(Public Policy/Strade) Il termine whistleblowing è divenuto celebre, anche dal versante europeo dell’Atlantico, grazie alle “spifferate” su documenti e materiale segreto raccolte a partire dal 2006 dal sito Wikileaks, e alla controversa vicenda giudiziaria e diplomatica che ha coinvolto uno dei suoi fondatori, Julian Assange. Un altro whistleblower di successo è stato poi senza dubbio Edward Snowden, l’ex contractor dell’intelligence americana che ha rivelato al mondo le pratiche di sorveglianza di massa da anni praticate negli Stati Uniti a danno dei cittadini stranieri.

Su un piano politicamente meno sensibile delle rivelazioni di Wikileaks e di Snowden, il fenomeno del whistleblowing è da anni oggetto di interesse per la grande rilevanza che assume nei confronti di imprese e amministrazioni pubbliche, spesso chiamate da veri e propri obblighi normativi a “istituzionalizzare” procedure interne di segnalazione di illeciti commessi da propri dipendenti e collaboratori da parte di altri dipendenti.

Tra le prime fonti di un simile obbligo vi è stata la famosa legge Sarbanes Oxley negli Stati Uniti, introdotta nel 2002 con il fine di rafforzare l’accountability delle public companies di diritto statunitense e istituire un regime di responsabilità d’impresa per illeciti di natura finanziaria, a seguito di una serie di scandali che avevano coinvolto grandi società locali, tra cui Enron.

A seguito dell’entrata in vigore di quella normativa, molte multinazionali statunitensi hanno “esportato” i propri modelli di whistleblowing alle proprie controllate e consociate europee, ponendo, tra gli altri, una serie di interrogativi sulla legittimità di tali pratiche alla luce della normativa europea sulla protezione dei dati personali. Aspetto, quest’ultimo, niente affatto marginale e oggetto di grande attenzione da parte delle società coinvolte e dei regolatori europei, perché l’adozione di un sistema interno di denuncia implica che vengano trattate informazioni personali sia di chi denuncia che di chi viene denunciato, con effetti anche molto gravi per la sfera giuridica dei soggetti coinvolti, che potrebbero essere assoggettati a procedure disciplinari, licenziamento o anche a decisioni civili e penali dell’autorità giudiziaria.

Sul punto specifico sono intervenute le autorità europee garanti per la protezione dei dati personali, chiarendo che il trattamento dei dati personali dei soggetti denunciati potevano essere trattati, per finalità di whistleblowing, soltanto per adempiere ad un obbligo di legge europea o nazionale di uno Stato membro, ovvero per interesse legittimo del titolare del trattamento (vale a dire l’impresa datrice di lavoro). Nell’esprimere questo parere, i regolatori privacy europei avevano però escluso che una legge straniera, quale la Sarbanes Oxley statunitense, potesse costituire, di per sé, un obbligo giuridico sufficiente a giustificare il whistleblowing aziendale alla luce della disciplina comunitaria.

Orientamento a cui è sempre stato allineato il Garante italiano per la protezione dei dati personali, che in una segnalazione inviata al Parlamento nel 2009 invocava un intervento chiarificatore del legislatore nazionale, escludendo che la versione italiana del Sarbanes Oxley Act, cioè il Decreto legislativo 231/2001, che disciplina nel nostro Paese la responsabilità amministrativa delle società, potesse essere qualificato come un obbligo normativo sufficiente a legittimare l’effettuazione e la raccolta di segnalazioni a carico di personale delle società. Sulla base di questa interpretazione, pertanto, il Garante aveva sempre riservato per sé lo scrutinio sulla legittimità delle “spifferate”, spesso disciplinate dai Modelli di organizzazione e gestione adottati dalle società sulla base della citata normativa interna.

Il quadro normativo sta però per subire un’ulteriore modifica. Nelle prossime settimane il Senato discuterà e verosimilmente approverà in via definitiva un disegno di legge recante “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”. Il ddl introdurrebbe due innovazioni, una in ambito pubblico e una in ambito privato.

In ambito pubblico, verrebbe emendato il decreto legislativo 165/2001 per tutelare il dipendente pubblico che effettua segnalazioni di illeciti al responsabile della prevenzione della corruzione ovvero all'Autorità nazionale anticorruzione (ANAC), o denuncia all'autorità giudiziaria ordinaria o a quella contabile. In ambito privato, invece, la nuova norma modificherebbe la disciplina 231 sopra segnalata in una duplice direzione. Da un lato prevedendo che, laddove un Modello sia adottato, esso debba necessariamente prevedere l’obbligo di segnalare, in maniera circostanziata, condotte illecite ovvero violazioni del Modello stesso a carico delle persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa e persone sottoposte alla direzione o alla vigilanza di tali soggetti. Dall’altro lato, prevedendo cautele tecnico-organizzative a tutela del segnalante e introducendo presidi giuslavoristici a favore di quest’ultimo, come il divieto di trattamento discriminatorio nei suoi confronti e la nullità del licenziamento discriminatorio o ritorsivo.

Sul piano più strettamente “privacystico”, e nonostante le buone intenzioni del legislatore, la formulazione della norma non risolverebbe i dubbi sul corretto inquadramento della base legale di trattamento dei dati personali di soggetti diversi dal segnalante. La riforma, infatti, introdurrebbe l’obbligo di prevedere un sistema di whistleblowing, laddove il Modello sia adottato, ma non renderebbe obbligatoria l’adozione del Modello; con la conseguenza che, in assenza di un Modello, dovrebbero continuare a valere le considerazioni a suo tempo espresse dal Garante Privacy nella segnalazione al Parlamento, secondo cui l’adozione di sistemi di denuncia interna non è un obbligo imperativo di legge (perché non è imperativa l’adozione del Modello) e dunque non si può ritenere che i dati personali del segnalato possano esser trattati su tale base, ma andrebbe verificata l’esistenza di un legittimo interesse del Titolare. A diversa conclusione si potrebbe invece giungere laddove un ente decidesse di adottare un Modello 231: in quel caso l’implementazione di una procedura di denuncia interna diventerebbe obbligatoria per legge, e i dati personali di segnalante e segnalato sarebbero trattabili per adempiere ad un obbligo di legge.

Spifferare diventerà forse un po’ più facile, ma non facilissimo, insomma. Soprattutto nel contesto di gruppi multinazionali entro i quali le denunce transitano da una giurisdizione all’altra con relativa facilità. E su tutto, non va inoltre dimenticata la lezione del primo preconizzatore del whistleblowing moderno:

“La calunnia è un venticello
Un'auretta assai gentile
Che insensibile sottile
Leggermente dolcemente
Incomincia a sussurrar
(…)
E il meschino calunniato,
avvilito, calpestato,
sotto il pubblico flagello
per gran sorte ha crepar”

Questo articolo appare anche su #STRADEBLOG, il primo blog ospitato sul notiziario di un'agenzia di stampa, curato da Strade. Tutti i post di #STRADEBLOG diffusi da Public Policy - grazie per la fiducia e la collaborazione! - sono pubblicati, più o meno in contemporanea, su Strade.

• Scudiero
• privacy
• whistleblowing