Il caso

Whistleblowing, perché è importante la data protection: le norme

Il whistleblower per legge deve essere tutelato attraverso idonee misure di sicurezza, anche nei sistemi informatici: una violazione potrebbe comprometterne i dati personali. Riflettiamo sulla situazione prendendo spunto da un intervento di gennaio 2020 del Garante della privacy

16 Apr 2020
Alessia Del Pizzo

GDPR & ICT Legal Counsel


I dati del whistleblower devono essere protetti, attraverso l’adozione di adeguate misure di sicurezza anche nei sistemi informatici. Offre lo spunto per riflettere sull’argomento un provvedimento del Garante della privacy che in seguito all’accertamento di data breach causato dall’omessa implementazione di soluzioni tecnologiche atte ad adeguatamente tutelare l’identità del segnalante di possibili illeciti, ha inflitto una sanzione amministrativa da 30.000 euro ad una nota università italiana. Approfondiamo la situazione.

Il caso: la sanzione del Garante

Con provvedimento del 23 gennaio 2020 numero 9269618 il Garante per la protezione dei dati personali ha ribadito la necessità che i software per l’acquisizione e la gestione delle segnalazioni di illeciti, messi a disposizione dei dipendenti e dei soggetti terzi dal datore di lavoro, fossero corredati, coerentemente con quanto disposto dall’art. 32 del Regolamento Ue 2016/679 (GDPR), da idonee misure tecniche ed organizzative tali da garantire la riservatezza e l’integrità dei dati personali trattati mediante l’ausilio di tali applicativi.

Nel caso di specie si è verificato un errore nella fase di aggiornamento della piattaforma che, non solo, ha reso accessibili i dati identificativi degli informatori sul portale dell’Ateneo, ma ha comportato anche la loro indicizzazione sui motori di ricerca. L’infrastruttura tecnologica utilizzata, come emerso dall’istruttoria espletata, è risultata carente di quelle misure idonee a soddisfare i requisiti di privacy by design e privacy by default così come sanciti dal GDPR, quali ad esempio la cifratura delle informazioni.

La vicenda, poc’anzi descritta, sottende un’attività conosciuta con il termine atecnico di derivazione anglosassone whistleblowing (la cui traduzione letterale richiama l’immagine del poliziotto che, per evidenziare la commissione di un’infrazione, soffia nel proprio fischietto) ed offre un significativo spunto di riflessione in tema di sicurezza e gestione delle piattaforme di acquisizione delle segnalazioni, soprattutto alla luce della Direttiva (UE) 2019/1937, che certamente muterà la disciplina nazionale in materia, con particolare riferimento al settore pubblico. La mala gestio, infatti, è un fattore presente ancora in molte amministrazioni e ha la conseguenza di creare delle zone d’ombra nelle quali trovano un terreno straordinariamente fertile i conflitti di interesse e la corruzione. Questi fenomeni sono particolarmente insidiosi poiché si celano dietro una spessa patina di formalismi, idonei a mascherare una realtà ben diversa, fatta di abusi di potere, concorsi irregolari e appalti truccati.

Nella lotta alla corruzione e alle varie forme di illegalità nella pubblica amministrazione, oltre alle misure di carattere repressivo, assumono peculiare rilievo anche gli strumenti di carattere preventivo, quali, tra gli altri, le segnalazioni di quei soggetti che, operanti in una data organizzazione lavorativa, possono più facilmente accorgersi di eventuali condotte lecite o corruttive che stanno per consumarsi o che sono state perpetrate nell’ amministrazione di appartenenza. A tal fine è di primaria importanza individuare gli strumenti idonei ad incentivare la propensione individuale alla segnalazione, semplificandone le modalità e, soprattutto, proteggendo il segnalante in buona fede dalle possibili ritorsioni cui sarebbe esposto qualora fosse resa nota la sua identità.

La tutela al whistleblower

In merito, è ampiamente condivisa, sia dal legislatore europeo che italiano, l’idea che whistleblower, ossia il segnalatore di condotte illecite, debba essere tutelato attraverso un’adeguata legislazione, ciò allo scopo di promuovere l’integrità degli enti nei quali la segnalazione affiora. Com’è noto, la legge n. 190/2012, c.d. “legge anticorruzione”, introduce nell’ordinamento giuridico italiano le prime disposizioni mirate a proteggere il dipendente pubblico che segnala illeciti, inserendo l’art. 54-bis nel corpo del d.lgs. n. 165/2001, Testo Unico del Pubblico Impiego (T.U.P.I.).

Tale normativa è stata poi potenziata dalla legge n. 179/2017, che estende anche al settore privato la possibilità di dotarsi di sistemi di segnalazione degli illeciti. La legge in oggetto sancisce il divieto di ritorsioni nei confronti dell’autore della segnalazione, che non può essere sanzionato, demansionato, licenziato o trasferito. Inoltre, l’adozione di misure ritenute ritorsive nei confronti del segnalante può essere comunicata all’ANAC che informa il Dipartimento della funzione pubblica della Presidenza del Consiglio dei ministri o gli altri organismi di garanzia o di disciplina per le attività e gli eventuali provvedimenti di competenza.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Il legislatore, infine, precisa che il dipendente, licenziato a causa della segnalazione, deve essere reintegrato nel posto di lavoro. Risulta, dunque, valorizzo il ruolo dell’Anac, cui è stato attribuito il potere di sanzionare il responsabile di comportamenti discriminatori e di provvedimenti ritorsivi adottati nei confronti di un whistleblower; tuttavia, dall’entrata in vigore della legge n. 179/2017, soltanto recentemente, con delibera n. 782 del 4 settembre 2019, è stata irrogata la prima sanzione amministrativa pecuniaria, per un importo di soli euro 5.000. Il quadro normativo così ricostruito, invero, evidenzia chiaramente tutte le sue criticità; infatti, le disposizioni richiamate delineano esclusivamente una protezione generale e astratta che, soltanto se integrate con concrete misure tecniche e organizzative a tutela del dipendente, posso efficacemente contrastare il fenomeno corruttivo.

La legislazione europea

In questa direzione si muove la Direttiva (UE) 2019/1937, che dovrà essere recepita dagli ordinamenti nazionali entro dicembre 2021. L’obiettivo del legislatore europeo è garantire agli informatori dell’Unione un’uniforme protezione relativamente ad alcuni settori specifici, tra cui gli appalti pubblici (artt. 1 e 2). Il whistelblower, infatti, deve poter fare affidamento su una tutela effettiva ed efficace che eviti una sua esposizione a misure penalizzanti; solo in questo modo sarà possibile prevenire e accertare i fenomeni di corruzione connessi agli appalti pubblici, garantendo la corretta applicazione della normativa in materia da parte delle amministrazioni aggiudicatrici nazionali e degli enti aggiudicatori riguardo all’esecuzione di opere, alla fornitura di prodotti o di servizi.

La violazione di tali disposizioni ha l’effetto di creare distorsioni della concorrenza, aumentare i costi operativi per le imprese, danneggiare gli interessi degli investitori e degli azionisti e, soprattutto, diminuire l’attrattiva degli investimenti creando disparità di condizioni per le imprese nell’Unione, compromettendo così lo stesso funzionamento del mercato interno. Per tale ragione il legislatore europeo amplia l’ambito di applicazione soggettivo della normativa, riconoscendo una specifica tutela non solo ai lavoratori del settore pubblico e privato che acquisiscano informazioni sulle violazioni nel contesto lavorativo, ma anche a quelle categorie di persone fisiche che, pur non essendo «lavoratori» ai sensi dell’articolo 45, paragrafo 1, TFUE, possono trovarsi in una situazione di vulnerabilità economica nell’ambito delle loro attività professionali. Tali categorie di persone includono i lavoratori autonomi che prestano servizi, i lavoratori indipendenti, i contraenti, i subappaltatori e i fornitori (art. 4); ossia tutti quei professionisti che sono generalmente esposti a ritorsioni che possono, per esempio, prendere la forma di risoluzione o annullamento del contratto di servizi, della licenza o del permesso, perdita di opportunità commerciali, perdita di reddito, coercizione, intimidazioni o vessazioni, inserimento nelle liste nere o boicottaggio o danni alla reputazione.

Pari tutela è riconosciuta alle persone che hanno segnalato o divulgato pubblicamente informazioni su violazioni in forma anonima, la cui identità dovesse emergere in un secondo momento (art. 6). La direttiva, inoltre, chiede agli Stati membri di incoraggiare ciascun soggetto giuridico del settore pubblico e privato ad istituire canali interni di segnalazione, potendo liberamente definirne la tipologia, a condizione che sia garantita la riservatezza dell’identità della persona segnalante. In particolare, per garantire il rispetto delle norme in materia di appalti nel settore pubblico, l’obbligo di definire strumenti di segnalazione interni dovrebbe applicarsi a tutte le autorità aggiudicatrici e agli enti aggiudicatori a livello locale, regionale e nazionale in funzione delle loro dimensioni (considerando n. 52).

Le garanzie per i whistleblower

Gli informatori, dunque, sono incoraggiati a usare prima di tutto i canali interni alla loro organizzazione per poi ricorrere a quelli esterni che le autorità pubbliche sono tenute a istituire, laddove la violazione non possa essere affrontata efficacemente a livello interno o la persona segnalante ritenga che sussista il rischio di ritorsioni (art. 7). Tali meccanismi, in ogni caso, dovrebbero garantire che non solo l’identità di ogni persona segnalante, ma anche quella di ogni altra persona coinvolta e dei terzi (per esempio testimoni o colleghi), eventualmente menzionati nella segnalazione, sia protetta in tutte le fasi della procedura. Vi è, al tale scopo, la necessità di garantire la competenza di chi esamina le segnalazioni attraverso la selezione di una o più persone imparziali assegnate a questo compito, fermo restando l’applicazione del Regolamento (UE) 2016/679 in tema di trattamento dei dati personali (art. 17).

Tra le novità di maggiore rilievo si annovera l’obbligo per gli Stati membri di introdurre misure di sostegno, ossia di rendere accessibili a titolo gratuito informazioni e consulenze sulle procedure per la segnalazione di condotte illecite e le misure di protezione previste per l’informatore, nonché di garantire un’assistenza efficace per la protezione dalle ritorsioni, compreso, ove previsto dal diritto nazionale, la certificazione del fatto che possono beneficiare della protezione prevista dalla direttiva. Gli Stati membri, infine, dovranno garantire il patrocinio gratuito nell’ambito del procedimento penale o civile nel quale dovesse essere coinvolto l’informatore a causa della segnalazione (art. 20).

Conclusione

Da quanto detto, emerge che all’interno delle strategie di contrasto alla corruzione servono misure capaci incoraggiare la propensione alla denuncia. Risultato raggiungibile tutelando l’identità del segnalante e riequilibrando il rapporto costi/benefici per lo stesso. È evidente che la Direttiva (UE) 2019/1937, ampliando la portata soggettiva di applicazione delle misure a tutela dei whistleblower, impatterà in modo significativo sui settori rientranti nel suo ambito di applicazione, offrendo, altresì, al legislatore nazionale l’occasione per effettuare un’analisi critica della normativa in materia di whistleblowing ed apportare le dovute modifiche.

Se, infatti, molti individuano un disincentivo alla denuncia nella mancata previsione di “forme di premialità” (adottate negli Stati Uniti), non può non notarsi che la segnalazione dovrebbe fondare su valori etici e morali preordinati alla tutela dell’interesse pubblico e della legalità, che sarebbero da considerarsi tra i doveri minimi di diligenza, lealtà, imparzialità e buona condotta che i pubblici dipendenti sono tenuti ad osservare. In realtà, come accennato, il vero ostacolo al corretto funzionamento dell’istituto in esame è da individuare nel basso livello di fiducia nelle procedure, nella gestione delle segnalazioni e nel sistema giustizia. Proprio questi sono gli aspetti da cui bisogna partire per dare un forte colpo al problema dilagante della corruzione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3