Whistleblowing e tutela dei dati personali: il d.lgs. 10 marzo 2023, n. 24 (G.U. del 15 marzo 2023, n. 63) in tema di adempimenti connessi alla tutela della riservatezza del segnalante, del segnalato e delle persone coinvolte
A cura di Rossella Ceccarini
Il d.lgs. 10 marzo 2023, n. 24 (G.U. del 15 marzo 2023, n. 63) che recepisce la direttiva UE sul Whistleblowing comporta implicazioni sul piano della tutela dei dati personali sia di chi segnala i presunti illeciti, sia delle persone segnalate che di eventuali terzi coinvolti nel processo. Il nuovo decreto Whistleblowing pertanto specifica gli obblighi di riservatezza e di protezione dei dati personali, sia nella raccolta che nella conservazione delle segnalazioni, ed indica un percorso di compliance GDPR. Le disposizioni del decreto legislativo avranno effetto a decorrere dal 15 luglio 2023 e quindi consentiranno alle aziende di organizzarsi.
In particolare, è previsto all’art. 12 un obbligo di riservatezza per il quale le segnalazioni non possono essere utilizzate oltre quanto necessario per dare seguito alle stesse e l’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rilevate o divulgate, senza il consenso espresso della persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni espressamente autorizzate a trattare tali dati, ai sensi degli artt. 29 e 32 par. 4 GDPR e ai sensi dell’art. 2-quaterdecies del Codice in materia di protezione dei dati personali (d.lgs. n. 196/2003). Nell’ambito del procedimento penale, l’identità della persona segnalante è coperta dal segreto nei modi e nei limiti previsti dall’art. 329 c.p.p. che disciplina il segreto investigativo. Nell’ambito del procedimento avanti la Corte dei Conti l’identità della persona segnalante non può essere rivelata fino alla chiusura della fase istruttoria mentre nell’ambito dei procedimenti disciplinari l’identità della persona segnalante non può essere rivelata ove la contestazione dell’addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Nel caso in cui la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità della persona segnalante sia indispensabile per la difesa dell’incolpato, la segnalazione sarà utilizzabile solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità. In questi casi è dato avviso alla persona segnalante mediante comunicazione scritta delle ragioni della rivelazione dei dati riservati. I soggetti del settore pubblico e privato, l’ANAC e le altre autorità amministrative cui l’ANAC trasmette le segnalazioni esterne sono tenuti a garantire la tutela anche dell’identità delle persone coinvolte e delle persone menzionate nella segnalazione nel rispetto delle medesime garanzie previste in favore della persona segnalante. Il successivo art. 13 si occupa del trattamento dei dati personali stabilendo che ogni trattamento dei dati personali, compresa la comunicazione tra le autorità competenti, previsto dal decreto, deve essere effettuato a norma del regolamento (UE) 2016/679, del d.lgs. n. 196/2003 e del d.lgs. n. 51/2018.
Il decreto (art. 14) consente la conservazione delle segnalazioni interne ed esterne e della relativa documentazione, per il tempo necessario alla loro definizione e, comunque, per non più di cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui all’art. 12 e del principio di cui agli artt. 5, par. 1, lett. e), del Regolamento e 3, comma 1, lett. e), d.lgs. n. 51/2018. Secondo il Garante, questo termine massimo di conservazione della documentazione della segnalazione è compatibile con la durata media del termine prescrizionale dei principali illeciti suscettibili di verificarsi. Se per la segnalazione si utilizza una linea telefonica registrata o un altro sistema di messaggistica vocale registrato, la segnalazione, previo consenso della persona segnalante, è documentata a cura del personale addetto mediante registrazione su un dispositivo idoneo alla conservazione e all’ascolto oppure mediante trascrizione integrale. In caso di trascrizione, la persona segnalante può verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione.
Il successivo art. 15 consente che i whistleblowers vengano autorizzati a divulgare informazioni anche personali riferite ai segnalati o a terzi oggetto della segnalazione quando: – hanno previamente effettuato una segnalazione interna ed esterna, ma non hanno ricevuto riscontro nei termini; – hanno fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse; – hanno fondato motivo di ritenere che la segnalazione esterna possa comportare il rischio di ritorsioni o possa non avere efficace seguito in ragione delle specifiche circostanze del caso concreto. Inoltre, qualora fondino le loro segnalazioni su trattamenti di dati personali ai quali non erano autorizzati (ad esempio apertura di una mail indirizzata a un terzo con cui non hanno rapporti, ma loro recapitata per un errore di digitazione di un collega), i whistleblowers sono esonerati da responsabilità purché non abbiano commesso un vero e proprio reato di trattamento illecito di dati personali.
