GDPR e Whistleblowing: la tutela reciproca che rafforza la tutela della privacy
Con la prossima entrata in vigore, a partire dal 15 luglio, del decreto legislativo n. 24/2023 (DLWB24) di recepimento della normativa UE che aggiorna le disposizioni sulle segnalazioni whisteblowing (WB), entrerà in vigore anche una nuova forma di tutela per la privacy.
Infatti, fra le materie che potranno essere oggetto di segnalazione in ambito whistleblowing rientrano anche espressamente le violazioni inerenti alla tutela della vita privata e protezione dei dati personali (art. 2 comma 1.a.3); peraltro, le norme WB in scadenza, pur nella loro sinteticità non escludono la possibilità di segnalazioni afferenti a violazioni della privacy.
Quello che muta sostanzialmente è che con la normativa europea recepita dal DLWB24, l’ambito di applicazione viene ampliato in maniera notevole (in generale: settore pubblico e privato, diritto nazionale e diritto UE) e le segnalazioni assumono una duplice natura: 1) di strumento di lotta agli illeciti e 2) di diritto alla segnalazione.
Il GDPR è ampiamente richiamato nelle norme sul WB, ai fini della tutela dei soggetti che effettueranno segnalazioni su presunti illeciti.
Quindi, sotto il profilo privacy, siamo di fronte ad una tutela reciproca e che rafforza la possibilità per chi opera in un contesto lavorativo pubblico o privato, ai sensi dell’art. 3 DLWB24, di contribuire al perseguimento di eventuali violazioni di disposizioni normative nazionali o dell'Unione europea tali da ledere, come recita l’art. 1, “l’interesse pubblico o l'integrita' dell'amministrazione pubblica o dell'ente privato”.
Posta questa cornice, proviamo ad approfondire dal punto di vista privacy quali siano i percorsi per la tutela dei diritti degli interessati.
In generale il GDPR mette a disposizione di ciascun interessato strumenti per la tutela dei propri diritti. L’Autorità Garante, elettivamente, è il soggetto che può provvedere a una prima tutela, mediante gli strumenti:
- i) del reclamo, sulla base dell’art. 77 GDPR e dell’art. 140-bis del Codice privacy (CP), per questioni che attengono a lesioni individuali del diritto alla privacy,
-ii) della segnalazione di questioni attinenti alla privacy ai sensi dell’art. 144 CP, che il Garante potrà considerare per l’esercizio dei propri poteri ai sensi dell’art. 58 GDPR.
Adire il Garante con un reclamo è alternativo per l’interessato, al ricorso all’autorità giudiziaria (cfr anche art. 152 CP) e viceversa. Avverso i provvedimenti del Garante, l’interessato potrà comunque proporre ricorso all’autorità giudiziaria ai sensi dell’art. 10, comma 4, del decreto legislativo 1° settembre 2011, n. 150.
Il CP regolamenta la trattazione di illeciti penali attinenti alla privacy, all’art. 144 bis il revenge porn e agli artt. 167 – 168 talune fattispecie che possono, a seconda delle loro connotazioni, configurare illecito penale, attinenti a: trattamento, comunicazione e diffusione illecita di dati personali, acquisizione fraudolenta di dati personali su larga scala, falsità nelle dichiarazioni al Garante e comunque impedimento ai suoi compiti ed esercizio dei poteri, l’inosservanza di provvedimenti del Garante e violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori (art. 38 dello Statuto dei lavoratori - l. n. 300/1970).
Il CP prevede i casi di illeciti penali per i quali è prevista reciproca comunicazione fra Garante e Pubblico ministero.
Il DLWB24 ha fra l’altro aggiornato il CP, che all’art. 2-undecies prevede (a valere dal 15 luglio 2023) la tutela della riservatezza dell’identità della persona che effettua segnalazioni - oltre che ai sensi del DLWB24 - anche ai sensi delle analoghe norme sul whistleblowing previste dal Testo unico delle leggi in materia bancaria e creditizia (d. lgs. n. 385/1993 - artt. 52-bis e ter ) e dal Testo unico delle disposizioni in materia di intermediazione finanziaria (d. lgs. n. 58/1998 – artt. 4 undecies e duodecies).
Il processo delle segnalazioni di WB, che le organizzazioni pubbliche e private interessate sono tenute ad ammodernare con decorrenza dal prossimo 15 luglio, dovrà essere tale - come prima - da garantire la tutela del segnalante anche sotto il profilo della privacy, oltre a tutelarlo ovviamente da ritorsioni.
Ma quali segnalazioni afferenti alla privacy potrebbero essere veicolate tramite WB? Non le questioni lesive della privacy che attengono a un interesse prettamente personale seppur collegato al rapporto di lavoro ma, come evidenziato in premessa, quelle che attengono alla tutela dell'interesse pubblico o dell'integrita' dell'amministrazione pubblica o dell'ente privato (art. 1 DL24).
Quindi, volendo ipotizzare alcune ipotesi per una tassonomia, si potrebbero indicare a titolo esemplificativo i seguenti casi in cui, con le protezioni previste dal WB, il soggetto legittimato (ovvero, è utile ricordarlo, chi a diverso titolo opera chi opera in un contesto lavorativo pubblico o privato) potrebbe segnalare violazioni WB:
-i) trattamenti di dati personali esperiti in spregio alle fattispecie penali previste dal CP;
-ii) trattamenti di dati personali particolari per asseriti motivi di pubblico interesse non rientranti nelle previsioni dell’art. 2-sexies del CP;
-iii) trattamenti di dati personali attinenti al rapporto di lavoro con modalità che non siano privacy compliant;
-iv) architettura organizzativa privacy carente (ad es.: mancata o irregolare nomina del RPD nel settore pubblico e, quando previsto, nel settore privato; mancata emanazione delle informative sui trattamenti svolti; sistemi informativi non protetti; mancata cancellazione dei dati personali nei termini previsti; divulgazione dei dati a terzi – magari in Paesi extra-UE, in assenza di idonei accordi; …);
-v) impostazione del WB (canali di comunicazione, gestione delle segnalazioni, tutela della riservatezza,…) tale da non garantire il segnalante.
Certo, alcune delle possibili fattispecie potrebbero interessare direttamente anche il singolo ma la valenza generale renderebbe la questione ammissibile a segnalazione WB.
Una volta fatta la segnalazione, questa andrà trattata secondo le indicazioni del WB e le Linee guida ANAC (che ai sensi del DLWB24 dovrà emanare ulteriori Linee guida per le segnalazioni esterne).
Va da sé che il vaglio delle segnalazioni potrebbe poi avere esito non risolvibile all’interno dell’organizzazione e, quindi, la questione andrebbe rimessa alle Autorità competenti, a seconda della loro natura.
In generale verrebbe coinvolto anche il Garante privacy quando la competenza venisse ritenuta (anche o solo) di sua pertinenza oppure quando, per il tramite dell’A.G., ove la questione venisse segnalata alla stessa e riguardasse le fattispecie penali sopra menzionate.
Ulteriore complessità possono discendere dal ricorso, quando previsto, alle segnalazioni:
- esterne, con il coinvolgimento dell’ANAC (ora secondo le previsioni dell’art. 54 bis comma 1 del d.lgs. 165/2001 in seguito secondo le emanande Linee guida), che poi potrebbe trovarsi a veicolare la segnalazione ad altre Autorità ove competenti (fra cui potrebbe rientrare a buon titolo il Garante privacy);
-pubbliche, eventualità che dovrebbe avere carattere residuale, dove la tutela della riservatezza dell’interessato potrebbe decadere (comunque se la segnalazione viene fatta con il tramite di giornalisti, il segreto professionale viene fatto salvo con riguardo alla fonte della notizia) ma non decadono la protezione dalle ritorsioni, le limitazioni di responsabilità e le misure di sostegno previste dal DLWB24.