutela ex art. 54-bis, ai dati personali del segnalante (oltre che del segnalato) è comunque accordata la protezione sancita, in linea generale, dal Codice. Si potrebbe poi riflettere sull´opportunità di estendere la clausola di esclusione dalla tutela anche al caso di condanna dell´autore per trattamento illecito di dati personali (art. 167 del Codice), che potrebbe configurarsi ad esempio nei casi di acquisizione della notizia con modalità illecite.

3. La proposta di legge

A fronte di tali esigenze, la proposta di legge di cui all´A.C. 1751 presenta sicuramente aspetti condivisibili, oltre ad altri meritevoli invece, a nostro avviso, di una riflessione ulteriore.

Sotto il profilo dell´ambito soggettivo di applicazione, è certamente positiva l´estensione della protezione tanto rispetto al settore privato, quanto rispetto al personale non "contrattualizzato". In entrambi i casi, tuttavia, al fine di evitare ogni possibile dubbio interpretativo, sarebbe auspicabile una maggiore precisione sia rispetto alla nozione di ente privato (di per sé atecnica), sia rispetto al personale "volontario". Precisazione analoga meriterebbe anche, sotto il profilo dei destinatari della segnalazione, il concetto di "autorità di regolazione del settore", privo di un significato effettivamente univoco.

Positiva è anche, sotto il profilo dell´ambito oggettivo di applicazione, l´estensione delle condotte suscettibili di segnalazione a quelle di cui l´autore sia venuto a conoscenza "in occasione" del rapporto di lavoro. Tale nozione – più ampia di quella attualmente utilizzata: "in ragione" – consente di favorire l´emersione di illeciti appresi non soltanto a causa ma anche nell´ambito dell´esercizio delle funzioni. Si potrebbe invece valutare l´opportunità di escludere espressamente le notizie apprese de relato, al fine di evitare il rischio di procedimenti poco utili perché non sufficientemente circostanziati e fondati su accuse infondate.

Andrebbe poi circoscritto con maggiore dettaglio (e non solo per ragioni di economicità ed efficienza delle procedure) l´ambito degli illeciti suscettibili di segnalazione, precisando il concetto di "irregolarità", auspicabilmente con riferimento a illeciti tipizzati, sia pur solo nella natura (disciplinari, contabili, amministrativi, contrattuali, penali, ecc.). Anche il requisito del "danno alla collettività" suscettibile di derivare dalle condotte illecite segnalate meriterebbe – qualora si volesse mantenerlo – una precisazione ulteriore, anche in ragione dell´estensione della disciplina al settore privato. In ordine alle condizioni per l´esclusione della tutela, oltre a precisare il carattere definitivo o meno dell´accertamento giudiziale richiesto per i reati di calunnia e diffamazione, sarebbe forse opportuno ricomprendere tra i requisiti negativi anche la responsabilità extracontrattuale dell´autore, che copra eventuali illeciti civili, oltre che la già ricordata condanna per trattamento illecito di dati personali.

Positiva è la previsione del regime da riservare alle segnalazioni anonime (da prendere in considerazione solo se adeguatamente circostanziate), mentre l´esclusione assoluta non solo del diritto di accesso procedimentale, ma anche della possibilità per il segnalato di conoscere l´identità del segnalante, nei casi di assoluta indispensabilità, potrebbe lederne oltre misura il diritto alla difesa e all´autodeterminazione informativa. Conoscere l´origine dei propri dati oggetto di trattamento da parte di terzi costituisce infatti una delle prerogative del diritto di accesso di cui all´art. 7 del Codice, che se può essere in certa misura compresso per la tutela di diritti di pari dignità, non può tuttavia essere a priori escluso. Sotto questo profilo, dunque, la disciplina vigente sembra preferibile.

Sicuramente positiva è la previsione tanto dell´inversione dell´onere della prova in ordine al carattere ritorsivo di eventuali misure adottate ai danni del segnalante da parte datoriale, quanto del divieto di clausole limitative della tutela. Tale divieto potrebbe essere anche integrato espressamente con la previsione - secondo la logica delle invalidità sanzionatorie- della nullità della relativa clausola contrattuale.

Non persuade invece la previsione di segnalazioni al pubblico, che se infondate (benché in buona fede), rischiano di esporre l´interessato a grave pregiudizio, tanto più ove siano state comunque archiviate. Se il fine perseguito è l´effettiva prosecuzione di una segnalazione che in prima istanza non sia stata approfondita (dolosamente o colposamente), la soluzione è nell´ammissibilità della riproposizione della medesima istanza a un´autorità terza, sia come una sorta di appello interamente devolutivo, sia come una sorta di revisio prioris instantiae. Ma non è certo nella privazione dell´interessato di ogni forma di garanzia, con l´esposizione a una sorta di gogna pubblica per un addebito ancora tutto da verificare.

Quanto alla redazione, da parte di ciascun ente pubblico o privato, di statistiche sul numero di segnalazioni trattate, è certamente una previsione utile, ma che per maggiore chiarezza è auspicabile integrare con la prescrizione del ricorso soltanto a dati aggregati, insuscettibili cioè di consentire l´identificazione, neppure in via indiretta, degli interessati.

Resta infine da valutare l´opportunità di introdurre sanzioni specifiche per i casi di violazione del diritto all´anonimato del segnalante, che per ragioni di deterrenza sarebbe auspicabile qualificare come reato autonomo tanto rispetto al trattamento illecito di dati personali, quanto agli eventuali delitti di violazione dei segreti che dovessero concorrervi, anche venendone assorbiti.

4. Il nuovo testo della Relatrice

La bozza di nuovo testo della Relatrice interviene su molte delle criticità della proposta-base, sopra segnalate.

È in particolare positiva la delimitazione dell´oggetto della segnalazione ai soli reati o "illeciti", sebbene sia allora utile un coordinamento normativo all´art. 6, c.2, ove si continua a far riferimento al concetto di "irregolarità" del testo-base. Sarebbe poi preferibile, al comma 2 dell´art. 2, per ragioni di certezza del diritto, rendere l´elenco delle possibili violazioni non meramente esemplificativo ma tassativo. Così anche, alla medesima disposizione, sarebbe utile precisare che il tentativo rileva ove presenti le caratteristiche di univocità (della direzione) e idoneità alla realizzazione dell´illecito, analogamente a quanto previsto dall´art. 56 c.p.

Preferibile, perché maggiormente precisa, rispetto al testo-base, è la definizione della categoria dei possibili segnalanti (art. 3, c.2), quali possibili destinatari della protezione accordata dalla legge.

Si estendono invece le perplessità di cui sopra alla previsione di cui all´art. 4, c.4, relativa alle segnalazioni "al pubblico".

All´art. 8, sicuramente positiva è la prescrizione di garanzia della riservatezza del segnalante quale specifico dovere cui il destinatario della segnalazione è tenuto pena responsabilità disciplinare, sebbene possa sul punto riflettersi sull´opportunità di introdurre una specifica sanzione penale, nei termini suindicati. Positiva anche la previsione della tutela dell´identità del segnalante anche nel procedimento penale, sebbene sia preferibile sostituire il riferimento al dibattimento in modo da includere nella previsione anche i riti alternativi privi della fase dibattimentale.

Condivisibile la previsione della sentenza definitiva, a carico del segnalante, per diffamazione, calunnia o per responsabilità extracontrattuale quale causa di esclusione (anche sopravvenuta) della tutela, sebbene anche in tal caso potrebbe riflettersi sull´opportunità di includere tra i titoli di responsabilità anche la condanna per trattamento illecito di dati personali (art. 167 del Codice).

L´art. 8 potrebbe poi essere integrato con la prescrizione (anche in forma di rinvio alla disciplina sancita dal Codice) della garanzia del diritto alla protezione dei dati personali del segnalato.

Positiva la previsione della nullità, in funzione sanzionatoria, di clausole contrattuali limitative del potere di segnalazione, come anche la disciplina transitoria e la salvaguardia (per mancata abrogazione espressa) della disciplina di cui all´art. 8-bis d.lgs. 58/1998, che presenta proprie peculiarità. Per tale ragione, allora, sarebbe preferibile mantenere nella formulazione vigente anche la norma "speculare" di cui all´art. 52-bis d.lgs. 385/1993, che invece all´art. 15, c.1, lett.c) si vorrebbe modificare.

___________

(1) Riguardo al settore privato, limitatamente all´ambito dell´intermediazione finanziaria, con il d.lgs. 72/2015, di attuazione della direttiva 2013/36/Ue, all´art. 8-bis d.lgs. 58/1998, è stata introdotta una specifica disciplina per la protezione del dipendente che segnali illeciti commessi all´interno della compagine societaria. La norma, in particolare, oltre alla tutela del segnalante da condotte ritorsive, prescrive di garantire la riservatezza dei dati personali del presunto autore della violazione, escludendo dal diritto di accesso dell´interessato ex art. 7, c.2, del Codice, l´identità del segnalante, che – sancisce la norma – può essere rivelata solo con il suo consenso o quando la conoscenza sia indispensabile per la difesa del segnalato. Analoga norma è contenuta, per il settore bancario e creditizio, all´art. 52-bis d.lgs. 385/1993.