Mi permetto di inserirmi nella trattazione della questione per fornire ulteriori spunti alla discussione, avendo interesse alla materia.
La questione mi sembra rilevante per diverse sfaccettature, mi soffermerei qui i) all’efficace tutela (non solo privacy) del segnalante e ii) al perseguimento delle finalità istituzionali da parte delle diverse Authority coinvolte.
Farei tre casi ipotizzando che la carenza sia un inadeguato impianto da parte di una organizzazione del sistema whistleblowing tale da non tutelare la privacy (sanzionabile fino a 50.000 euro dall’ANAC ai sensi dell’art. 21 punto 1 lett. b del D Lgs 24 2023 - WB23 ma ben oltre ai sensi del GDPR):
a) interessamento diretto del Garante privacy: sarebbe presumibilmente una segnalazione ai sensi dell’art. 144 Codice privacy (ma secondo la fattispecie concreta potrebbe essere anche un reclamno ex art. 77) , senza però le tutele da ritorsioni per il segnalante ove venisse individuato;
b) segnalazione whistelblowing interna che, ritenuta attendibile dal gestore del canale di segnalazione, viene riportata all’autorità competente (dicono le Linee guida ANAC dello scorso luglio “è opportuno rivolgersi immediatamente agli organi preposti interni o enti/istituzioni esterne, ognuno secondo le proprie competenze”): ma individuandola nel Garante privacy o nell’ANAC?
c) segnalazione effettuata direttamente all’ANAC ricorrendone le condizioni previste dal WB23.
In via generale, l’art.24.4 del WB23, aggiornando l’art. 2-undecies comma 1 lett. f) del Codice privacy, prevede la limitazione dei diritti degli interessati normati dagli artt. da 15 a 22 del GDPR, quando da ciò possa derivare un pregiudizio al whistleblower. Quest’ultimo perdipiù gode della protezione da ritorsioni circa la segnalazioni fatte: ma tale ultima protezione non prevista per azioni direttamente effettuate ai sensi degli artt. 77 GDPR e 144 Codice privacy. Quindi da un punto di vista delle tutele individuali converrebbe denunciare lesioni alla privacy sotto l’ombrello del WB23.
Una ulteriore questione riguarda l’aspetto sanzionatorio per le inottemperanze alle previsioni WB23 da parte dei diversi soggetti tenuti a farlo. In argomento, il legislatore ha al riguardo previsto sanzioni fino a 50.000 euro (la direttiva europea all’uopo prevede all’art. 23 che le sanzioni debbano essere “effettive, proporzionate e dissuasive”: sono i medesimi aggettivi citati dall’art. 83 del GDPR che però, per le sanzioni amministrative pecuniarie, delinea importi massimi molto diversi per dimensione (come noto, a seconda delle fattispecie, fino a 10 e 20 mln di euro e, se maggiore, fino al 2% e al 4% del fatturato). Quindi anche per le organizzazioni converrebbe essere segnalate ai sensi del WB23 piuttosto che ai sensi del GDPR-Codice privacy.
In materia di whistleblowing il Garante, anche in tempi non lontani è intervenuto con alcuni pronunciamenti (precedenti al 15 luglio 2023). Da una analisi delle ultime sanzioni si può rilevare, se ben ricordo, come esse siano rimaste sotto la predetta soglia. Per il futuro ci sarà questo “allineamento” per inadempienze che potrebbero essere trattate o dall’ANAC o dal Garante?
Presumibilmente saranno le concrete fattispecie e i provvedimenti delle diverse Autorithy a poter consolidare nel tempo la materia del whistleblowing con riguardo al tema in esame e/o protocolli interistituzionali o innovazioni legislative.