Compliance integrata e procedure sul whistleblowing: genesi di uno sforzo di equilibrismo attuativo
Un approfondimento sui rapporti tra disciplina del whistleblowing nel settore privato e struttura del modello organizzativo "231"
1. Premessa
La compliance integrata per la migliore governance d'impresa è un'opportunità che le aziende comprendono e colgono sempre di più: a giugno scorso assurge a linea guida di Confindustria nella costruzione dei Mogc in esecuzione del Dlgs 231/2001 e s.m.i., ma a leggere bene le norme ci sono casi in cui scelte organizzative conformi, in attuazione integrata delle norme, si impongono come necessità: uno di questi è il whistleblowing.
2. Il whistleblowing e la compliance integrata
La regolamentazione del whistleblowing nel settore privato è attualmente contenuta nei commi 2-bis, 2-ter e 2-quater dell'articolo 6 del Dlgs 231/2001, introdotti dalla legge 179/2017. Il Legislatore si ispira guardando oltre i confini nazionali, travasa ratio legis precetti normativi nel nostro ordinamento giuridico etichettandoli diligentemente come "materia 231" e prevedendo una specifica tutela dei soggetti che segnalino reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro.
La tutela richiamata dalla norma è trittica e implica: divieto di ritorsioni; riservatezza dell'identità del segnalante; sanzioni disciplinari per chi viola le misure di tutela del whistleblower o presenta con dolo o colpa grave segnalazioni che si rivelino infondate. La necessità di conformità comporta per molte aziende l'adeguamento dei codici etici e la creazione di articolate e a volte cervellotiche procedure fitte di regole, per guidare il solerte soffiatore interno all'azienda (dipendenti et similia) o esterno (ad es.: cliente, fornitore) alla segnalazione a norma di comportamenti che costituiscano reato (in sostanza riferire il necessario, senza eccessi narrativi).
Nel progettare questi protocolli, come non tenere conto delle regole contenute nel Gdpr e nel Dlgs 30 giugno 2003, n. 196 come novellato dal Dlgs 10 agosto 2018, n. 101. Qui un Compliance Officer addestrato a letture simmetriche del dato normativo sa di muoversi sul terreno della compliance integrata, consapevole di dover attuare, con grande equilibrismo, le richieste del Legislatore espresse nell'uno e nell'altro pacchetto normativo.
Il Dlgs 231/2001 sancisce l'obbligo di prevedere nei Modelli di organizzazione gestione e controllo sanzioni disciplinari da irrogare "nei confronti di chi […] effettua con dolo o colpa grave segnalazioni che si rivelano infondate" (articolo 6 comma 2-bis lettera d)1. Tuttavia, affinché la sanzione a carico dell'autore di segnalazioni riferite all'azienda con dolo o colpa grave sia irrogata, occorrerà individuare il "temerario soffiatore" (whistleblower); presupposto fondamentale è che l'investigazione interna abbia acclarato l'infondatezza della presunta notizia criminis. Ed ecco che la procedura di whistleblowing adottata dall'azienda dovrà essere progettata in maniera equilibrata contemperando la tutela della riservatezza del segnalante (impellente richiesta del legislatore) con misure che consentano, ove ne ricorressero i presupposti, di accedere a tale identità nel caso di segnalazioni infondate, dolosamente e colposamente riferite. È questo lo sforzo di equilibrismo attuativo che viene richiesto agli attori (Dpo e Compliance Officer) della ricerca di conformità in tale ambito.
3. Il whistleblowing e la tutela della privacy
La legislazione sulla privacy è uno scrigno colmo di accorgimenti a tutela del segnalante, del segnalato e dei fatti oggetto della segnalazione: ribadisce ed a tratti amplifica le misure necessarie a proteggere il whistleblower già declinati nella Dlgs 231/2001:
|
1) il segnalante, il segnalato ed eventuali terzi cui si fa riferimento (direttamente o indirettamente) nella segnalazione sono tutti soggetti interessati al trattamento;
2) qualunque sia la procedura costruita dall'azienda, affinché sia idonea, il canale dedicato alla segnalazione deve essere sicuro e conforme alla disciplina relativa al trattamento di dati;
3) è necessario procedere ad una Dpia (data protection impact assessment). Lo spiega con chiarezza il Garante nel provvedimento 12 settembre 2019, n. 166; il protocollo di whistleblowing potrebbe implicare il trattamento di dati particolari ai sensi dell'articolo 9 del Gdpr e/o dati relativi a condanne penali, reati e connesse misure di sicurezza ai sensi dell'articolo 10 del Gdpr.
In ogni caso, le informazioni riferite dal whistleblower necessitano di particolari forme di tutela: va protetta l'identità del segnalante e va prevenuta l'adozione di misure discriminatorie nei confronti dello stesso.
|
Per proteggere i dati, un titolare del trattamento accorto e conforme fornisce moduli di segnalazione che guidino la narrazione dei fatti impedendo al whistleblower il rigurgito di informazioni eccedenti rispetto al fatto rilevante. Un'azienda che ambisca alla conformità si assicurerà che la tutela delle identità degli interessati sia piena, mai a rischio, che i soggetti che attuano la procedura di segnalazione ricevano specifiche istruzioni ed una adeguata formazione sulla attività da svolgere.
Il principio di minimizzazione fa da bussola in questa materia: i dati raccolti nella procedura di segnalazione sono solo quelli necessari e pertinenti per il raggiungimento della finalità perseguita. I dati ulteriori non potranno essere oggetto di trattamento. Il titolare deve conservare e trattare solo le informazioni necessarie nella fase istruttoria e d'indagine, preziose anche al fine di definire la strategia processuale che l'azienda si trovasse a dover scegliere.
Da ben strutturare l'informativa, che deve necessariamente contenere le finalità del trattamento e, con riferimento ai dati personali, la base giuridica su cui si fonda il trattamento sarà: il legittimo interesse del titolare (ex articolo 6, lettera f) Gdpr) a conoscere eventuali illeciti denunciati nell'interesse della società; con specifico riferimento ai dati "particolari" di cui all'articolo 9 del Gdpr, quella prevista dall'articolo 9, paragrafo 2 lettera f) ossia l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria fermo restando che, per alcuni aspetti legati al rapporto lavorativo, la base giuridica può essere rinvenuta nella lettera b) della medesima disposizione.
La durata del periodo di conservazione è scelta variabile: breve (qualche mese) nell'ipotesi in cui, dopo la segnalazione, il caso sia archiviato; più ampia ed assestata sull'uso processuale del dato, quando si tratti dell'accertamento, dell'esercizio o della difesa di un diritto della società (titolare del trattamento) in sede giudiziale.
Le usuali mail esclusivamente dedicate al whistleblower per dialogare con l'Odv non sembrano essere strumenti a tenuta, posto che non garantiscono l'inalterabilità del dato ma soprattutto non separano l'identità del segnalante rispetto al fatto narrato: l'amministratore di sistema (Ads) vi accede agevolmente. Ecco allora crescere sul mercato un'offerta di prodotti informatici garantiti, protetti da barriere tecniche e misure di sicurezza e corredati da possibilità di percorsi blindati personalizzabili a seconda del progetto di accountability immaginato dall'azienda titolare del trattamento. Spesso tali protocolli richiedono attori speciali come il custode dell'identità del segnalante (e la figura del Dpo si presta a ricoprire tale ruolo) che sblocca l'accesso all'informazione ove questa servisse all'Odv o alla Magistratura (inquirente o giudicante).
Protocolli così blindati che neppure gli amministratori di sistema vi possono sbirciare. Ed il Garante gradisce queste accortezze… a leggere il provvedimento del 12 settembre 2019, n. 166 si traggono punti fermi interessanti che dovrebbero guidare i ragionamenti sul tema:
|
1) la conservazione delle segnalazioni sulla piattaforma deve essere protetta da idonee misure di cifratura dei dati poiché il mancato utilizzo di tecniche crittografiche per il trasporto e la conservazione dei dati determina una violazione del principio di accountability nonché una violazione dell'obbligo di ciascun titolare di adottare adeguate misure di sicurezza a presidio delle attività di trattamento svolte (di cui agli articoli 24 e 32 del Gdpr);
2) la piattaforma deve essere dotata di un protocollo di rete sicuro (è tale il Protocollo https);
3) bandita la registrazione e conservazione nei log degli apparati firewall delle informazioni relative alle connessioni alla piattaforma che non deve consentire la tracciabilità dei soggetti (ivi inclusi i segnalanti) che utilizzano la stessa;
4) appare chiaro che qualsiasi meccanismo di tracciamento degli accessi alla piattaforma e/o delle operazioni eseguite mediante la stessa, deve essere considerato in violazione del principio di minimizzazione e di protezione dei dati per impostazione predefinita (articoli 5 e 25 del Gdpr), va da se che l'accesso debba essere protetto da puntuali misure tecniche di sicurezza ad esempio: l'uso di utenze nominali; l'uso di una procedura di autenticazione informatica forte; meccanismi di blocco automatico dell'utenza in caso di ripetuti tentativi di autenticazione falliti.
|
In questa materia si aprono frontiere di vigilanza integrata: si fa strategica la collaborazione fra Odv e Dpo. L'uno preposto al controllo sul funzionamento e il rispetto del Modello di organizzazione, gestione e controllo (articolo 6 del Dlgs 231/2001); l'altro chiamato a vigilare sulla conformità dell'agito aziendale rispetto alla normativa privacy, ergo sia l'Odv che il Dpo sono coinvolti: nella valutazione di adeguatezza della procedura di whistleblowing; nel vigilare sul corretto corso delle indagini difensive interne. L'Odv fisiologico attore/coordinatore delle indagini difensive interne, (chiede spesso ad adiuvandum il contributo dell'internal audit), il Dpo (articoli 37-39, Gdpr) coprotagonista nell'attività di controllo: essendo la figura di riferimento in materia di protezione di dati personali si pone come supervisore dell'attività del titolare e in tale veste deve vigilare sul corretto svolgimento delle investigazioni difensive condotte dall'azienda cercando di evitare modus operanti eccessivi ed invasivi rispetto agli interessati al trattamento.
L'alchimia generata dall'attuazione normativa combinata della legge sulla privacy e di quella sul whistleblowing è difficile ma necessaria, l'equilibrismo delle aziende nel contemperare le esigenze normative richiede prove di destrezza attuativa; menti allenate a ragionamenti di compliance integrata produrranno protocolli a valenza multipla e con utilità amplificata.
Note redazionali
Tale obbligo riecheggia nella direttiva 2019/1937/Ue, non ancora recepita nel nostro Ordinamento, la quale dispone all'art. 23 comma 2 che: "gli Stati membri prevedono sanzioni effettive, proporzionate e dissuasive applicabili alle persone segnalanti per le quali sia accertato che hanno scientemente effettuato segnalazioni o divulgazioni pubbliche false. Gli Stati membri prevedono anche misure per il risarcimento dei danni derivanti da tali segnalazioni o divulgazioni conformemente al diritto nazionale".