g-docweb-display Portlet

Parere su uno schema di decreto legislativo recante attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (cd. direttiva whistleblowing) - 11 gennaio 2023 [9844945]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE: Newsletter del 24 gennaio 2023

 

[doc. web n. 9844945]

Parere su uno schema di decreto legislativo recante attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (cd. direttiva whistleblowing) e disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali - 11 gennaio 2023

Registro dei provvedimenti
n. 1 dell'11 gennaio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei ministri;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, paragrafo 4;

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

PREMESSO

La Presidenza del Consiglio dei ministri ha richiesto il parere del Garante su di uno schema di decreto legislativo recante attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (cd. direttiva whistleblowing) e disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.

La direttiva oggetto di trasposizione (di seguito: “la direttiva”) introduce uno statuto minimo di tutela, tale da uniformare le normative nazionali, tenendo conto che coloro “che segnalano minacce o pregiudizi al pubblico interesse di cui sono venuti a sapere nell’ambito delle loro attività professionali esercitano il diritto alla libertà di espressione” (considerando 31). Allo strumento del whistleblowing è, peraltro, assegnata la funzione di “rafforzare i principi di trasparenza e responsabilità” (considerando 2) e di prevenire la commissione dei reati.

Lo schema di decreto legislativo è stato adottato nell’esercizio della delega legislativa conferita, al Governo, dall’articolo 13 della legge 4 agosto 2022, n. 127, recante delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea (legge di delegazione europea 2021). Il testo è, attualmente, all’esame delle Commissioni parlamentari ai fini dell’espressione del relativo parere (AG 10).

Tra i principi e criteri direttivi sanciti, per l’esercizio della delega, dalla legge di delegazione, assumono particolare rilevanza quelli di cui alle lettere c) e d) dell’articolo 13. Il primo, segnatamente, legittima l’esercizio dell'opzione di cui all'articolo 25, paragrafo 1, della direttiva (UE) 2019/1937, che oltre a sancire una specifica clausola di non regressione consente l'introduzione o il mantenimento delle disposizioni più favorevoli ai diritti delle persone segnalanti.

Il criterio direttivo di cui alla lettera d) si riferisce, invece, all’esigenza di operare gli opportuni adattamenti delle disposizioni vigenti al fine di conformare la normativa nazionale a quella europea, anche in relazione a violazioni di diritto interno riconducibili a reati o comportamenti impropri che compromettono la   cura   imparziale dell'interesse pubblico o la regolare organizzazione e gestione dell'ente.

Sotto questo profilo, va infatti considerato come la materia del whistleblowing risulti già regolata, per il settore pubblico, dal d.lgs. 20 marzo 2001, n. 165 (v. art. 54-bis) e, per il settore privato, dal d. lgs. 8 giugno 2001, n. 231 (v. art. 6, commi 2-bis ss), nonché dalla legge 30 novembre 2017, n. 179, che ha peraltro integrato la disciplina dell’obbligo di segreto di ufficio, aziendale, professionale, scientifico ed industriale.

RILEVATO

Lo schema di decreto legislativo intende, in primo luogo, ricondurre ad un unico testo normativo la disciplina relativa alla tutela delle persone che segnalano violazioni di disposizioni normative (tra le quali quelle in materia di protezione dati) o condotte comunque lesive di specifici beni giuridici, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato.

L’ambito oggettivo di applicazione è esteso, dall’articolo 1, anche alle segnalazioni relative a violazioni del diritto interno, in virtù della facoltà prevista dall’articolo 2, paragrafo, 2 della direttiva.

Per converso, lo stesso articolo 1 disciplina i casi di esclusione dell’applicazione della nuova disciplina tra i quali si annoverano, in particolare, contestazioni o rivendicazioni di carattere personale nei rapporti individuali di lavoro o di impiego pubblico e le segnalazioni di violazioni in materia di sicurezza nazionale o di appalti relativi ad aspetti di difesa o sicurezza nazionale, salvo che tali aspetti siano riconducibili al diritto derivato unionale.

L’articolo 1 inserisce, peraltro, una clausola di salvaguardia generale in favore delle disposizioni di procedura penale e di quelle sulle prerogative sindacali dei lavoratori e sulla repressione delle condotte antisindacali, di cui all’articolo 28 della legge 20 maggio 1970, n. 300.

L’articolo 2 contiene le definizioni, in particolare, delle nozioni di “violazioni”, “informazioni sulle violazioni”, “segnalazioni” sia interne che esterne,  “divulgazione pubblica”, “persona segnalante”, “facilitatore”, “persona coinvolta”, “soggetti del settore pubblico” e “del settore privato”.

L’articolo 3 identifica l’ambito di applicazione soggettivo della disciplina, individuando quali soggetti interessati dalla tutela per la segnalazione degli illeciti,  suscettibili di eventuali atti ritorsivi, tutti i lavoratori dei settori pubblico e privato in qualità di dipendenti o collaboratori, lavoratori subordinati e autonomi, liberi professionisti ed altre categorie, tra le quali quelle dei volontari e dei tirocinanti anche non retribuiti, degli azionisti e delle persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche laddove tali ruoli siano esercitati in via di mero fatto.

Gli articoli 4 e 5, che introducono il Capo II (“Segnalazioni interne, segnalazioni esterne, obbligo di riservatezza e divulgazioni pubbliche”), disciplinano rispettivamente le modalità di presentazione delle segnalazioni interne, volte a garantire la riservatezza dell’identità del segnalante e l’iter procedurale successivo alla segnalazione.

Tali disposizioni prescrivono le condizioni per l’attivazione e la gestione, nel settore pubblico e in quello privato, di canali che consentano l’effettuazione di segnalazioni con obbligo di garanzia (anche mediante il ricorso alla crittografia) della riservatezza del segnalante, delle persone coinvolte e menzionate nella segnalazione, nonché del contenuto della stessa. I canali di segnalazione interna assurgono, peraltro, ad oggetto necessario dei modelli di organizzazione e gestione di cui all’articolo 6, c.1, lett. a) del d.lgs. 231 del 2001.

Ai sensi dell’articolo 4, la gestione del canale di segnalazione dev’essere affidata a una persona o un ufficio interno dedicato, ovvero a un soggetto esterno, in ogni caso con garanzia di autonomia e specifica formazione.

Il terzo comma dell’articolo 4 dispone, inoltre, che le segnalazioni siano effettuate in forma scritta, anche con modalità informatiche, oppure in forma orale e che vengano gestite attraverso linee telefoniche o sistemi di messaggistica vocale ovvero, su richiesta della persona segnalante, mediante incontro diretto.

L’articolo 5 disciplina la procedura successiva alla segnalazione, introducendo -in attuazione della direttiva- i termini volti a fornire, al segnalante, riscontro in ordine alla ricezione, alla verifica e all’analisi della segnalazione.

Particolare rilevanza assume la lettera e) del comma 1, secondo cui le informazioni sulle modalità di effettuazione delle segnalazioni devono essere chiare, visibili e accessibili e pubblicate nel sito internet di cui eventualmente disponga il soggetto, privato o pubblico.

L’articolo 6, rubricato “Condizioni per l’effettuazione della segnalazioni esterna”, legittima l’effettuazione della segnalazione su di un canale esterno, nel caso di assenza o inefficacia dei canali di segnalazione interna, di timore di ritorsione o pericolo per il pubblico interesse.

Gli articoli 7 e 8 disciplinano le caratteristiche del canale di segnalazione esterna attivato presso ANAC per quanto concerne sia il settore pubblico sia quello privato, con obbligo di garanzia (anche mediante il ricorso alla crittografia) della riservatezza del segnalante, delle persone coinvolte e menzionate nella segnalazione, nonché del contenuto della stessa. Anche in tali casi, le segnalazioni sono effettuate tramite piattaforma informatica messa a disposizione da ANAC, oppure in forma scritta od orale (attraverso linee telefoniche e altri sistemi di messaggistica vocale), nonché, qualora la persona lo richieda, anche attraverso un incontro diretto.

L’articolo 8 sancisce, in capo ad ANAC, oltre all’obbligo di fornire riscontro al segnalante, anche quello di trasmissione delle segnalazioni relative a violazioni esulanti dalle proprie attribuzioni alle competenti autorità, amministrative o giurisdizionali- ivi compresi gli enti dell’Unione europea- le quali sono parimenti tenute, nell’attività successiva, a garantire la riservatezza degli interessati.

L’articolo 9 disciplina le informazioni sulle segnalazioni esterne e sul relativo seguito, sancendo in capo ad ANAC l’obbligo di illustrazione del regime di riservatezza applicabile alle segnalazioni.

L’articolo 10 demanda ad ANAC l’adozione – previo parere del Garante- di linee guida relative alle procedure di presentazione e gestione delle segnalazioni esterne, che promuovano anche il ricorso a strumenti di crittografia per garantire la riservatezza degli interessati e il contenuto delle segnalazioni.

L’articolo 12, rubricato “Obbligo di riservatezza” sancisce il principio generale secondo cui le segnalazioni non possano essere utilizzate se non per darvi seguito, con espresso divieto di rivelazione -a persone diverse da quelle specificamente autorizzate anche ai sensi degli articoli 29 e 32, paragrafo 4, del Regolamento e 2-quaterdecies del Codice- dell’identità del segnalante, in assenza del suo consenso espresso. Nell’ambito del procedimento penale, l’identità del segnalante è coperta da segreto ai sensi dell’articolo 329 c.p.p., mentre nel procedimento dinanzi alla magistratura contabile essa non può essere rivelata sino alla chiusura della fase istruttoria. Nell’ambito del procedimento disciplinare, invece, l’identità del segnalante non può essere rivelata ove la contestazione dell’illecito disciplinare si fondi su accertamenti distinti e ulteriori rispetto alla segnalazione. Per altro verso, le ragioni sottese alla rivelazione (nei procedimenti instaurati in seguito a segnalazioni interne o esterne o nel procedimento disciplinare) dei dati riservati, indispensabile anche ai fini della difesa del soggetto coinvolto, devono essere comunicate per iscritto al segnalante.

L’identità delle persone coinvolte e di quelle menzionate nella segnalazione è garantita sino alla conclusione dei relativi procedimenti, con il rispetto delle stesse garanzie accordate al segnalante. La segnalazione è, inoltre, sottratta all’accesso di cui agli articoli 22 e seguenti della legge 7 agosto 1990, n. 241, e s.m.i.., nonché dagli articoli 5 e seguenti del decreto legislativo 14 marzo 2013, n. 33, e s.m.i..

L’articolo 13 disciplina il trattamento dei dati personali, sancendo una clausola di generale conformità al Regolamento, al Codice e al d.lgs. 51 del 2018, indicando i ruoli dei soggetti coinvolti nel trattamento, imponendo l’obbligo di procedere alla valutazione d’impatto sulla protezione dei dati e di astenersi dal raccogliere (con immediata cancellazione in caso di raccolta accidentale de) i dati personali manifestamente non utili alla gestione di una specifica segnalazione. Si precisa, inoltre, che i diritti sanciti dagli articoli da 15 a 22 del Regolamento possono essere esercitati nei limiti di cui all’articolo 2-undecies del Codice, come novellato dall’articolo 24, c.4.

L’articolo 14 consente la conservazione delle segnalazioni interne ed esterne e della relativa documentazione, per il tempo necessario alla loro definizione e,  comunque, per non più di cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui all’articolo 12 e del principio di cui agli articoli 5, paragrafo 1, lettera e) del Regolamento e 3, comma 1, lettera e) del decreto legislativo 18 maggio 2018, n. 51.

L’articolo reca un’ulteriore precisazione sulle modalità di documentazione della segnalazione, in ragione della sua effettuazione con l’utilizzo di linee telefoniche o altro sistema di messaggistica vocale registrata o meno o, ancora, nel corso di un incontro diretto.

L’articolo 15 disciplina la divulgazione pubblica quale ulteriore modalità di segnalazione, prevedendo anche in tali casi la possibilità di accedere alle misure di protezione accordate in linea generale.

Si introduce, inoltre, all’ultimo comma, una generale clausola di salvaguardia in favore delle norme sul segreto professionale degli esercenti la professione giornalistica, con riferimento alla fonte della notizia.

L’articolo 16, in apertura del Capo III sulle “Misure di protezione”, disciplina le condizioni per accordare al segnalante tale specifica tutela, valorizzandone la buona fede a fronte dell’irrilevanza dei motivi sottesi alla segnalazione. L’articolo 17 sancisce, invece, un generale divieto di ritorsione, con una esemplificazione (non tassativa) delle stesse fattispecie ritorsive (comprensive anche dei danni reputazionali, “in particolare sui social media”) e la previsione dell’inversione dell’onere probatorio in ordine alla natura ritorsiva della condotta e al danno subito.

L’articolo 18 disciplina le misure di sostegno a favore della persona segnalante fornite da enti del Terzo settore - l’elenco dei quali viene istituito presso l’ANAC- e legittima l’autorità giudiziaria o amministrativa cui la persona segnalante si sia rivolta per ottenere protezione dalle ritorsioni, a richiedere all’ANAC informazioni e documenti relativi alla segnalazione.

L’articolo 19 disciplina le misure di protezione dalle ritorsioni, mentre l’articolo 20 introduce, conformemente all’articolo 21 della direttiva, un’esimente generale (che esclude anche la responsabilità civile e amministrativa, oltre a quella penale) in favore del soggetto che effettui (ai sensi dell’articolo 16) la segnalazione, denuncia o divulgazione pubblica di informazioni coperte da segreto, prerogative autoriali o tutelate dalla disciplina di protezione dati,  purché al momento della rivelazione sussistessero fondati motivi per ritenerla necessaria per svelare la violazione. Per l’acquisizione o l’accesso alle informazioni sulle violazioni, salva l’ipotesi in cui la condotta costituisca reato, viene esclusa ogni altra responsabilità. L’applicabilità dell’esimente è, invece, esclusa per le condotte non strettamente necessarie a rivelare la violazione o, comunque, non collegate alla segnalazione, denuncia o divulgazione pubblica.

L’articolo 22 dispone, infine, la nullità delle eventuali rinunce e transazioni relative a diritti e alle tutele introdotte.

RITENUTO

Lo schema di decreto recepisce pressoché tutte le indicazioni fornite dall’Autorità, al Governo, nell’ambito dei lavori preliminari alla stesura dell’odierno testo, con particolare riguardo:

- alla revisione, nel segno di una maggiore determinatezza, della nozione di violazione che, in quanto oggetto della segnalazione, condiziona l'ambito oggettivo di applicazione della disciplina;
- al perfezionamento della disciplina degli obblighi di riservatezza di cui all’articolo 12 e dell’oggetto delle linee guida da emanare (su parere del Garante) ai sensi dell’articolo 10;

- all’integrazione della disciplina, di cui all’articolo 13, del trattamento dei dati personali funzionali al ricevimento e alla gestione delle segnalazioni, con particolare riguardo alla corretta individuazione dei ruoli dei soggetti coinvolti nel trattamento e al divieto di raccolta (con obbligo di cancellazione in caso di acquisizione accidentale) dei dati eccedenti, ai sensi dell’articolo 17 della direttiva;

- alla revisione del termine massimo di conservazione della documentazione della segnalazione, secondo criteri di compatibilità anche con la durata media del termine prescrizionale dei principali illeciti suscettibili di verificarsi e, comunque, con obbligo di adozione di adeguate misure volte a garantire la riservatezza dell’identità degli interessati;

- all’esigenza di novellare, in parte qua, la disposizione di cui all’art. 2-undecies, c. 1, lett. f), del Codice.

Il complessivo e più puntuale adeguamento, dell’odierno testo, alle rappresentate esigenze di garanzia del diritto alla protezione dei dati personali dei soggetti coinvolti dall’applicazione della disciplina e l’assenza di criticità residue motivano, pertanto, l’espressione di un parere favorevole.

IL GARANTE

ai sensi dell’articolo 36, paragrafo 4, del Regolamento, esprime parere favorevole sul proposto schema di decreto legislativo recante attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.

Roma, 11 gennaio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei