Whistleblowing: il decreto legislativo di recepimento della Direttiva europea

Pubblicato in Gazzetta Ufficiale n. 63 del 15 marzo 2023, il Decreto Legislativo n. 24 del 10 marzo 2023, che entrerà in vigore il 30 marzo p.v. (il “Decreto WB”), ha recepito in via definitiva la Direttiva (UE) 2019/1937 in materia di whistleblowing (“Direttiva WB”).

L’implementazione obbligatoria di canali di segnalazione richiederà di valutare numerosi temi connessi di corporate governance, risk management, protezione dei dati personali e diritti dei lavoratori.

Whistleblowing: quadro normativo

La normativa prevede tutele specifiche per la protezione dei whistleblowers che segnalano violazioni di disposizioni normative nazionali ed europee, che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venuti a conoscenza in un contesto lavorativo pubblico o privato.

In materia di whistleblowing, era già prevista nel nostro ordinamento la Legge n. 179/2017 che ha apportato rilevanti modifiche sia al D. Lgs. n. 165/2001, recante la disciplina in materia di protezione del segnalante nel settore pubblico, sia al D. Lgs. n. 231/2001 attraverso l’introduzione del comma 2 dell’art. 6, che regola la tutela per il segnalante nel settore privato.

Finalità del Decreto WB

Il nuovo testo del Decreto WB persegue la finalità di rafforzare i principi di trasparenza e responsabilità, senza alcuna distinzione tra organizzazione pubblica o privata, con riferimento ai settori indicati dalla Direttiva WB (tra questi: appalti pubblici, servizi finanziari, sicurezza dei prodotti e dei trasporti, ambiente, alimenti, salute pubblica, privacy, sicurezza della rete e dei sistemi informatici, concorrenza).

Soggetti obbligati

Ai sensi del Decreto WB, l’obbligo di istituzione di un canale di segnalazione è previsto:

• per tutti i soggetti del settore pubblico, compresi i soggetti di proprietà o sotto il controllo di tali soggetti, nonché per i Comuni con più di 10.000 abitanti;
• a decorrere dal 15 luglio 2023, per i soggetti del settore privato con più di 250 dipendenti, a prescindere dall’adozione o meno di un Modello Organizzativo ex D.lgs. 231/2001;
• a partire dal 17 dicembre 2023, per i soggetti del settore privato che abbiano impiegato nell’ultimo anno una media di lavoratori subordinati tra i 50 e i 249, a prescindere dall’adozione o meno di un Modello Organizzativo ex D.lgs. 231/2001.

La tutela del whistleblower

Ai sensi dell’art. 3 del Decreto WB, l’ambito di applicazione soggettivo delle disposizioni del citato Decreto ricomprende dipendenti, collaboratori, lavoratori subordinati e autonomi, liberi professionisti ed appartenenti ad altre categorie come volontari, tirocinanti e azionisti. Inoltre, le misure di protezione si applicano anche ai cosiddetti “facilitatori”, ossia colleghi, parenti o affetti stabili del soggetto che ha segnalato.

Le misure di protezione previste sono volte a garantire la riservatezza del segnalante e il divieto di atti ritorsivi. La gestione dei canali di segnalazione deve essere affidata a una persona o a un ufficio interno oppure a un soggetto esterno, autonomo e con personale specificamente formato.

Le segnalazioni possono essere rese in forma scritta o orale ovvero, su richiesta specifica del segnalante, attraverso incontri diretti e posti in essere entro un termine ragionevole.

In ottemperanza a quanto previsto dal Decreto WB, può beneficiare delle tutele anche chi effettua la segnalazione mediante la divulgazione pubblica, a patto che sia stato preliminarmente utilizzato il canale interno o esterno, ma non vi sia stata una risposta appropriata o che non siano stati utilizzati i canali interni o esterni per rischio di ritorsione o per inefficacia di quei sistemi.

Segnalazione di condotte illecite e sanzioni

L’Autorità Nazionale Anticorruzione (“ANAC”) viene individuata, in presenza delle condizioni elencate dall’art. 6 del Decreto WB, quale unica autorità competente a ricevere e gestire segnalazioni in materia di whistleblowing attraverso appositi canali di segnalazione esterni.

Inoltre, in caso di mancato adeguamento o violazione della disciplina, l’ANAC può irrogare le sanzioni amministrative pecuniarie da 10.000 a 50.000 euro nei casi in cui vengano commesse ritorsioni o quando viene accertato che una segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l’obbligo di riservatezza, oppure da 10.000 a 50.000 euro nel caso accerti che non sono stati istituiti canali di segnalazione o che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni; inoltre sono previste sanzioni da 500 a 2.500 euro, nel caso in cui venga accertata la responsabilità penale della persona segnalante per i reati di diffamazione o di calunnia.

Profili privacy connessi alle segnalazioni e relativi adempimenti ai sensi del GDPR

Con riferimento ai profili relativi al trattamento dei dati personali, l’art. 13 del nuovo Decreto WB stabilisce che ogni trattamento dovrà essere posto in essere nel rispetto del Regolamento (UE) 679/2016 (“GDPR”).

L’art. 13 del Decreto WB chiarisce i dubbi interpretativi scaturiti dal Parere dell’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) in merito alla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza (“OdV”) eventualmente designato ai sensi del D.lgs. 231/2001.

In quell’occasione, il Garante Privacy si concentrò unicamente sui profili privacy connessi ai trattamenti svolti dall’OdV nell’attività di vigilanza (qualificando i membri dell’OdV come “soggetti autorizzati” ai sensi dell’art. 29 del GDPR e dell’art. 2 quaterdecies del D.lgs. 196/2003 così come modificato dal D.lgs. 101/2018, “Codice Privacy”), senza occuparsi, invece, di quelli derivanti da eventuali segnalazioni.

Il predetto articolo interviene quindi sul punto, individuando in modo chiaro i ruoli privacy delle parti coinvolte nei trattamenti connessi alla gestione delle segnalazioni e definendone le relative responsabilità.

Nello specifico, i trattamenti di dati personali relativi al ricevimento e alla gestione delle segnalazioni saranno svolti dai soggetti individuati dal Decreto WB in qualità di autonomi titolari del trattamento, i quali quindi saranno responsabili del rispetto di tutti gli obblighi previsti dal GDPR.

Rispetto agli adempimenti previsti dal GDPR, i titolari del trattamento sono tenuti - oltre che al rispetto dei principi di cui all’art. 5 e 25 del GDPR (rispettivamente, i principi applicabili al trattamento e il principio di privacy by design e by default) e all’adempimento di tutti gli ulteriori obblighi previsti dal GDPR (ad es., obblighi di trasparenza nei confronti degli interessati, etc.) - anche ad adottare e implementare una serie di misure sia tecniche che organizzative volte a tutelare la riservatezza del segnalante, nonché l’integrità e la confidenzialità dei dati personali oggetto di segnalazione. 

A tale fine, nell’ambito dell’implementazione del proprio modello di ricevimento e gestione delle segnalazioni interne, gli enti pubblici e privati destinatari delle nuove norme dovranno svolgere una valutazione di impatto (cd. “Data Protection Impact Assesment”) ex art. 35 del GDPR al fine di individuare le misure tecniche ed organizzative necessarie a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati.

Con riferimento alla conservazione della documentazione inerente alle segnalazioni, l’art. 14 del Decreto WB stabilisce che la stessa debba essere conservata per il tempo strettamente necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza e del principio di limitazione della conservazione di cui all’art. 5 del GDPR.

Questo periodo massimo di conservazione è, secondo il Parere del Garante Privacy espressosi a gennaio 2023 sullo schema di Decreto, compatibile con la durata media del termine prescrizionale dei principali illeciti suscettibili di verificarsi.

Infine, con riferimento alla riservatezza delle segnalazioni e all’identità del segnalante, l’art. 12 del Decreto WB sancisce il principio generale secondo cui le segnalazioni non possano essere utilizzate se non per darvi seguito, con espresso divieto di rivelazione dell’identità del segnalante a persone diverse da quelle specificamente autorizzate anche ai sensi degli articoli 29 e 32(4) del GDPR e 2-quaterdecies del Codice Privacy, ad eccezione del caso in cui il segnalante abbia manifestato il proprio consenso espresso.

Invece, nell’ambito del procedimento penale, l’identità del segnalante è di per sé coperta da segreto ai sensi dell’articolo 329 c.p.p., mentre nel procedimento dinanzi alla magistratura contabile essa non può essere rivelata sino alla chiusura della fase istruttoria.

Nell’ambito del procedimento disciplinare, infine, l’identità del segnalante non può essere rivelata ove la contestazione dell’illecito disciplinare si fondi su accertamenti distinti e ulteriori rispetto alla segnalazione.

Profili giuslavoristici

Da un punto di vista giuslavoristico, è necessario porre l’accento sulla tema della tutela offerta al whistleblower e agli altri soggetti ad esso equiparati.

Gli aspetti principali da segnalare sono quelli riguardanti la tutela della riservatezza dell’identità del segnalante e il divieto, da parte del datore di lavoro, di porre in essere condotte ritorsive nei confronti dello stesso (i.e. licenziamento, mutamento di mansioni, così come ogni altra misura che possa essere ritenuta tale), con conseguenze anche dal punto di vista processuale in quanto viene alleggerito l’onere probatorio in capo al segnalante. Grava sul datore di lavoro, infatti, dimostrare che le misure adottate nei confronti del dipendete sono fondate su ragioni estranee alla segnalazione.

L’articolo 17 del Decreto WB, poi, sancisce espressamente il divieto di ritorsione nei confronti del segnalante e fornisce, in linea con quanto indicato anche nell’art. 19 della Direttiva WB, un elenco non esaustivo di possibili fattispecie ritorsive, quali il licenziamento, il mutamento di funzioni, il cambiamento del luogo di lavoro o la modifica dell’orario di lavoro, la sospensione della formazione o qualsiasi restrizione dell’accesso alla stessa, le note di merito negative o le referenze negative, l’adozione di misure disciplinari.

La garanzia di riservatezza nei confronti del segnalante viene garantita anche nell’ambito del procedimento disciplinare avviato nei confronti del soggetto segnalato in quanto non possono essere rivelate, a persone diverse da quelle espressamente autorizzate, senza il consenso espresso del segnalante, l’identità di quest’ultimo e qualsiasi altra informazione da cui possa evincersi, direttamente o indirettamente, la stessa.

Con la modifica dell’articolo 4 della legge n. 604 del 1966, viene prevista la nullità del licenziamento conseguente all’esercizio di un diritto ovvero alla segnalazione, alla denuncia all’autorità giudiziaria o contabile o alla divulgazione pubblica effettuate in base alle norme sul whistleblowing.

Infine, quale ulteriore tutela nei confronti del whistleblower, l’articolo 22 del Decreto WB stabilisce che le rinunce e le transazioni, integrali o parziali, che hanno per oggetto i diritti e le tutele previsti dal decreto medesimo non sono valide, salvo che siano effettuate nelle forme e nei modi di cui all’art. 2113(4) del c.c.

Conclusioni: come adeguarsi alle nuove previsioni?

Le disposizioni del Decreto WB hanno effetto a decorrere dal 15 luglio 2023.

Per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a duecentoquarantanove, l’obbligo di istituzione del canale di segnalazione interna ha effetto a decorrere dal 17 dicembre 2023.

In considerazione di quanto sopra, i soggetti interessati dalla nuova normativa dovranno quindi prevedere all’interno del proprio contesto aziendale tutti quei processi necessari per dare attuazione al Decreto WB e, in particolare, tali soggetti dovranno:

• predisporre o implementare appositi canali di segnalazione interni per consentire di inviare segnalazioni sia per iscritto (attraverso una piattaforma online, un indirizzo e-mail o per posta) sia a voce (tramite una hotline telefonica o un sistema di segreteria telefonica).

Se i canali di segnalazione interni non dovessero essere implementati, i segnalanti potranno rivolgersi solo alleautorità pubbliche o ai media, con evidenti conseguenze finanziarie e reputazionali per le aziende;

• tutelare la riservatezza del segnalante e del contenuto della segnalazione, anche tramite l’implementazione di misure tecniche ed organizzative ai sensi del GDPR (ad esempio, strumenti di crittografia);
• adeguare i canali di segnalazione già adottati, se si tratta di enti e società già dotati di Modelli di Organizzazione e Gestione;
• regolamentare la gestione dei canali di segnalazione mediante la predisposizione di una specifica procedura, che disciplini le modalità e i destinatari della segnalazione, i relativi adempimenti e le funzioni coinvolte;
• informare e sensibilizzare dipendenti e terzi interessati in merito alle finalità, alle modalità di utilizzo dei canali di segnalazione e alle procedure adottate.

***

Enlgish version

Whistleblowing: implementation of the European Directive through Legislative Decree

The Legislative Decree no. 24 of 10^th March 2023, which will become effective on 30^th March 2023 (the “WB Decree”), was published in the Official Gazette no. 63 on 15^th March 2023 and it definitively implements Directive (EU) 2019/1937 on whistleblowing (“WB Directive”).

The implementation of mandatory reporting channels will require evaluating numerous connected topics such as corporate governance, risk management, personal data protection, and workers’ rights.

Regulatory Framework for Whistleblowing

Italian legislation provides specific protections for whistleblowers who report violations of national and European regulations that harm the public interest or the integrity of the public administration or private entity that they become aware of in a public or private work context.

Our legal system already provided for Law no. 179/2017, which made significant changes to both Legislative Decree no. 165/2001, regulating protection for whistleblowers in the public sector, and Legislative Decree no. 231/2001, through the introduction of paragraph 2 of Article 6, which regulates protection for whistleblowers in the private sector.

Purpose of the WB Decree

The new text of the WB Decree aims to strengthen the principles of transparency and accountability, without any distinction between public or private organizations, with reference to the sectors indicated by the WB Directive (including public contracts, financial services, product and transportation safety, environment, food, public health, privacy, network, and computer system security, and competition).

Obliged parties

Under the WB Decree, the obligation to establish a reporting channel is provided for:

• all subjects in the public sector, including those owned or controlled by such subjects, as well as for municipalities with more than 10,000 inhabitants;
• starting from July 15, 2023, for private sector entities with more than 250 employees, regardless of whether or not they adopt an Organizational Model pursuant to Legislative Decree no. 231/2001;
• starting from December 17, 2023, for private sector entities that have employed an average of between 50 and 249 subordinate employees in the last year, regardless of whether or not they adopt an Organizational Model pursuant to Legislative Decree no. 231/2001.

Protection of whistleblowers

Under Article 3 of the WB Decree, the provisions of the aforementioned Decree apply to employees, collaborators, subordinate and independent workers, freelancers, and members of other categories such as volunteers, trainees, and shareholders. The protective measures also apply to the so-called "facilitators," i.e., colleagues, relatives, or stable partners of the subject who reported.

The protective measures provided are aimed at ensuring the confidentiality of the whistleblower and the prohibition of retaliatory acts. The management of the reporting channels must be entrusted to a person or internal office or an external subject, autonomous, and specifically trained personnel.

Reports can be made in written or oral form, or, at the request of the whistleblower, through direct meetings, within a reasonable time frame.

In compliance with the provisions of the WB Decree, those who report through public disclosure can also benefit from protections, provided that the internal or external channel has been preliminarily used, but there has been no appropriate response or the internal or external channels have not been used for fear of retaliation or because of the inefficacy of those systems.

Reporting illicit conduct and sanctions

The National Anti-Corruption Authority (“ANAC”) is identified, under the conditions listed in Article 6 of the WB Decree, as the only competent authority to receive and manage reports regarding whistleblowing through dedicated external reporting channels.

Furthermore, in the event of non-compliance or violation of the regulations, the ANAC may impose administrative fines ranging from €10,000 to €50,000 in cases where retaliation is committed or when it is found that a report has been obstructed or attempted to be obstructed, or confidentiality obligations have been violated. Fines of €10,000 to €50,000 may also be imposed if it is found that reporting channels have not been established or if procedures for reporting and managing reports have not been adopted. In addition, fines of €500 to €2,500 may be imposed if the whistleblower is found criminally responsible for the offenses of defamation or slander

Privacy aspects related to reporting and obligations under GDPR

The new WB Decree provides that all personal data processing related to reporting must be carried out in compliance with EU Regulation 2016/679, also known as the GDPR.

Article 13 of the WB Decree clarifies the uncertain interpretations arising from the Opinion of the Italian Data Protection (“Italian DPA”) about the subjective qualification for privacy purposes of the Supervisory Body eventually appointed pursuant to the Italian Legislative Decree 231/2001.

On that occasion, the Italian DPA focused only on the privacy aspects related to the processing of personal data carried out by the Supervisory Body in its supervisory activities, qualifying the members of the Supervisory Body as “authorized persons” pursuant to Article 29 of the GDPR and Article 2-quaterdecies of the Legislative Decree 196/2003 as amended by Legislative Decree 101/2018 (“Italian Privacy Code”). It did not, however, address the privacy aspects that arise from reporting.

Article 13 of the WB Decree addresses this gap by identifying the roles of the parties involved in data processing for reporting management and defining their respective responsibilities.

More specifically, the processing of personal data related to the receipt and management of reports will be carried out by the entities identified by the WB Decree as independent data controllers, who will therefore be responsible for complying with all obligations set forth in the GDPR.

With regard to the fulfilment provided for by the GDPR, the data controllers are required – in addition to complying with the principles set forth in Articles 5 and 15 of the GDPR (respectively, the principles relating to processing of personal data and the data protection by design and by default’s principle) and fulfilling all additional obligations under the GDPR (e.g., transparency obligations to data subjects, etc.) - to also adopt and implement a number of both technical and organizational measures aimed at protecting the confidentiality of the whistleblower, as well as the integrity and confidentiality of the personal data being reported.

To this end, as part of the implementation of their model for the receipt and management of internal reports, public and private entities subject to the new rules will have to carry out a Data Protection Impact Assessment under Article 35 of the GDPR in order to identify the technical and organizational measures necessary to ensure a level of security appropriate to the specific risks arising from the processing of personal data carried out.

With reference to the storage of documentation concerning the reporting, Article 14 of the WB Decree establishes that the same shall be kept for as long as strictly necessary for the processing of the reports and, in any case, no longer than five years from the date of communication of the final outcome of the reporting procedure, in compliance with confidentiality obligations and the principle of data minimisation referred to in Article 5 of the GDPR.

According to the Opinion of the Italian DPA issued in January 2023 on the draft of the WB Decree, such maximum retention period is in line with the average length of the prescription period of the main criminal offences that are likely to be committed.

Lastly, with reference to the confidentiality of the report and the identity of the whistleblower, Article 12 of the WB Decree establishes the general principle whereby reports may not be used except for the purpose of providing follow up, with express prohibition of disclosure of the identity of the whistleblower to persons other than those specifically authorized also pursuant to Articles 29 and 32(4) of the GDPR and 2-quaterdecies of the Privacy Code, with the exception of the case in which the whistleblower has expressed his/her consent.

Whereas, in criminal proceedings, the identity of the whistleblower is per se covered by secrecy under Article 329 of the Code of Criminal Procedure, while in proceedings before the accounting courts it cannot be disclosed until the investigation phase is closed.

Finally, in disciplinary proceedings, the identity of the whistleblower may not be disclosed where the allegation of disciplinary offence is based on investigations separate and additional to the reporting.

Employment law aspects

From an employment law point of view, it is necessary to focus on the issue of the protection offered to the whistleblower and other individuals who are considered in the same position as the latter.

The main aspects to be pointed out are those concerning the protection of the confidentiality of the identity of the whistleblower and the prohibition for the employer to engage in retaliatory conduct against the whistleblower (i.e., dismissal, change of duties, as well as any other measure that may be deemed as such), with consequences also from the procedural point of view because the burden of proof on the whistleblower is lightened. Indeed, the burden is on the employer to prove that the actions taken against the employees are based on reasons unrelated to their report.

Article 17 of the WB Decree, then, expressly establishes the prohibition of retaliation against the whistleblower and provides, as also indicated in Article 19 of the WB Directive, a list of examples of possible retaliatory cases, such as dismissal, change of duties, change of workplace or change of working hours, suspension of training or any restriction of access to it, negative merit notes or negative references, and the taking of disciplinary measures.

Whistleblowers’ confidentiality is also guaranteed in the disciplinary proceedings initiated against the reported person because their identity and any other information from which they may be inferred, directly or indirectly, may not be revealed to persons other than those expressly authorised without the express consent of the whistleblowers.

Moreover, with an amendment to Article 4 of Law no. 604 of 1966, it has been provided that dismissal resulting from exercising a right or the reporting to the judicial bodies or accounting authorities or public disclosure made under the whistleblowing rules is null and void.

Finally, as further protection for the whistleblowers, article 22 of the WB Decree stipulates that waivers and settlements, in whole or in part, which have as their object the rights and protections provided for in the decree itself are not valid unless they are made meeting the requirement set in Article 2113(4) of the Civil Code (i.e., before a competent settlement venue).

Conclusion: How to comply with the new provisions?

The provisions of the WB Decree will come into effect on 15^th July 2023.

For private sector entities that have employed an average of up to 249 employees with indefinite or fixed-term employment contracts in the last year, the obligation to establish an internal reporting channel will take effect from December 17, 2023.

Entities affected by the new regulations will need to establish all the necessary processes within their company context to implement the WB Decree. Specifically, these entities will need to:

• prepare or implement dedicated internal reporting channels for the submission of reports in writing (through an online platform, email, or mail) or orally (through a telephone hotline or voicemail system).

If internal reporting channels are not implemented, whistleblowers may only contact public authorities or the media, which could have obvious financial and reputational consequences for companies;

• protect the confidentiality of the whistleblower and the content of the report, also by implementing technical and organizational measures in accordance with the GDPR (such as encryption tools);
• adapt existing reporting channels if they are entities and companies that have already adopted Organizational and Management Models;
• regulate the management of reporting channels by preparing a specific procedure that governs the methods and recipients of the report, the related obligations, and the functions involved;
• inform and raise awareness among employees and other interested parties about the purposes, methods of use of reporting channels, and the procedures adopted.