Nuova Normativa Whistleblowing Italia 2023: Tutela, Obblighi e Sanzioni (D.Lgs. 24/2023)

Introduzione: la nuova normativa italiana sul whistleblowing (D.Lgs. 24/2023)

Il D.Lgs. 24/2023, entrato in vigore il 15 luglio 2023, ha segnato un importante passo avanti nella tutela dei whistleblower in Italia, recependo la Direttiva UE 2019/1937.

Questa normativa ha ampliato significativamente l’ambito di applicazione della protezione per i segnalanti, estendendola sia al settore pubblico che a quello privato.

Un aspetto cruciale della nuova legge è l’obbligo, per le organizzazioni con più di 50 dipendenti, di istituire canali di segnalazione interni. Questi canali devono garantire la riservatezza dell’identità del segnalante e seguire procedure chiare per la gestione delle segnalazioni. Il decreto prevede anche la possibilità di effettuare segnalazioni esterne all’ANAC o alle autorità competenti, nonché la divulgazione pubblica in casi specifici.

La normativa ha introdotto una definizione più ampia di “violazione“, includendo non solo le infrazioni del diritto dell’Unione Europea, ma anche quelle del diritto nazionale. Questo ampliamento mira a coprire un ventaglio più ampio di potenziali illeciti e irregolarità.

Un elemento di novità è l’estensione della protezione a una categoria più ampia di soggetti, non limitandosi ai soli dipendenti, ma includendo anche collaboratori, fornitori, e persino ex dipendenti che siano venuti a conoscenza di illeciti durante il loro rapporto di lavoro.

Il decreto ha poi rafforzato le misure di protezione contro le ritorsioni, prevedendo il divieto di atti discriminatori e introducendo l’inversione dell’onere della prova in caso di presunta ritorsione. Inoltre, ha stabilito sanzioni più severe per chi viola la riservatezza del segnalante o attua misure ritorsive.

Un aspetto controverso della nuova normativa riguarda la gestione delle segnalazioni anonime. Il decreto non le vieta esplicitamente, ma non fornisce nemmeno indicazioni chiare sulla loro gestione, lasciando spazio a interpretazioni diverse.

La normativa ha anche introdotto l’obbligo di effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) per i sistemi di whistleblowing, riconoscendo la delicatezza dei dati trattati in queste procedure.

Infine, il decreto ha previsto un ruolo centrale per l’ANAC nella supervisione e nell’applicazione della normativa, affidandole il compito di emanare linee guida e gestire le segnalazioni esterne.

Nonostante questi progressi, l’attuazione pratica della normativa presenta ancora diverse sfide, in particolare per quanto riguarda l’implementazione dei canali di segnalazione nelle piccole e medie imprese e la gestione delle segnalazioni nei gruppi societari.

Sentenza Cassazione n. 17715/2024 sui limiti della tutela del whistleblower

La normativa di tutela del dipendente pubblico che segnala condotte illecite di cui è venuto a conoscenza nel contesto lavorativo, ex art. 54-bis del d.lgs. n. 165 del 2001 ratione temporis applicabile (c.d. “whistleblowing”), non può essere estesa fino a ricomprendere improprie attività investigative poste in essere dal lavoratore, in violazione dei limiti di legge, per raccogliere prove di illeciti nell’ambiente di lavoro, né può riconoscersi efficacia scriminante alle segnalazioni effettuate per scopi essenzialmente di carattere personale o per contestazioni o rivendicazioni inerenti al rapporto di lavoro nei confronti dei superiori.

La sentenza n. 17715 del 27 giugno 2024 della Sezione Lavoro della Corte di Cassazione ha fornito importanti chiarimenti sui limiti della tutela del whistleblower, affrontando il caso di una dipendente pubblica licenziata per aver registrato segretamente una conversazione con un collega e averla poi divulgata su un social network.

La Corte ha ribadito che la normativa sul whistleblowing, in particolare l’art. 54-bis del D.Lgs. 165/2001, non può essere interpretata come un’autorizzazione generale a compiere atti illeciti o impropri per raccogliere prove di presunte irregolarità.

La tutela prevista dalla legge si applica solo a chi segnala notizie di attività illecite di cui è venuto a conoscenza nell’ambito del proprio lavoro, senza estendersi a indagini private o violazioni della legge compiute dal segnalante stesso.

Un punto cruciale della sentenza riguarda l’importanza di seguire le procedure previste dall’ente per le segnalazioni. Nel caso specifico, la Corte ha ritenuto che la dipendente avesse utilizzato impropriamente l’istituto del whistleblowing, non avendo seguito la procedura stabilita dal piano triennale di prevenzione della corruzione dell’azienda, che prevedeva l’invio della segnalazione a un indirizzo email dedicato per garantire l’anonimato.

La Cassazione ha anche sottolineato che la registrazione segreta di conversazioni sul luogo di lavoro e la loro divulgazione non autorizzata costituiscono una grave violazione della riservatezza, che può giustificare il licenziamento. Questo principio si applica a meno che la registrazione non sia necessaria per difendere un diritto in giudizio e sia utilizzata solo per tale scopo.

La sentenza ha quindi confermato la legittimità del licenziamento per giusta causa, ritenendo che le condotte della dipendente fossero incompatibili con gli obblighi di correttezza e buona fede nel rapporto di lavoro.

Questa decisione della Cassazione è particolarmente rilevante perché delinea chiaramente i confini della tutela del whistleblower: se da un lato la normativa mira a proteggere chi segnala illeciti in buona fede, dall’altro non può essere interpretata come un “lasciapassare” per comportamenti illeciti o violazioni della privacy altrui.

La Corte ha inoltre evidenziato l’importanza di valutare il contesto complessivo in cui si inserisce il licenziamento di un whistleblower, considerando elementi come la tempistica rispetto alle segnalazioni effettuate e l’eventuale ridimensionamento delle mansioni del dipendente.

Tuttavia, ha anche chiarito che l’esistenza di segnalazioni precedenti non immunizza automaticamente il dipendente da provvedimenti disciplinari per condotte illecite non direttamente collegate alle segnalazioni stesse.

Questa sentenza offre quindi una guida importante per i professionisti del diritto del lavoro e per le aziende nella gestione dei casi di whistleblowing, sottolineando la necessità di un equilibrio tra la tutela del segnalante e il rispetto delle norme sulla privacy e sulla correttezza nei rapporti di lavoro.

Sentenza Cassazione n. 12688/2024 sulla valutazione del licenziamento del whistleblower

La segnalazione ex art. 54-bis del d.lgs. n. 165 del 2001 (cd. “whistleblowing”) sottrae alla reazione disciplinare del soggetto datore tutte quelle condotte che, per quanto rilevanti persino sotto il profilo penale, siano funzionalmente correlate alla denunzia dell’illecito, risultando riconducibili alla causa di esonero da responsabilità disciplinare di cui alla norma invocata.

La sentenza n. 12688 del 9 maggio 2024 della Sezione Lavoro della Corte di Cassazione ha fornito importanti chiarimenti sulla valutazione della legittimità del licenziamento di un whistleblower, stabilendo che è necessario considerare l’intero contesto in cui si inserisce il provvedimento espulsivo, anche quando l’addebito disciplinare non è direttamente collegato alle denunce effettuate dal dipendente.

Nel caso specifico, la Corte ha accolto il ricorso di un dirigente pubblico licenziato, cassando la sentenza d’appello che aveva dichiarato legittimo il licenziamento. La Cassazione ha ritenuto che la Corte territoriale avesse errato nel non considerare adeguatamente il whistleblowing fatto dal dirigente, gli obblighi di protezione previsti per i whistleblower, la tempistica del licenziamento rispetto alla conoscenza delle denunce da parte dei vertici aziendali e il progressivo ridimensionamento delle attribuzioni del dirigente.

La sentenza ribadisce il principio per cui il motivo illecito ritorsivo deve essere determinante ed esclusivo nel licenziamento, ma afferma che è necessario considerare il contesto complessivo. Questo significa che, anche quando l’addebito disciplinare sembra prima facie non collegato alle denunce, è fondamentale valutare l’intera vicenda per determinare se il licenziamento sia effettivamente legittimo o se nasconda intenti ritorsivi.

La Corte ha sottolineato che, nel delineare l’effettiva responsabilità disciplinare del dirigente, si deve tener conto del whistleblowing di cui questo era autore, dell’eventuale esautoramento di attribuzioni a suo danno e delle tempistiche tra tali fatti e il relativo licenziamento. Questo approccio mira a garantire una tutela effettiva al whistleblower, evitando che eventuali ritorsioni possano essere mascherate da provvedimenti disciplinari apparentemente legittimi.

La sentenza rappresenta un importante passo avanti nella tutela dei whistleblower, poiché richiede ai giudici di merito una valutazione più approfondita e contestualizzata dei licenziamenti che coinvolgono segnalanti di illeciti. Questo approccio potrebbe rendere più difficile per i datori di lavoro utilizzare presunte infrazioni disciplinari come pretesto per liberarsi di dipendenti “scomodi” che hanno denunciato irregolarità.

D’altra parte, la sentenza non stabilisce un’immunità assoluta per i whistleblower: rimane fermo il principio che, se il licenziamento è effettivamente basato su una giusta causa non collegata alle segnalazioni, esso può essere considerato legittimo. La Corte richiede però una valutazione più attenta e complessiva per accertare che non vi siano intenti ritorsivi nascosti.

Questa decisione ha importanti implicazioni pratiche per avvocati e consulenti del lavoro. In caso di contenzioso su licenziamenti di whistleblower, sarà necessario presentare e valutare un quadro probatorio più ampio, che includa non solo i fatti specifici contestati, ma anche l’intera storia del rapporto di lavoro, le segnalazioni effettuate e le eventuali modifiche nelle condizioni di lavoro del dipendente successive alle segnalazioni.

Per le aziende, la sentenza sottolinea l’importanza di gestire con estrema cautela i procedimenti disciplinari nei confronti di dipendenti che hanno effettuato segnalazioni, assicurandosi che ogni provvedimento sia solidamente motivato e documentato, e che non possa essere interpretato come una ritorsione mascherata.

Capitolo 4: Relazione della Commissione Europea sull’attuazione della Direttiva Whistleblowing

La Relazione della Commissione Europea sull’attuazione della Direttiva Whistleblowing, pubblicata il 3 luglio 2024, offre un quadro in chiaroscuro dello stato di recepimento e applicazione della normativa nei vari Stati membri dell’UE. Questo documento è di particolare interesse per i professionisti legali italiani, in quanto fornisce spunti interpretativi importanti e permette di contestualizzare la normativa nazionale nel più ampio panorama europeo.

La Commissione ha evidenziato ritardi significativi nel recepimento della Direttiva da parte di molti Stati membri, sottolineando la gravità di questa mancanza data l’importanza della normativa per la salvaguardia dell’interesse pubblico. L’Italia, pur avendo recepito la Direttiva con il D.Lgs. 24/2023, non è esente da criticità nell’attuazione di alcune disposizioni.

Il rapporto evidenzia diverse problematiche nell’implementazione della Direttiva negli Stati membri dell’UE.

Queste includono:

Una trasposizione incompleta o errata dell’ambito materiale e personale della Direttiva.

La trasposizione incompleta o errata dell’ambito materiale e personale della Direttiva (UE) 2019/1937 riguarda il modo in cui alcuni Stati membri dell’Unione Europea hanno recepito e implementato le disposizioni della Direttiva all’interno del proprio ordinamento giuridico, con specifico riferimento a:

Ambito Materiale:

L’ambito materiale della Direttiva si riferisce ai tipi di violazioni che possono essere segnalate dai whistleblower. La Direttiva copre un’ampia gamma di settori, come:

• Appalti pubblici
• Servizi finanziari
• Riciclaggio di denaro
• Sicurezza dei trasporti
• Protezione ambientale
• Salute pubblica
• Protezione dei dati
• Norme che riguardano il mercato interno e gli interessi finanziari dell’Unione Europea

La trasposizione errata dell’ambito materiale si verifica quando gli Stati membri limitano indebitamente le tipologie di violazioni che possono essere segnalate, restringendo così il campo di applicazione della Direttiva. Alcuni Stati, ad esempio:

• Escludono la segnalazione di abusi di diritto: Alcuni paesi non permettono la segnalazione di situazioni in cui le violazioni minano lo scopo delle regole che rientrano nell’ambito della Direttiva (es. nel diritto fiscale).
• La mancanza di chiari riferimenti alle norme UE applicabili in alcuni ambiti specifici, come le violazioni che ledono gli interessi finanziari dell’Unione o quelle relative al mercato interno.

Questo punto riguarda l’obbligo degli Stati membri di recepire in modo preciso le norme e le disposizioni dell’UE relative a settori fondamentali come la protezione degli interessi finanziari dell’Unione e le regole sul mercato interno.

La Direttiva richiede che le violazioni in questi ambiti vengano incluse nel materiale che i whistleblower possono segnalare, in quanto sono di primaria importanza per l’applicazione delle leggi comunitarie.

Tuttavia, alcuni Stati membri non hanno fatto chiari riferimenti a queste specifiche normative dell’UE.

Questa omissione può creare incertezza giuridica, limitando la possibilità di segnalare violazioni rilevanti per il mercato interno o per la protezione del bilancio dell’Unione. Ad esempio, una violazione delle regole fiscali che compromette gli interessi finanziari dell’Unione dovrebbe rientrare nell’ambito della Direttiva, ma senza una chiara trasposizione, i whistleblower potrebbero non essere protetti in questi contesti.

Ambito Personale:

L’ambito personale della Direttiva si riferisce a chi può beneficiare della protezione offerta dalla Direttiva. Include una vasta gamma di soggetti, tra cui:

• Lavoratori
• Lavoratori autonomi
• Tirocinanti e volontari
• Fornitori e subappaltatori
• Facilitatori e altre persone connesse ai whistleblower (es. familiari, colleghi)

Alcuni Stati membri hanno trasposto in modo errato o incompleto anche questo aspetto

La Direttiva stabilisce che la protezione deve essere concessa a un’ampia gamma di persone che hanno accesso a informazioni sensibili grazie alla loro attività lavorativa, includendo non solo i lavoratori dipendenti, ma anche i lavoratori autonomi. Tuttavia, alcuni Stati membri hanno limitato la definizione di “lavoratore” e “lavoratore autonomo” alla nozione prevista dal loro diritto nazionale, senza fare riferimento agli articoli 45(1) e 49 del Trattato sul Funzionamento dell’Unione Europea (TFUE), che garantiscono la libera circolazione dei lavoratori e la libertà di stabilimento. C

iò porta a un’applicazione non uniforme delle definizioni tra i diversi Stati membri e può escludere categorie di lavoratori che invece, secondo il diritto dell’UE, dovrebbero essere protetti. Per esempio, un lavoratore autonomo in uno Stato membro potrebbe non essere considerato tale in un altro, creando discrepanze nell’accesso alla protezione della Direttiva.

• Omissione di alcune categorie di persone: Alcuni Stati non hanno incluso nella loro legislazione tutte le categorie di persone protette, come i volontari, i tirocinanti o i fornitori. Questo limita la protezione a un numero ristretto di persone, rispetto a quanto previsto dalla Direttiva.
• Applicazione limitata ai soli lavoratori dipendenti: Alcuni paesi hanno ristretto il concetto di “lavoratori” alla sola definizione nazionale, escludendo le persone con contratti di lavoro autonomo, contrariamente a quanto previsto dalla Direttiva.
• La mancata protezione di alcune categorie di persone come volontari o facilitatori.

• L’implementazione incoerente dei canali di segnalazione interni ed esterni.

La Direttiva garantisce ai whistleblower la libertà di scegliere se effettuare una segnalazione attraverso canali interni (all’interno dell’organizzazione) oppure esterni (a un’autorità competente).

Questo principio di libera scelta mira a facilitare le segnalazioni e a garantire che i whistleblower possano scegliere il metodo che ritengono più sicuro. Tuttavia, alcuni Stati membri hanno imposto restrizioni su questo diritto, obbligando i whistleblower a utilizzare prima i canali interni, o consentendo la segnalazione esterna solo in determinate circostanze.

Queste limitazioni violano il principio stabilito dalla Direttiva, che invece prevede che i whistleblower possano optare direttamente per una segnalazione esterna se lo ritengono opportuno. La restrizione dell’accesso ai canali esterni può scoraggiare i potenziali segnalatori, specialmente in casi in cui vi è sfiducia nei confronti dei canali interni.

L’errata estensione della possibilità di condividere risorse per le segnalazioni nei grandi gruppi societari, oltre il limite dei 250 dipendenti previsto dalla Direttiva.

La Direttiva consente alle imprese con un numero di dipendenti compreso tra 50 e 249 di condividere risorse per quanto riguarda i canali di segnalazione, allo scopo di ridurre l’onere amministrativo per le piccole e medie imprese (PMI). Tuttavia, questa flessibilità non è prevista per le grandi imprese (oltre i 250 dipendenti).

Alcuni Stati membri hanno erroneamente esteso questa possibilità di condivisione delle risorse anche ai gruppi societari con più di 250 dipendenti.

Questo è problematico perché va contro l’obiettivo della Direttiva di garantire che i canali di segnalazione siano accessibili e vicini ai potenziali segnalatori.

Nei grandi gruppi societari, la centralizzazione dei canali di segnalazione può rendere meno agevole e sicura la possibilità di segnalare, soprattutto se il canale è gestito a livello del gruppo e non all’interno della singola entità. Questo potrebbe dissuadere i whistleblower dal segnalare, poiché temono che la loro identità possa essere meno protetta in un contesto centralizzato.

• Il mancato rispetto delle disposizioni sulla protezione completa contro le ritorsioni.

Il mancato rispetto delle disposizioni sulla protezione completa contro le ritorsioni rappresenta una delle problematiche più rilevanti nella trasposizione della Direttiva (UE) 2019/1937 da parte di alcuni Stati membri.

La protezione contro le ritorsioni è uno degli elementi centrali della Direttiva, in quanto mira a garantire che i whistleblower, cioè coloro che segnalano violazioni del diritto dell’UE, non siano soggetti a misure punitive o discriminatorie da parte dei loro datori di lavoro o di altre entità coinvolte.

Di seguito, analizziamo in dettaglio le principali questioni legate al mancato rispetto di queste disposizioni:

Definizione e Ampiezza delle Ritorsioni

La Direttiva stabilisce un’ampia gamma di comportamenti che possono essere considerati ritorsivi, includendo non solo licenziamenti o demansionamenti, ma anche altre forme più sottili di discriminazione come la mancata promozione, il trasferimento forzato, l’isolamento professionale, il mobbing o il deterioramento delle condizioni di lavoro.

Alcuni Stati membri, però, non hanno recepito in modo completo questa ampia definizione. In certi casi, le leggi nazionali hanno adottato definizioni più restrittive delle ritorsioni, limitando la protezione ai casi più evidenti, come il licenziamento, ma trascurando altre forme di ritorsione indiretta, come le molestie sul luogo di lavoro o la riduzione delle responsabilità del whistleblower.

Questo può rendere più difficile per i segnalatori ottenere giustizia per danni subiti attraverso mezzi non palesemente ritorsivi ma comunque lesivi.

Minacce e Tentativi di Ritorsione

La Direttiva non si limita a vietare le ritorsioni effettive, ma prevede anche la protezione contro le minacce e i tentativi di ritorsione. Ciò significa che i whistleblower devono essere protetti anche se non subiscono direttamente una ritorsione, ma sono esposti a minacce di misure punitive o a tentativi da parte del datore di lavoro di compiere atti ritorsivi. In alcuni Stati membri, però, la trasposizione di questa disposizione non è stata adeguata.

Alcune legislazioni nazionali non hanno esplicitamente incluso la protezione contro minacce e tentativi di ritorsione, il che rende difficile per i whistleblower dimostrare il danno subito, specialmente quando l’atto ritorsivo non si è ancora materializzato ma è solo minacciato.

Esonero dalla Responsabilità per i Whistleblower

Uno degli aspetti cruciali della protezione contro le ritorsioni è l’esonero dalla responsabilità legale per i whistleblower, a condizione che abbiano segnalato le violazioni in buona fede e con ragionevoli motivi di credere che le informazioni siano vere.

Questo esonero riguarda potenziali cause per violazione di accordi di riservatezza, divulgazione di segreti commerciali o altre forme di divulgazione di informazioni sensibili.

Alcuni Stati membri non hanno trasposto correttamente questa parte della Direttiva, imponendo condizioni aggiuntive come la necessità che il whistleblower dimostri di aver agito in buona fede o che le sue motivazioni non siano state in alcun modo influenzate da interessi personali.

Questo aumenta il rischio che i whistleblower possano essere esposti a cause legali e a richieste di risarcimento, scoraggiando così potenziali segnalatori dal fare emergere le violazioni.

Inversione dell’Onere della Prova

Un altro elemento essenziale previsto dalla Direttiva è l’inversione dell’onere della prova nei casi di ritorsione.

Normalmente, nelle controversie legali, il lavoratore dovrebbe dimostrare che una misura punitiva è stata presa a causa della sua segnalazione.

Tuttavia, la Direttiva stabilisce che spetta al datore di lavoro dimostrare che la misura presa nei confronti del whistleblower non è collegata alla sua segnalazione.

Questa inversione dell’onere della prova è fondamentale per proteggere i segnalatori, poiché spesso è difficile per loro dimostrare una connessione diretta tra la segnalazione e la misura punitiva.

Alcuni Stati membri non hanno recepito correttamente questa disposizione, richiedendo al whistleblower di fornire una prova preliminare di ritorsione prima che l’onere passi al datore di lavoro, rendendo così meno efficace la protezione.

Misure di Tutela e Sostegno per i Whistleblower

La Direttiva prevede anche una serie di misure di supporto per i whistleblower, tra cui:

• Assistenza legale gratuita: per consentire ai segnalatori di difendersi in tribunale senza essere gravati dai costi legali.
• Supporto psicologico: in riconoscimento del fatto che le ritorsioni possono avere un impatto emotivo significativo sui whistleblower.
• Indennizzi e misure di risarcimento: per coprire i danni subiti, che possono includere la perdita del reddito o la riduzione delle opportunità di carriera.

In alcuni Stati membri, queste misure non sono state implementate adeguatamente. Ad esempio, in alcune giurisdizioni, l’assistenza legale gratuita non è garantita in tutti i casi, o è soggetta a requisiti eccessivamente restrittivi. Inoltre, le misure di risarcimento possono essere limitate a danni economici diretti, senza considerare l’impatto emotivo o le opportunità di carriera perse.

Penalità per le Ritorsioni

La Direttiva prevede che gli Stati membri adottino sanzioni efficaci, proporzionate e dissuasive contro coloro che mettono in atto ritorsioni nei confronti dei whistleblower.

Tuttavia, in alcuni Stati membri, le sanzioni previste sono troppo basse per essere veramente dissuasive, o sono applicate in modo incoerente. In altri casi, la legislazione nazionale non definisce chiaramente cosa costituisca un atto ritorsivo, lasciando spazio a interpretazioni vaghe che possono rendere difficile perseguire i responsabili.

Questa mancanza di certezza giuridica riduce l’efficacia delle disposizioni a tutela dei whistleblower.

Protezione di Terzi Connessi al Whistleblower

La protezione contro le ritorsioni non si applica solo al whistleblower stesso, ma anche ad altre persone che potrebbero essere colpite da misure ritorsive, come colleghi, familiari o facilitatori che aiutano il segnalatore.

Alcuni Stati membri non hanno trasposto correttamente questa disposizione, limitando la protezione solo al whistleblower e non estendendola a queste persone collegate. Questo può scoraggiare altre persone dal fornire supporto ai whistleblower, sapendo di non essere adeguatamente protetti.

Procedure di Infrazione:

• La Commissione Europea ha avviato procedure di infrazione contro 24 Stati membri per il mancato recepimento della Direttiva. Alcuni Stati sono stati deferiti alla Corte di Giustizia dell’Unione Europea (CGUE) per non aver rispettato gli obblighi.

Riservatezza e Canali di Segnalazione:

• La Direttiva pone l’accento sulla necessità di garantire la riservatezza nelle procedure di segnalazione per proteggere l’identità dei whistleblower. Tuttavia, diversi Stati membri non hanno adeguatamente trasposto queste disposizioni, creando potenziali lacune nella protezione.

Le segnalazioni anonime

La Relazione della Commissione Europea evidenzia come molti Stati membri non abbiano adeguatamente disciplinato il trattamento delle segnalazioni anonime nell’ambito della trasposizione della Direttiva (UE) 2019/1937.

Questo rappresenta un problema significativo, in quanto le segnalazioni anonime possono essere uno strumento fondamentale per incentivare le denunce, specialmente in contesti in cui i whistleblower temono ripercussioni personali o professionali.

Il contesto normativo delle segnalazioni anonime nella Direttiva (UE) 2019/1937

La Direttiva non impone agli Stati membri l’obbligo di accettare e gestire le segnalazioni anonime, ma lascia loro la facoltà di decidere se permettere o meno questo tipo di segnalazione. Tuttavia, laddove gli Stati membri decidano di accettare segnalazioni anonime, è richiesto che queste siano trattate con gli stessi standard di protezione e garanzia procedurale previsti per le segnalazioni non anonime.

Questa flessibilità concessa dalla Direttiva ha portato ad approcci diversi tra gli Stati membri: alcuni hanno deciso di regolamentare esplicitamente le segnalazioni anonime, mentre altri, come l’Italia, non hanno introdotto disposizioni specifiche al riguardo, creando un vuoto normativo che potrebbe generare incertezze applicative.

La situazione in Italia e il D.Lgs. 24/2023

In Italia, il Decreto Legislativo 24/2023, che recepisce la Direttiva (UE) 2019/1937, non contiene norme specifiche relative al trattamento delle segnalazioni anonime.

Questo significa che, mentre le segnalazioni nominative sono disciplinate con precisione e garantiscono la protezione del whistleblower, non è altrettanto chiaro come debbano essere trattate le segnalazioni anonime. Questa omissione può creare due principali problematiche:

Incertezza nell’applicazione delle segnalazioni anonime: Senza una chiara disciplina, non è chiaro se le segnalazioni anonime debbano essere prese in considerazione, se debbano essere gestite con la stessa attenzione e, soprattutto, se le autorità o le organizzazioni siano obbligate a seguirle in modo formale. Questo può portare a una gestione disomogenea delle segnalazioni anonime, con il rischio che alcune vengano ignorate o trattate in modo meno approfondito rispetto alle segnalazioni nominative.

Rischio per l’efficacia del sistema di whistleblowing: La mancanza di una disciplina chiara delle segnalazioni anonime potrebbe scoraggiare alcune persone dal segnalare violazioni, specialmente in contesti in cui c’è un forte timore di ritorsioni. Il whistleblower potrebbe preferire rimanere anonimo, ma senza garanzie sull’effettivo trattamento della segnalazione anonima, potrebbe decidere di non denunciare affatto.

Il confronto con altri Stati membri

Altri Stati membri, invece, hanno regolamentato più esplicitamente il trattamento delle segnalazioni anonime, prevedendo l’obbligo per le organizzazioni e le autorità competenti di accettare e gestire queste segnalazioni in conformità con le stesse regole di quelle nominative. Questa scelta è vista come un modo per garantire un ambiente sicuro per i whistleblower e massimizzare il flusso di informazioni sulle violazioni delle leggi dell’UE.

Ad esempio, alcuni paesi, come la Francia e la Germania, hanno adottato approcci che permettono di trattare le segnalazioni anonime con tutte le garanzie previste dalla Direttiva, includendo anche obblighi di follow-up e risposte strutturate.

La necessità di una regolamentazione più chiara in Italia

La mancanza di regolamentazione in Italia sul trattamento delle segnalazioni anonime rappresenta una criticità che potrebbe essere affrontata con integrazioni normative o linee guida applicative. Considerata l’importanza della protezione dei whistleblower, sarebbe auspicabile che l’Italia introducesse una disciplina specifica che definisca chiaramente come gestire le segnalazioni anonime, assicurando che:

• Le segnalazioni anonime siano accettate e valutate con la stessa diligenza di quelle nominative.
• I whistleblower anonimi possano beneficiare di protezioni adeguate, per quanto possibile, durante le indagini.
• Vengano previste procedure chiare e trasparenti per il follow-up delle segnalazioni anonime, al fine di assicurare che siano gestite in modo efficace.

In attesa di chiarimenti normativi o giurisprudenziali, i professionisti legali dovrebbero consigliare ai propri clienti un approccio cauto e flessibile:

1. Definire chiaramente nelle policy interne se e come verranno gestite le segnalazioni anonime.
2. Prevedere un processo di triage per valutare la credibilità e la rilevanza delle segnalazioni anonime.
3. Implementare misure tecniche e organizzative per proteggere l’identità del segnalante, anche in caso di segnalazioni inizialmente anonime.
4. Documentare accuratamente il processo decisionale relativo alla gestione di ogni segnalazione anonima.

In conclusione, la questione delle segnalazioni anonime rimane un’area grigia nella normativa italiana sul whistleblowing. I professionisti legali devono navigare questa incertezza con cautela, bilanciando l’esigenza di proteggere potenziali whistleblower con la necessità di garantire processi equi e trasparenti all’interno delle organizzazioni. È probabile che questa tematica continuerà ad evolversi, richiedendo un monitoraggio costante degli sviluppi normativi e giurisprudenziali.

La riservatezza del segnalante

Un altro aspetto critico evidenziato dalla Relazione della Commissione riguarda le garanzie di riservatezza del whistleblower, elemento centrale della protezione offerta dalla Direttiva (UE) 2019/1937.

La riservatezza della sua identità è cruciale per evitare ritorsioni e garantire che il whistleblower possa segnalare violazioni del diritto dell’UE senza timori.

Tuttavia, la Commissione ha rilevato che diversi Stati membri non hanno correttamente recepito le disposizioni che regolano le eccezioni all’obbligo di riservatezza, in particolare per quanto riguarda la necessità di informare preventivamente il segnalante prima della divulgazione della sua identità.

La protezione della riservatezza nella Direttiva

La Direttiva prevede che l’identità del whistleblower debba essere protetta e non divulgata a terzi, se non nei casi eccezionali previsti dalla legge, come quando la divulgazione è necessaria nell’ambito di un’indagine giudiziaria o amministrativa. Tuttavia, anche in questi casi, la Direttiva stabilisce chiaramente che:

1. Il whistleblower deve essere informato preventivamente della possibile divulgazione della sua identità.
2. La divulgazione deve essere limitata solo alle persone strettamente necessarie per il trattamento della segnalazione o dell’indagine.
3. Devono essere fornite garanzie che la divulgazione sia gestita in modo da minimizzare l’impatto negativo sul segnalante.

Criticità nella trasposizione delle norme sulla riservatezza

Diversi Stati membri non hanno implementato in modo corretto queste disposizioni, come rilevato dalla Commissione. Le criticità principali includono:

Mancanza di informazione preventiva:

In alcuni Stati membri, le leggi di trasposizione non prevedono l’obbligo di informare preventivamente il whistleblower prima che la sua identità venga rivelata, sia durante un’indagine sia in altre circostanze previste dalla legge. Questo rappresenta una violazione diretta delle disposizioni della Direttiva.

L’informazione preventiva è essenziale per permettere al whistleblower di prepararsi, valutare i rischi e decidere se continuare a collaborare con le autorità o adottare altre misure di protezione. La mancata previsione di questo obbligo può portare il whistleblower a scoprire solo successivamente che la sua identità è stata divulgata, rendendolo vulnerabile a ritorsioni senza avere avuto l’opportunità di prendere precauzioni.

Deroghe alla riservatezza non chiaramente definite:

Alcuni Stati membri hanno trasposto le disposizioni sulla riservatezza in modo vago o incompleto, consentendo deroghe generiche senza specificare chiaramente le condizioni in cui l’identità del whistleblower può essere rivelata. Questo approccio genera incertezza legale e mette a rischio la protezione del whistleblower. Ad esempio, in alcune legislazioni, la divulgazione dell’identità può avvenire in una fase preliminare dell’indagine, senza che siano state stabilite sufficienti garanzie per evitare l’esposizione del segnalante a ritorsioni prima che siano presi provvedimenti concreti.

Ambito ristretto di applicazione della riservatezza:

In alcuni casi, la riservatezza è garantita solo per segnalazioni interne (all’interno dell’organizzazione) e non per segnalazioni esterne (verso autorità pubbliche competenti o enti di vigilanza). Questo va contro lo spirito della Direttiva, che riconosce al whistleblower il diritto di scegliere il canale di segnalazione più appropriato, sia esso interno o esterno, senza compromettere la protezione della sua identità. La mancanza di riservatezza in alcune fasi dell’indagine esterna potrebbe dissuadere molti potenziali whistleblower dal segnalare violazioni, specialmente in contesti aziendali o governativi dove temono conseguenze dirette.

Procedure inadeguate per la gestione dei dati sensibili:

Alcuni Stati membri non hanno previsto misure procedurali adeguate per gestire in modo sicuro e confidenziale le informazioni personali dei whistleblower. In questi casi, le autorità o i responsabili delle segnalazioni non sono tenuti a mettere in atto specifiche procedure di sicurezza per assicurare che solo un numero limitato di persone possa accedere all’identità del segnalante. Questo può esporre il whistleblower a rischi di divulgazione non autorizzata della sua identità, aumentando la possibilità di ritorsioni.

Il caso dell’Italia

In Italia, il Decreto Legislativo 24/2023 ha recepito gran parte delle disposizioni della Direttiva (UE) 2019/1937, inclusa la protezione della riservatezza del segnalante. Tuttavia, anche nel contesto italiano possono sorgere incertezze applicative, soprattutto per quanto riguarda la gestione delle deroghe alla riservatezza. Ad esempio:

• Il D.Lgs. non specifica chiaramente le modalità con cui il segnalante deve essere informato della potenziale divulgazione della sua identità, lasciando margini di discrezionalità alle autorità.
• Non è sempre garantito un pieno controllo del segnalante su come e quando la sua identità potrebbe essere divulgata nel corso delle indagini, il che potrebbe creare incertezza e in alcuni casi scoraggiare la segnalazione.

Implicazioni della mancata protezione della riservatezza

La mancanza di una chiara e completa protezione della riservatezza ha implicazioni importanti per l’efficacia della Direttiva:

• Timore di ritorsioni: Senza garanzie solide sulla riservatezza, i potenziali whistleblower possono temere conseguenze personali, professionali o addirittura legali, e decidere di non segnalare affatto.
• Effetto dissuasivo sulle segnalazioni: Un sistema di whistleblowing efficace si basa sulla fiducia che le informazioni fornite saranno trattate in modo riservato e che l’identità del segnalante sarà protetta. La percezione che la riservatezza non sia garantita potrebbe ridurre il numero di segnalazioni e compromettere la capacità delle autorità di individuare e correggere le violazioni.
• Conseguenze legali e danni reputazionali: La divulgazione non autorizzata dell’identità del whistleblower potrebbe non solo esporre quest’ultimo a ritorsioni, ma anche avere conseguenze legali per l’organizzazione responsabile della divulgazione, oltre a causare danni reputazionali che minano la fiducia nei canali di segnalazione.

L’esonero della responsabilità

La Relazione della Commissione Europea mette in evidenza un ulteriore problema legato al recepimento della Direttiva (UE) 2019/1937 da parte di alcuni Stati membri: la mancata o errata trasposizione delle norme sull’esonero da responsabilità per la violazione di restrizioni alla divulgazione di informazioni da parte dei whistleblower. In particolare, si rileva come alcune legislazioni nazionali abbiano introdotto il requisito della “buona fede” del segnalante, una condizione non prevista dalla Direttiva, creando così un ostacolo alla protezione dei whistleblower.

L’esonero da responsabilità previsto dalla Direttiva

La Direttiva (UE) 2019/1937 garantisce ai whistleblower l’esonero da qualsiasi responsabilità civile, penale o amministrativa, derivante dalla violazione di restrizioni alla divulgazione di informazioni riservate o protette, a patto che le informazioni divulgate rientrino nell’ambito della Direttiva stessa.

Questo include situazioni in cui il segnalante potrebbe essere vincolato da accordi di riservatezza (come le clausole di non divulgazione nei contratti di lavoro) o da altre restrizioni legali (es. segreti commerciali o dati riservati).

L’obiettivo della Direttiva è quello di incoraggiare le segnalazioni di violazioni del diritto dell’UE, offrendo ai whistleblower protezione da eventuali ritorsioni legali derivanti dall’aver divulgato informazioni che altrimenti sarebbero state considerate protette o riservate. La logica alla base di questa norma è che la divulgazione di tali informazioni è giustificata nell’interesse pubblico, in particolare per tutelare i diritti e gli interessi collettivi dell’Unione.

Il requisito della “buona fede” introdotto da alcuni Stati membri

Tuttavia, la Commissione ha criticato il fatto che alcuni Stati membri abbiano introdotto il requisito della buona fede del segnalante come condizione per beneficiare dell’esonero da responsabilità. Questo significa che, in tali Stati, il whistleblower deve dimostrare di aver agito con intenzioni oneste e senza secondi fini per ottenere l’esonero dalla responsabilità.

Differenza tra la buona fede e la condizione della “ragionevole convinzione”

La Direttiva non prevede il requisito della buona fede, ma si concentra invece su un altro principio: il whistleblower deve avere ragionevoli motivi per credere che le informazioni da lui fornite siano veritiere al momento della segnalazione. Questo requisito è meno soggettivo rispetto alla buona fede, poiché si basa su una valutazione oggettiva delle informazioni a disposizione del segnalante e non sulle sue intenzioni personali.

L’introduzione della buona fede come criterio aggiuntivo rappresenta quindi un’inutile complicazione e rischia di rendere più difficile per i whistleblower difendersi da accuse di aver violato restrizioni sulla divulgazione di informazioni. Questo approccio soggettivo potrebbe portare a interpretazioni arbitrarie da parte dei tribunali, rendendo meno sicuro per i whistleblower segnalare violazioni per paura che le loro intenzioni vengano messe in discussione.

Effetti negativi dell’introduzione del requisito della buona fede

L’imposizione del requisito della buona fede ha diversi effetti negativi sulla protezione dei whistleblower e sull’efficacia complessiva della Direttiva:

• Maggiore incertezza giuridica: La “buona fede” è un concetto più soggettivo rispetto alla “ragionevole convinzione” e può variare a seconda delle circostanze personali del whistleblower e delle interpretazioni dei giudici. Questo può portare a una maggiore incertezza giuridica e scoraggiare i potenziali whistleblower dal segnalare, temendo di non poter dimostrare che le loro intenzioni erano “buone” o che potrebbero essere accusati di malafede.

• Rischio di strumentalizzazione: I datori di lavoro o le organizzazioni coinvolte potrebbero tentare di utilizzare il requisito della buona fede come strumento per delegittimare la segnalazione, concentrandosi sulle intenzioni del whistleblower piuttosto che sui fatti oggettivi della violazione segnalata. Questo potrebbe essere particolarmente dannoso in contesti di lavoro dove la segnalazione riguarda pratiche illegali o immorali da parte di individui in posizioni di potere.

• Riduzione della protezione: L’introduzione della buona fede come condizione per l’esonero da responsabilità riduce di fatto la protezione offerta ai whistleblower, andando contro l’obiettivo della Direttiva di incentivare le segnalazioni e di rafforzare la trasparenza e il rispetto delle leggi dell’UE. Se i whistleblower non si sentono adeguatamente protetti, potrebbero essere meno inclini a denunciare violazioni, con conseguenze negative per l’applicazione del diritto.

Esempi di trasposizioni errate

Alcuni Stati membri, come rilevato dalla Commissione, hanno introdotto il requisito della buona fede in vari modi.

Ad esempio, potrebbero richiedere che il whistleblower dimostri di non avere interessi personali nella segnalazione o che agisca esclusivamente nell’interesse pubblico. In altri casi, la buona fede viene utilizzata come criterio per valutare se il whistleblower abbia diritto alla protezione contro ritorsioni o cause legali per violazione di segreti aziendali.

Questi approcci si discostano dalla Direttiva, che non fa menzione della necessità di dimostrare buona fede, ma si limita a stabilire che i whistleblower devono avere una ragionevole convinzione sulla veridicità delle informazioni al momento della segnalazione.

Raccomandazioni della Commissione

La Commissione Europea, nella sua Relazione, ha chiarito che l’imposizione della buona fede come requisito aggiuntivo per l’esonero da responsabilità è incompatibile con la Direttiva. La Direttiva è stata concepita per garantire una protezione ampia e chiara ai whistleblower, in modo che possano segnalare violazioni senza timore di ritorsioni legali, purché agiscano con una ragionevole convinzione che le informazioni siano corrette.

Per risolvere queste problematiche, la Commissione ha raccomandato agli Stati membri di:

• Rimuovere il requisito della buona fede dalle legislazioni nazionali che lo prevedono. • Allineare la normativa nazionale al testo della Direttiva, che stabilisce che la protezione del whistleblower dipende solo dalla ragionevole convinzione della veridicità delle informazioni, non dalle sue intenzioni soggettive.

sull’adeguatezza delle disposizioni nazionali in materia di provvedimenti provvisori e risarcimenti per i whistleblower che subiscono ritorsioni.

La Relazione della Commissione Europea solleva preoccupazioni riguardo all’adeguatezza delle disposizioni nazionali in materia di provvedimenti provvisori e risarcimenti per i whistleblower che subiscono ritorsioni. Questi strumenti sono fondamentali per garantire una protezione effettiva a coloro che segnalano violazioni, specialmente nei casi in cui vengano attuate misure punitive nei loro confronti. La Direttiva (UE) 2019/1937 prevede chiaramente che gli Stati membri adottino meccanismi efficaci per prevenire e contrastare le ritorsioni, garantendo al contempo che i whistleblower possano ottenere giustizia e riparazione per i danni subiti.

Provvedimenti provvisori

La Direttiva stabilisce che i whistleblower devono avere accesso a provvedimenti provvisori in caso di ritorsioni, cioè misure temporanee che possono essere adottate in attesa della risoluzione definitiva della controversia. Questi provvedimenti sono essenziali per prevenire ulteriori danni e per mantenere il più possibile inalterate le condizioni lavorative o personali del segnalante fino a quando la causa non sarà risolta in via definitiva.

Problematiche sollevate dalla Commissione

La Relazione evidenzia che diversi Stati membri non hanno trasposto in modo adeguato le disposizioni relative ai provvedimenti provvisori. Le principali criticità rilevate includono:

• Assenza di meccanismi chiari per l’accesso ai provvedimenti provvisori: In alcuni paesi, i whistleblower non hanno un accesso chiaro e garantito a tali misure, lasciando spazio a incertezze procedurali. Questo può comportare ritardi o difficoltà nel richiedere l’adozione di misure temporanee che proteggano il whistleblower durante la fase di indagine o giudizio.

• Condizioni restrittive per la concessione di provvedimenti: Alcuni Stati membri hanno introdotto condizioni restrittive che rendono difficile per i whistleblower ottenere provvedimenti provvisori. Ad esempio, potrebbero essere richiesti standard di prova elevati o altre condizioni che limitano la capacità del segnalante di accedere a tali misure in tempi rapidi.

• Limitata applicazione delle misure: In alcuni casi, i provvedimenti provvisori non coprono tutte le forme di ritorsione, limitandosi solo a determinati tipi di misure punitive (come il licenziamento), escludendo però altre forme di ritorsione come il demansionamento, l’isolamento professionale o la mancata promozione. Questo riduce l’efficacia della protezione provvisoria offerta ai whistleblower.

Risarcimenti

Oltre ai provvedimenti provvisori, la Direttiva prevede che i whistleblower abbiano diritto a risarcimenti adeguati nel caso in cui subiscano danni a seguito di ritorsioni. Questi risarcimenti possono includere compensazioni economiche per il salario perso, la retrocessione di carriera o altri danni materiali e morali subiti in conseguenza della segnalazione.

Problematiche nel recepimento delle norme sui risarcimenti

La Commissione ha rilevato diverse problematiche legate all’applicazione dei risarcimenti, che riducono l’efficacia della protezione prevista per i whistleblower:

• Limitazione dei danni risarcibili: Alcuni Stati membri non garantiscono una copertura completa per tutti i tipi di danni subiti dai whistleblower. Ad esempio, in alcune giurisdizioni, il risarcimento si limita ai danni economici diretti, come la perdita di salario, mentre non viene adeguatamente considerato il danno morale o il danno alla reputazione. La Direttiva, invece, richiede una compensazione piena e adeguata per tutti i danni subiti.

• Procedure lente o incerte per l’ottenimento dei risarcimenti: In alcuni casi, le procedure per ottenere risarcimenti possono essere eccessivamente lunghe o complesse, rendendo difficile per i whistleblower accedere a una giustizia tempestiva. La mancanza di disposizioni chiare per accelerare le procedure o di meccanismi di semplificazione procedurale può ostacolare la capacità dei whistleblower di ottenere un risarcimento in tempi ragionevoli.

• Compensazione limitata o simbolica: In alcuni Stati membri, le somme risarcitorie sono considerate troppo basse per essere effettivamente dissuasive. Questo non solo compromette la capacità del whistleblower di ottenere un giusto indennizzo per il danno subito, ma riduce anche l’effetto deterrente contro le ritorsioni da parte dei datori di lavoro o delle organizzazioni coinvolte.

Protezione contro le ritorsioni e accesso ai rimedi

Un altro elemento fondamentale riguarda l’accesso ai rimedi per i whistleblower. La Direttiva prevede che i segnalanti possano avvalersi di strumenti efficaci per combattere le ritorsioni, ma la Commissione ha riscontrato che in alcuni Stati membri:

• Le tutele legali non sono sufficientemente forti: In alcuni casi, le leggi nazionali non offrono protezioni efficaci contro le ritorsioni o non includono misure specifiche per contrastare tipi meno evidenti di ritorsione, come il mobbing o la mancata assegnazione di incarichi importanti.

• Mancanza di meccanismi di ricorso efficaci: Alcuni Stati non prevedono meccanismi di ricorso chiari e accessibili per i whistleblower che subiscono ritorsioni, limitando la loro capacità di difendersi e ottenere giustizia in modo rapido e adeguato.

L’importanza di garantire provvedimenti provvisori e risarcimenti adeguati

La protezione dei whistleblower è strettamente legata alla possibilità di ottenere provvedimenti provvisori e risarcimenti in caso di ritorsioni. Questi strumenti sono necessari per garantire che i whistleblower possano continuare a svolgere la loro attività senza subire danni irreparabili nel periodo che intercorre tra la segnalazione e la risoluzione definitiva della questione. Inoltre, i risarcimenti adeguati non solo compensano i danni subiti, ma fungono anche da deterrente per le organizzazioni che potrebbero prendere in considerazione azioni ritorsive.

Se le legislazioni nazionali non garantiscono una protezione adeguata sotto questi aspetti, il sistema di whistleblowing rischia di diventare inefficace. I potenziali segnalanti potrebbero infatti scoraggiarsi di fronte alla prospettiva di subire ritorsioni senza avere la garanzia di ottenere misure provvisorie o risarcimenti adeguati in tempi ragionevoli.

Conclusioni

Questi rilievi della Commissione Europea rappresentano una sfida importante per i professionisti legali italiani. Sarà necessario un attento lavoro interpretativo per colmare le eventuali lacune del decreto italiano e allinearlo pienamente allo spirito e alla lettera della Direttiva UE. In particolare, potrebbe essere necessario un intervento legislativo per chiarire alcuni aspetti, come la gestione delle segnalazioni anonime e le modalità di condivisione delle risorse nei grandi gruppi societari.

La Relazione annuncia infine che entro il 2026 la Commissione presenterà una nuova valutazione sul funzionamento della Direttiva, considerando la necessità di eventuali provvedimenti aggiuntivi. Questo suggerisce che il quadro normativo potrebbe evolversi ulteriormente nei prossimi anni, richiedendo ai professionisti legali un costante aggiornamento e una continua riflessione sulle best practices in materia di whistleblowing.

Parere del Consiglio Nazionale Forense sull’applicabilità del whistleblowing agli ordini degli avvocati

Il Consiglio Nazionale Forense (CNF) ha fornito un importante chiarimento sull’applicabilità della normativa sul whistleblowing agli ordini degli avvocati con il parere n. 33/2024, pubblicato il 22 luglio 2024. Questo documento offre una guida preziosa per gli avvocati e i consigli dell’ordine su come approcciarsi a questa delicata materia.

Il CNF ha affrontato la questione partendo dall’analisi del quadro normativo attuale. In particolare, ha considerato la legge n. 112/2023, che ha modificato il D.L. 101/2013, stabilendo che le disposizioni dirette alle amministrazioni pubbliche non si applicano agli ordini e ai collegi professionali, salvo espressa previsione di legge. Inoltre, ha notato che il D.Lgs. 24/2023 sul whistleblowing non menziona esplicitamente gli ordini professionali tra i soggetti obbligati a predisporre canali di segnalazione interna.

Sulla base di queste premesse, il CNF ha concluso che, in linea di principio, la normativa specifica​​​​​​​​​​​​​​​​ sul whistleblowing non si applica direttamente agli ordini professionali. Tuttavia, il Consiglio ha sottolineato che questa conclusione non significa che il segnalante non abbia diritto ad un’adeguata tutela della propria posizione.

Il CNF ha evidenziato che l’obbligo di tutelare il soggetto segnalante era già preesistente, richiamando l’articolo 54-bis del D.Lgs. 165/2001 (ora abrogato), la legge 190/2012 e altre fonti normative. Ha quindi affermato che la tutela del soggetto segnalante costituisce un principio di carattere generale pienamente compatibile con la natura giuridica degli Ordini e Collegi professionali.

In base a queste considerazioni, il CNF ha suggerito che gli Ordini professionali dovrebbero valutare di porre in essere gli adeguamenti necessari a garantire in modo effettivo la tutela dei soggetti segnalanti, in linea con i principi enunciati dalla nuova disciplina prevista dal D.Lgs. 24/2023. Questo approccio si basa sul fatto che le misure di whistleblowing erano già previste come strumenti per il trattamento del rischio corruttivo, anche per gli Ordini professionali.

Il parere del CNF lascia quindi una certa discrezionalità ai Consigli dell’Ordine nell’adozione di misure specifiche. Non essendo direttamente applicabili gli obblighi puntuali previsti dalla nuova disciplina, gli adempimenti rimangono affidati alla valutazione dei singoli Ordini, sulla base della normativa ad essi già applicabile in materia e degli ulteriori dispositivi che l’ordinamento prevede in relazione alla tutela della riservatezza del personale.

Questo parere ha importanti implicazioni pratiche per gli avvocati e i Consigli dell’Ordine:

1. Necessità di revisione delle procedure interne: Gli Ordini dovrebbero riconsiderare le proprie procedure interne per garantire un’adeguata tutela ai potenziali whistleblower, anche se non sono obbligati a seguire alla lettera le disposizioni del D.Lgs. 24/2023.
2. Valutazione del rischio: È consigliabile effettuare una valutazione del rischio specifico legato alle segnalazioni di illeciti all’interno dell’Ordine, per definire le misure più appropriate.
3. Formazione: Potrebbe essere necessario organizzare sessioni di formazione per i membri del Consiglio dell’Ordine e il personale amministrativo sulle procedure di gestione delle segnalazioni e sulla tutela dei segnalanti.
4. Comunicazione: Gli Ordini dovrebbero considerare di comunicare chiaramente ai propri iscritti le procedure adottate per la gestione delle segnalazioni e le tutele previste per i segnalanti.
5. Monitoraggio e aggiornamento: Data la natura evolutiva della materia, è consigliabile prevedere un sistema di monitoraggio e aggiornamento periodico delle procedure adottate.

Il parere del CNF offre quindi una guida equilibrata, che da un lato riconosce la specificità degli Ordini professionali, ma dall’altro sottolinea l’importanza di aderire ai principi generali di tutela del whistleblower. Questo approccio richiede agli Ordini degli avvocati di adottare una posizione proattiva nella gestione delle segnalazioni, pur mantenendo la flessibilità necessaria per adattarsi alle proprie specificità organizzative.

Rassegna di giurisprudenza sui limiti della tutela del whistleblowing

La recente giurisprudenza ha fornito importanti chiarimenti sui limiti della tutela accordata ai whistleblower, delineando un quadro più preciso di ciò che è protetto dalla normativa e ciò che invece rimane al di fuori del suo ambito di applicazione. Questa rassegna si concentra su alcune sentenze chiave che hanno contribuito a definire questi confini.

Un’altra importante pronuncia è l’ordinanza n. 9148 del 31 marzo 2023 della Sezione Lavoro Civile della Cassazione. Questa decisione ha affermato che:

1. La normativa di tutela del dipendente che segnali illeciti altrui salvaguarda il medesimo dalle sanzioni che potrebbero conseguire a suo carico secondo le norme disciplinari o da reazioni ritorsive dirette ed indirette conseguenti alla sua denuncia.
2. Tuttavia, questa tutela non istituisce un’esimente generalizzata per tutte le violazioni disciplinari che il dipendente, da solo o in concorso con altri, abbia commesso.
3. Al più, il whistleblowing può essere valorizzato ai fini della scelta della sanzione da irrogare, considerando il ravvedimento operoso e l’attività collaborativa svolta nella fase di accertamento dei fatti.

Questa sentenza chiarisce che lo status di whistleblower non conferisce una sorta di “immunità” generale da azioni disciplinari, ma può essere considerato come fattore attenuante nella valutazione della sanzione.

Infine, la sentenza n. 35792 del 26 luglio 2018 della Sezione 5 Penale della Cassazione ha affrontato il tema dell’ambito di operatività della tutela del whistleblower, stabilendo che:

1. La normativa intende tutelare il soggetto che rappresenti fatti antigiuridici appresi nell’esercizio del pubblico ufficio o servizio.
2. La norma non fonda alcun obbligo di “attiva acquisizione di informazioni”, non autorizzando improprie attività investigative in violazione dei limiti posti dalla legge.
3. Non può invocare la scriminante dell’adempimento del dovere chi si introduce abusivamente nel sistema informatico dell’ufficio pubblico per acquisire informazioni, anche se con l’asserita finalità di sperimentare la vulnerabilità del sistema.

Questa sentenza è particolarmente significativa perché delimita chiaramente l’ambito di operatività della tutela del whistleblower, escludendo attività investigative autonome o violazioni di sistemi informatici.

Nel loro insieme, queste sentenze delineano un quadro in cui la tutela del whistleblower è robusta ma non assoluta. Il segnalante è protetto quando agisce all’interno dei canali previsti e segnala informazioni di cui è venuto a conoscenza nell’ambito del suo lavoro. Non è invece tutelato quando viola la legge per acquisire informazioni o quando le sue azioni configurano autonomi illeciti disciplinari non direttamente collegati alla segnalazione.

Questa giurisprudenza offre importanti linee guida per i professionisti legali nella gestione dei casi di whistleblowing, sottolineando l’importanza di un approccio equilibrato che tuteli il segnalante in buona fede, ma non legittimi condotte illecite o inappropriate.​​​​​​​​​​​​​​​​

Ruolo dell’ANAC nell’interpretazione e applicazione della normativa

L’Autorità Nazionale Anticorruzione (ANAC) svolge un ruolo centrale nell’interpretazione e nell’applicazione della normativa sul whistleblowing in Italia. Con l’entrata in vigore del D.Lgs. 24/2023, il ruolo dell’ANAC è stato ulteriormente rafforzato e ampliato.

Una delle funzioni principali dell’ANAC è l’emanazione di linee guida per l’attuazione della normativa. Le Linee Guida del 12 luglio 2023 rappresentano un documento fondamentale per la corretta interpretazione e applicazione del D.Lgs. 24/2023. In particolare, l’ANAC ha fornito chiarimenti su diversi aspetti critici:

1. Gestione delle segnalazioni anonime: L’ANAC ha suggerito che, in assenza di una disciplina specifica nel decreto, le segnalazioni anonime dovrebbero essere trattate alla stregua di segnalazioni ordinarie, secondo i criteri stabiliti nei rispettivi ordinamenti degli enti.
2. Riservatezza del segnalante: L’Autorità ha precisato che per rivelare l’identità del segnalante devono concorrere la previa comunicazione scritta delle ragioni alla base della rivelazione e il previo consenso espresso del segnalante.
3. Valutazione d’Impatto sulla Protezione dei Dati (DPIA): L’ANAC ha sottolineato l’importanza di effettuare una DPIA specifica per il processo di whistleblowing, fornendo indicazioni sugli elementi da includere.
4. Canali di segnalazione: L’Autorità ha fornito indicazioni dettagliate sulle caratteristiche che devono avere i canali di segnalazione interni ed esterni, enfatizzando l’importanza della sicurezza e della riservatezza.

Un altro aspetto cruciale del ruolo dell’ANAC è la gestione delle segnalazioni esterne. L’Autorità è stata designata come il principale ricevente delle segnalazioni a livello nazionale, con il compito di valutarle, indagare e, se necessario, trasmetterle alle autorità competenti.

L’ANAC ha anche il potere di irrogare sanzioni in caso di violazioni della normativa. In particolare, può sanzionare:

1. I soggetti che adottano misure ritorsive contro i whistleblower.
2. Chi viola gli obblighi di riservatezza sull’identità del segnalante.
3. Le organizzazioni che non implementano adeguati canali di segnalazione interna.

Un elemento di novità introdotto dal D.Lgs. 24/2023 è il potere dell’ANAC di ordinare l’adozione di misure correttive alle organizzazioni che non rispettano gli obblighi previsti dalla legge. Questo amplia significativamente la capacità dell’Autorità di garantire l’effettiva implementazione della normativa.

L’ANAC svolge anche un importante ruolo di monitoraggio sull’applicazione della legge. L’Autorità raccoglie dati sulle segnalazioni ricevute e sulle azioni intraprese, fornendo un quadro complessivo dell’efficacia della normativa e identificando eventuali aree di miglioramento.

Inoltre, l’ANAC ha il compito di promuovere la cultura del whistleblowing in Italia. Questo include attività di formazione, sensibilizzazione e diffusione di buone pratiche, sia nel settore pubblico che in quello privato.

Un aspetto critico del ruolo dell’ANAC riguarda l’interpretazione di alcuni punti controversi della normativa. Ad esempio, l’Autorità sta attualmente lavorando su nuove linee guida relative alla gestione delle segnalazioni nei gruppi societari, un tema che ha sollevato diverse questioni interpretative.

Per i professionisti legali, seguire attentamente le indicazioni e le interpretazioni dell’ANAC è fondamentale per fornire una consulenza accurata ai propri clienti in materia di whistleblowing. Le decisioni e le linee guida dell’Autorità possono infatti influenzare significativamente l’approccio delle aziende e delle pubbliche amministrazioni alla gestione delle segnalazioni.

In conclusione, il ruolo dell’ANAC nell’interpretazione e nell’applicazione della normativa sul whistleblowing è cruciale e multiforme. L’Autorità non si limita a fornire interpretazioni e linee guida, ma svolge un ruolo attivo nel garantire l’effettiva implementazione della legge, attraverso poteri di sanzione, monitoraggio e promozione. Per i professionisti del settore, mantenere un dialogo costante con l’ANAC e seguirne attentamente le indicazioni è essenziale per una corretta gestione delle questioni legate al whistleblowing.

Problematiche relative alla gestione delle segnalazioni nei gruppi societari

La gestione delle segnalazioni nei gruppi societari rappresenta una delle questioni più complesse e dibattute nell’ambito dell’applicazione della normativa sul whistleblowing. Il D.Lgs. 24/2023, recependo la Direttiva UE 2019/1937, ha introdotto nuove sfide interpretative e operative per le aziende strutturate in gruppi.

Il punto centrale della discussione riguarda la possibilità per le società appartenenti a un gruppo di condividere risorse e canali per la gestione delle segnalazioni. L’art. 4, comma 4, del D.Lgs. 24/2023, riprendendo l’art. 8, paragrafo 6, della Direttiva, prevede che i soggetti del settore privato con un numero di dipendenti compreso tra 50 e 249 possano condividere risorse per il ricevimento delle segnalazioni e lo svolgimento delle indagini.

Tuttavia, questa disposizione ha sollevato diverse questioni interpretative:

1. Applicabilità ai grandi gruppi: Non è chiaro se la possibilità di condivisione delle risorse si estenda anche alle società con più di 249 dipendenti appartenenti a un gruppo.
2. Centralizzazione della gestione: Molti gruppi societari preferirebbero centralizzare la gestione delle segnalazioni a livello di capogruppo o di una società dedicata del gruppo, ma non è certo se questa pratica sia conforme alla normativa.
3. Tutela della riservatezza: La condivisione di risorse e informazioni tra diverse società del gruppo potrebbe potenzialmente compromettere la riservatezza del segnalante.
4. Conflitti di interesse: In caso di segnalazioni che coinvolgono più società del gruppo o i vertici della capogruppo, potrebbero sorgere complessi conflitti di interesse.

La Commissione Europea, nella sua Relazione sull’attuazione della Direttiva, ha criticato l’estensione da parte di alcuni Stati membri della flessibilità offerta dall’art. 8, paragrafo 6, anche a soggetti di maggiori dimensioni. La Commissione ha sottolineato che consentire ai gruppi societari di istituire canali di segnalazione esclusivamente a livello di gruppo contrasta con l’obiettivo della Direttiva di garantire ai potenziali informatori la prossimità dei canali e la loro accessibilità.

In Italia, l’ANAC sta attualmente lavorando su nuove linee guida per chiarire questi aspetti. Nel frattempo, diverse associazioni di categoria hanno proposto soluzioni alternative, come l’utilizzo di Intercompany agreement per l’affidamento alla capogruppo della gestione delle segnalazioni in outsourcing, o per l’acquisizione intragruppo di servizi di supporto alla gestione delle segnalazioni.

ASSONIME, in un recente caso studio (Il Caso 6/2024), ha sostenuto che una gestione centralizzata delle segnalazioni potrebbe rispondere non solo a criteri di maggiore efficienza organizzativa del gruppo, ma anche di maggiore tutela del segnalante. Secondo questa visione, la scelta dovrebbe essere rimessa alla discrezionalità dell’ente che esercita la direzione e coordinamento.

Per i professionisti legali che assistono gruppi societari, questa situazione di incertezza pone diverse sfide:

1. Valutazione del rischio: È necessario effettuare un’attenta valutazione dei rischi legali e reputazionali associati alle diverse opzioni di gestione delle segnalazioni.
2. Progettazione di soluzioni su misura: In attesa di chiarimenti normativi, potrebbe essere necessario progettare soluzioni personalizzate che bilancino l’esigenza di efficienza del gruppo con il rispetto dei principi della normativa.
3. Documentazione delle scelte: È fondamentale documentare accuratamente le ragioni alla base delle scelte organizzative adottate, in previsione di possibili controlli.
4. Monitoraggio continuo: Data la natura evolutiva della materia, è essenziale mantenere un monitoraggio costante sugli sviluppi normativi e giurisprudenziali.

In conclusione, la gestione delle segnalazioni nei gruppi societari rimane un’area di significativa incertezza nell’applicazione della normativa sul whistleblowing. In attesa di chiarimenti definitivi da parte delle autorità competenti, i professionisti legali devono adottare un approccio cauto e flessibile, bilanciando le esigenze di efficienza organizzativa con la necessità di garantire piena tutela ai potenziali whistleblower.​​​​​​​​​​​​​​​​

Tutele previste per il whistleblower e loro limiti

Il D.Lgs. 24/2023 ha introdotto un sistema articolato di tutele per il whistleblower, che mira a incoraggiare le segnalazioni di illeciti proteggendo al contempo i segnalanti da possibili ritorsioni. Tuttavia, come emerso dalla giurisprudenza recente e dall’interpretazione delle autorità competenti, queste tutele non sono assolute e presentano limiti significativi che i professionisti legali devono conoscere e saper gestire.

Le principali tutele previste per il whistleblower includono:

1. Protezione dell’identità: La riservatezza sull’identità del segnalante è uno dei pilastri della normativa. L’art. 12 del D.Lgs. 24/2023 prevede che l’identità del segnalante non possa essere rivelata senza il suo consenso esplicito, salvo in casi specifici e limitati.
2. Divieto di ritorsioni: L’art. 17 vieta qualsiasi atto ritorsivo nei confronti del segnalante, includendo una vasta gamma di azioni come il licenziamento, la retrocessione, il trasferimento, e altre misure discriminatorie.
3. Nullità degli atti ritorsivi: Qualsiasi atto ritorsivo adottato nei confronti del segnalante è considerato nullo.
4. Inversione dell’onere della prova: In caso di contenzioso, spetta al datore di lavoro dimostrare che eventuali misure adottate nei confronti del segnalante non sono legate alla segnalazione.
5. Esenzione da responsabilità: Il segnalante è esente da responsabilità penale, civile e amministrativa per la violazione di eventuali obblighi di riservatezza o fedeltà, purché la segnalazione sia stata effettuata in buona fede.

Tuttavia, queste tutele presentano limiti e condizioni che è importante considerare:

1. Buona fede: La tutela si applica solo se il segnalante ha agito in buona fede, ovvero se aveva ragionevoli motivi di ritenere che le informazioni segnalate fossero vere al momento della segnalazione.
2. Esclusione per reati: Come chiarito dalla sentenza della Cassazione n. 17715/2024, la tutela non si estende a reati o violazioni di legge commessi dal segnalante per acquisire le informazioni oggetto della segnalazione.
3. Rispetto delle procedure: La tutela può essere negata se il segnalante non ha seguito le procedure previste per la segnalazione, come stabilito dalla stessa sentenza della Cassazione.
4. Limiti alla riservatezza: In alcuni casi, come nei procedimenti penali, l’identità del segnalante può essere rivelata se indispensabile per la difesa dell’incolpato.
5. Segnalazioni infondate: Se la segnalazione si rivela infondata e fatta con dolo o colpa grave, il segnalante può incorrere in responsabilità disciplinari.
6. Ambito lavorativo: Le tutele si applicano principalmente alle segnalazioni di illeciti di cui il whistleblower è venuto a conoscenza in ambito lavorativo, non estendendosi a informazioni acquisite in altri contesti.
7. Divulgazione pubblica: La tutela in caso di divulgazione pubblica è soggetta a condizioni più stringenti, come l’aver prima tentato la segnalazione interna o esterna senza successo.

Per i professionisti legali, è cruciale comprendere questi limiti per poter consigliare adeguatamente sia i potenziali whistleblower che le organizzazioni. In particolare:

• Ai potenziali segnalanti, è importante sottolineare l’importanza di seguire le procedure corrette e di agire in buona fede, documentando accuratamente le ragioni della segnalazione.
• Alle organizzazioni, è necessario enfatizzare l’importanza di implementare procedure chiare e accessibili per le segnalazioni, e di trattare con estrema cautela qualsiasi azione disciplinare o organizzativa che coinvolga un whistleblower.
• In caso di contenzioso, sarà fondamentale analizzare attentamente il contesto complessivo della segnalazione e delle eventuali azioni intraprese dall’organizzazione, come evidenziato dalla sentenza della Cassazione n. 12688/2024.

In conclusione, mentre il sistema di tutele per i whistleblower in Italia è robusto, non è privo di limitazioni e condizioni. I professionisti legali devono navigare con attenzione questo complesso panorama normativo, bilanciando la necessità di proteggere i segnalanti in buona fede con l’esigenza di prevenire abusi del sistema. La continua evoluzione giurisprudenziale in questa materia richiederà un costante aggiornamento e una capacità di adattamento delle strategie legali.

Capitolo 12: Obblighi di riservatezza e protezione dell’identità del segnalante

La protezione dell’identità del whistleblower è un elemento cardine della normativa italiana sul whistleblowing, sancito dall’art. 12 del D.Lgs. 24/2023. Questo aspetto è cruciale per incoraggiare le segnalazioni di illeciti, riducendo il timore di ritorsioni. Tuttavia, la gestione della riservatezza presenta sfide significative sia dal punto di vista legale che pratico.

Gli obblighi di riservatezza si articolano su diversi livelli:

1. Protezione dell’identità: L’identità del segnalante non può essere rivelata senza il suo consenso esplicito. Questo obbligo si estende a tutti coloro che ricevono o sono coinvolti nella gestione della segnalazione.
2. Gestione dei dati: Le informazioni che potrebbero, anche indirettamente, rivelare l’identità del segnalante devono essere trattate con la massima cautela.
3. Eccezioni limitate: La rivelazione dell’identità è possibile solo in casi specifici, come nell’ambito di un procedimento penale o per la difesa dell’incolpato, e solo se indispensabile.
4. Sanzioni: Sono previste sanzioni per chi viola gli obblighi di riservatezza.

Tuttavia, l’applicazione pratica di questi principi solleva diverse questioni:

1. Bilanciamento con il diritto di difesa: Come evidenziato dalla giurisprudenza recente, può emergere un conflitto tra la protezione dell’identità del segnalante e il diritto di difesa dell’incolpato.
2. Gestione delle segnalazioni anonime: Come discusso nel capitolo 9, la gestione delle segnalazioni anonime pone sfide particolari in termini di protezione dell’identità.
3. Misure tecniche e organizzative: Le organizzazioni devono implementare misure adeguate per garantire la riservatezza, il che può risultare complesso, soprattutto per le realtà più piccole.
4. Comunicazioni necessarie: In alcuni casi, per dare seguito alla segnalazione, potrebbe essere necessario condividere informazioni che potrebbero indirettamente rivelare l’identità del segnalante.
5. Gruppi societari: Nelle strutture di gruppo, la condivisione di informazioni tra diverse entità può mettere a rischio la riservatezza.

la gestione di questi aspetti richiede un approccio attento e bilanciato:

1. Progettazione dei sistemi: È cruciale assistere le organizzazioni nella progettazione di sistemi di segnalazione che garantiscano la massima riservatezza, inclusi protocolli di gestione delle informazioni e formazione del personale.
2. Valutazione caso per caso: In situazioni in cui la rivelazione dell’identità potrebbe essere necessaria, è fondamentale una valutazione attenta dei rischi e dei benefici, considerando tutte le possibili alternative.
3. Informativa al segnalante: È importante assicurarsi che il segnalante sia pienamente informato dei limiti della riservatezza e delle possibili eccezioni.
4. Gestione del contenzioso: In caso di procedimenti giudiziari, sarà necessario navigare con attenzione il delicato equilibrio tra protezione del segnalante e diritti della difesa.
5. Compliance con la normativa sulla privacy: La protezione dell’identità del segnalante deve essere integrata con gli obblighi più ampi di protezione dei dati personali previsti dal GDPR.

Mentre la normativa italiana offre una robusta protezione dell’identità del whistleblower, la sua applicazione pratica presenta numerose sfide. I professionisti legali giocano un ruolo cruciale nel guidare le organizzazioni attraverso questo complesso panorama, assicurando che le misure di protezione siano efficaci senza compromettere altri diritti fondamentali o l’efficacia delle indagini sugli illeciti segnalati. La continua evoluzione della giurisprudenza e delle interpretazioni dell’ANAC in questo ambito richiederà un monitoraggio costante e un aggiornamento continuo delle pratiche adottate.​​​​​​​​​​​​​​​​

Sanzioni previste per violazioni della normativa

Il sistema sanzionatorio introdotto dal D.Lgs. 24/2023 rappresenta un elemento cruciale per garantire l’efficacia della normativa sul whistleblowing. Le sanzioni previste mirano a scoraggiare comportamenti che possano ostacolare le segnalazioni o danneggiare i whistleblower, creando un deterrente concreto contro le violazioni. Tuttavia, l’applicazione di queste sanzioni presenta alcune complessità che i professionisti legali devono saper gestire.

Le principali sanzioni previste dalla normativa includono:

1. Sanzioni per ritorsioni: L’art. 21, comma 1, lett. a) del D.Lgs. 24/2023 prevede sanzioni amministrative pecuniarie da 10.000 a 50.000 euro per chi adotta misure ritorsive nei confronti del segnalante.
2. Violazione della riservatezza: La stessa disposizione sanziona con importi da 5.000 a 30.000 euro chi viola le misure di tutela della riservatezza del segnalante.
3. Mancata adozione di procedure: Sanzioni da 10.000 a 50.000 euro sono previste per i soggetti obbligati che non adottano procedure per l’effettuazione e la gestione delle segnalazioni.
4. Sanzioni per segnalazioni infondate: L’art. 21, comma 2, prevede sanzioni da 5.000 a 30.000 euro per chi effettua con dolo o colpa grave segnalazioni infondate.

Aspetti critici del sistema sanzionatorio:

1. Determinazione dell’importo: La normativa lascia un ampio margine di discrezionalità nella determinazione dell’importo specifico della sanzione all’interno dei range previsti.
2. Applicazione alle persone giuridiche: Non è del tutto chiaro come le sanzioni si applichino nel caso di violazioni commesse da persone giuridiche, specialmente in strutture societarie complesse.
3. Cumulo di sanzioni: In caso di violazioni multiple, non è esplicitamente regolato come debba avvenire il cumulo delle sanzioni.
4. Rapporto con altre normative: Il rapporto tra queste sanzioni e quelle previste da altre normative (ad esempio, in materia di privacy o di responsabilità degli enti ex D.Lgs. 231/2001) richiede un’attenta valutazione.
5. Onere della prova: Specialmente nei casi di presunte ritorsioni, può essere complesso dimostrare il nesso causale tra la segnalazione e l’azione ritorsiva.

Ruolo dell’ANAC:
L’Autorità Nazionale Anticorruzione gioca un ruolo centrale nell’applicazione delle sanzioni. L’ANAC ha il potere di irrogare sanzioni amministrative e di ordinare l’adozione di misure correttive. Tuttavia, i dettagli procedurali di come l’ANAC eserciterà questi poteri sono ancora in fase di definizione.

Prospettive future:
È probabile che il sistema sanzionatorio evolverà con l’accumularsi di casi pratici e interpretazioni giurisprudenziali. I professionisti legali dovranno rimanere aggiornati su questi sviluppi per fornire una consulenza accurata e aggiornata.

In conclusione, mentre il sistema sanzionatorio rappresenta un importante strumento per garantire l’efficacia della normativa sul whistleblowing, la sua applicazione pratica presenta numerose sfide interpretative e operative. I professionisti legali giocano un ruolo cruciale nel navigare questo complesso panorama, aiutando le organizzazioni a conformarsi alla normativa e a gestire efficacemente i rischi associati.

Valutazione d’impatto sulla protezione dei dati (DPIA) nel contesto del whistleblowing

L’obbligo di effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) per i sistemi di whistleblowing, introdotto dall’art. 13, comma 6, del D.Lgs. 24/2023, rappresenta una novità significativa nel panorama normativo italiano. Questa disposizione va oltre quanto esplicitamente richiesto dalla Direttiva UE 2019/1937, sollevando questioni interpretative e pratiche che i professionisti legali devono saper affrontare.

Elementi chiave della DPIA nel contesto del whistleblowing:

1. Obbligatorietà: A differenza di quanto previsto dal GDPR, che richiede la DPIA solo in casi specifici di trattamenti ad alto rischio, il D.Lgs. 24/2023 la rende obbligatoria per tutti i sistemi di whistleblowing.
2. Contenuto: La DPIA deve includere una descrizione sistematica dei trattamenti previsti, una valutazione della necessità e proporzionalità dei trattamenti, una valutazione dei rischi per i diritti e le libertà degli interessati, e le misure previste per affrontare i rischi.
3. Tempistica: La DPIA deve essere effettuata prima dell’implementazione del sistema di whistleblowing.
4. Revisione: La valutazione dovrebbe essere periodicamente rivista e aggiornata, specialmente in caso di modifiche significative al sistema o al contesto operativo.

Sfide e considerazioni:

1. Complessità per le PMI: L’obbligo di DPIA potrebbe rappresentare un onere significativo per le piccole e medie imprese, che potrebbero non avere le risorse o le competenze interne necessarie.
2. Integrazione con altre valutazioni: La DPIA per il whistleblowing deve essere integrata con altre valutazioni d’impatto già richieste dal GDPR, evitando duplicazioni e garantendo coerenza.
3. Bilanciamento tra trasparenza e riservatezza: La DPIA deve considerare come bilanciare l’esigenza di trasparenza del processo di segnalazione con la necessità di proteggere l’identità del segnalante.
4. Valutazione dei rischi specifici: È necessario considerare i rischi particolari associati al whistleblowing, come la possibilità di ritorsioni o l’uso improprio del sistema.
5. Misure tecniche e organizzative: La DPIA deve includere una valutazione dettagliata delle misure di sicurezza adottate per proteggere i dati dei segnalanti e degli altri soggetti coinvolti.

Prospettive future:
È probabile che l’ANAC o il Garante per la Protezione dei Dati Personali forniranno ulteriori linee guida specifiche sulla conduzione della DPIA nel contesto del whistleblowing. I professionisti legali dovranno rimanere aggiornati su questi sviluppi per fornire una consulenza accurata.

L’obbligo di DPIA per i sistemi di whistleblowing rappresenta una sfida significativa ma anche un’opportunità per le organizzazioni di valutare attentamente i rischi e le misure di protezione associate a questi sistemi. I professionisti legali giocano un ruolo cruciale nel guidare le organizzazioni attraverso questo processo, assicurando la conformità normativa e la protezione effettiva dei diritti degli interessati.​​​​​​​​​​​​​​​​

Bibliografia

L’articolo è composto da 14 capitoli. Ecco la bibliografia:

Bibliografia:

1. D.Lgs. 10 marzo 2023, n. 24 – Attuazione della direttiva (UE) 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione.
2. Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione.
3. Corte di Cassazione, Sezione Lavoro Civile, Sentenza 27 giugno 2024, n. 17715.
4. Corte di Cassazione, Sezione Lavoro Civile, Sentenza 9 maggio 2024, n. 12688.
5. Corte di Cassazione, Sezione Lavoro Civile, Ordinanza 31 marzo 2023, n. 9148.
6. Corte di Cassazione, Sezione 5 Penale, Sentenza 26 luglio 2018, n. 35792.
7. Commissione Europea, Relazione sull’attuazione della Direttiva Whistleblowing, 3 luglio 2024.
8. ANAC, Linee Guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e delle disposizioni normative nazionali, Delibera n. 311/2023 del 12 luglio 2023.
9. Consiglio Nazionale Forense, Parere n. 33/2024, 22 luglio 2024.
10. ASSONIME, Il Caso 6/2024, “Possibilità di condividere il canale di segnalazione whistleblowing all’interno dei gruppi”.
11. CONFINDUSTRIA, “Nuova disciplina «whistleblowing» – Guida Operativa”, Ottobre 2023.
12. Regolamento (UE) 2016/679 (GDPR) – Regolamento generale sulla protezione dei dati.
13. D.Lgs. 30 giugno 2003, n. 196 – Codice in materia di protezione dei dati personali.
14. D.Lgs. 8 giugno 2001, n. 231 – Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica.
15. Legge 30 novembre 2017, n. 179 – Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato.​​​​​​​​​​​​​​​​