di Damiana Lesce

Con il termine Whistleblowing si intende la rivelazione da parte di un soggetto, spesso un dipendente (ma può essere anche un terzo, ad esempio un fornitore) detto Segnalante (Whistleblower), di un comportamento o fatto illecito commessi all’interno dell’azienda o dell’Ente. 

In termini generali, al Whistleblowing si applicano i seguenti principi: le denunce anonime di pretesi comportamenti illeciti di altri dipendenti sono possibili; le denunce anonime non costituiscono - da sole - elementi di prova della sussistenza del comportamento illecito denunciato ma sono idonee a giustificare un obbligo di indagine e verifica da parte del datore di lavoro; le condotte illecite imputate al dipendente attraverso la denuncia anonima devono essere dimostrate dal datore di lavoro; l’obbligo di fedeltà del dipendente nei confronti del datore di lavoro non ricomprende, a fronte di condotte illecite, quello di astenersi dal denunciare; il limite di tale diritto è l’intenzione di nuocere al datore di lavoro e/o ad altro dipendente, denunciando consapevolmente condotte false.

L’adozione di sistemi di Whistleblowing, per le implicazioni in materia di protezione dei dati personali, è da tempo all’attenzione delle Autorità di controllo.

Nel corso di un’audizione in Parlamento, il Garante ha ricordato che nell’esercizio della delega per il recepimento della direttiva (UE) 2019/1937 (riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione) è necessario “realizzare un congruo bilanciamento tra l’esigenza di riservatezza della segnalazione, funzionale alla tutela del segnalante, la necessità di accertamento degli illeciti e il diritto di difesa e al contraddittorio del segnalato. La protezione dei dati personali è, naturalmente, un fattore determinante per l’equilibrio tra queste istanze e per ciò è opportuno un coinvolgimento del Garante in fase di esercizio della delega” (cfr., Audizione del Garante per la protezione dei dati personali sul DDL di delegazione europea 2021- Senato della Repubblica-14esima Commissione parlamentare dell’Unione europea, 8 marzo 2022, doc. web n. 9751458).

Quindi, la disciplina in materia di Whistleblowing deve essere coordinata con la normativa in materia di protezione di dati personali. In sintesi: al soggetto interessato deve essere fornita una informazione adeguata; il trattamento deve inserito nel Registro previsto dall’articolo 30 del Codice Privacy; per determinare tipologie di trattamento deve essere effettuata la valutazione di impatto, gli strumenti e le applicazioni utilizzate devono rispettare e devono essere improntate ai principi di Privacy by Design.

In questi anni vi sono stati numerosi interventi sia di carattere generale sia decisioni su singoli casi.

Di recente il Garante per la privacy , con Provvedimento n.134 del 7 aprile 2022 (doc. web 9768363), ha sanzionato un’azienda ospedaliera (ordinandogli di pagare la somma di euro 40.000,00 a titolo di sanzione amministrativa pecuniaria) nonché la società informatica che gestiva il servizio per denunciare comportamenti illeciti all’interno dell’ente.

Dai controlli effettuati erano emerse diverse violazioni del Gdpr: l’accesso l’applicazione web di Whistleblowing avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti così da consentire l’identificazione di chi la utilizzava ivi compresi i potenziali Segnalanti; i lavoratori non erano stati preventivamente informati in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti; non era stata fatta una valutazione di impatto privacy e non aveva neppure inserito tali operazioni nel registro delle attività di trattamento.

Nel corso dei controlli erano emersi ulteriori illeciti imputabili alla Società informatica esterna che, in qualità di Responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing.

Le imprese (e la Pubblica Amministrazione) devono, quindi, prestare la massima attenzione nell’impostazione e gestione dei sistemi di Whistleblowing.