WHISTLEBLOWING: Direttiva Europea EU 2019/1937

Lo scorso 15 marzo è stato pubblicato il D.Lgs. n. 24/2023 (da ora “Decreto”), che recepisce la Direttiva UE n. 1937/2019 – c.d. “Direttiva Whistleblowing” – e che per alcune realtà si applica dallo scorso 15 luglio. Il Decreto, ampliando la portata oggettiva (gli illeciti e le violazioni che possono essere oggetto di segnalazioni) e soggettiva (coloro che sono legittimati a realizzare la segnalazione, i c.d. whistleblowers), mira a colpire eventuali condotte illegittime, assicurando il buon andamento dell’ente pubblico o privato.

1. Le novità introdotte dal D.Lgs. n. 24/2023: cenni
Per quanto di interesse ai fini dell’analisi proposta nel presente contributo, appare utile sintetizzare alcune novità introdotte dalla riforma. Il Decreto, come accennato, estende notevolmente il novero di soggetti che possono avanzare una segnalazione, comprendendo:
dipendenti pubblici;
lavoratori subordinati di soggetto del settore privato;
lavoratori autonomi;
collaboratori, liberi professionisti e consulenti;
volontari e tirocinanti (anche non retribuiti);
azionisti e persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.

Tali soggetti potranno segnalare le violazioni e gli illeciti di cui siano venuti a conoscenza nel contesto lavorativo, sia quando il rapporto giuridico che li lega all’ente – pubblico o privato – sia in corso, sia quando lo stesso sia cessato o non sia ancora iniziato (es. periodo di prova).
Si sottolinea che i comuni diversi dai capoluoghi di provincia, così come i soggetti del settore privato che nell’ultimo anno abbiano impiegato una media di lavoratori subordinati inferiore 250, possono condividere il canale di segnalazione interna e la relativa gestione.

2. La tutela della riservatezza
Come anticipato, il Decreto vede nella predisposizione di un solido sistema di tutele, l’incentivo per il segnalante a rendere note le violazioni e gli illeciti di cui entra a conoscenza. In particolare, sono numerosi i riferimenti alla riservatezza del segnalante.
L’Art. 12 del Decreto sancisce un generale obbligo di riservatezza in capo al gestore della segnalazione circa l’identità del segnalante e qualsiasi informazione da cui la stessa possa evincersi: è previsto che questi dati non possano essere rilevati senza il consenso espresso del segnalante stesso.
nnanzitutto, la base giuridica che legittima questo trattamento è da rinvenirsi all’art. 6, paragrafo 1, lett. c) del GDPR, risultando il trattamento necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento.
Il Decreto richiede:
- fornitaura ai soggetti di un’informativa esaustiva;
- che venga realizzata una valutazione di impatto sulla protezione dei dati (DPIA);
- la crittografia quale strumento utile a garantire un livello di tutela della riservatezza dei dati;
- un periodo di conservazione dei dati personali contenuti all’interno della segnalazione di 5 anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione;
- di individuare il titolare del trattamento (colui che attiva il canale di segnalazione), gli eventuali responsabili da nominare ex art. 28 GDPR e gli autorizzati (che gestiscono la segnalazione);

Il segnalante può decidere se preferisce rimanere anonimo oppure se fornire le proprie informazioni personali. In ogni caso, il contenuto della segnalazione viene trasmesso in forma altamente criptata.

3. Entrata in vigore.
L’art. 24 del Decreto legislativo prevede che le disposizioni del decreto hanno effetto a decorrere dal 15 luglio 2023, con una deroga per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori fino a 249: per questi, infatti, l’obbligo di istituzione del canale di segnalazione interna ha effetto a decorrere dal 17 dicembre 2023.

Siamo a disposizione per dare supporto a chi voglia approfondire.