Whistleblowing e privacy

Le ricadute della normativa sul Whistleblowing sulla protezione dei dati personali e sulla relativa disciplina sono espressamente prese in considerazione dal d.lgs. n. 24/2023 sotto un triplice punto di vista: come disciplina rientrante nel novero degli atti di cui all'allegato al medesimo Decreto, la cui (sospetta) violazione è passibile di segnalazione ai sensi e per gli effetti del d.lgs. n. 24/2023; come disciplina da applicare al trattamento dei dati personali ai sensi e per gli effetti del d.lgs. n. 24/2023 ed infine come disciplina incisa dal medesimo d.lgs. n. 24/2023, per quel che riguarda e limitazioni all'esercizio dei diritti degli interessati.

Nel settore pubblico, le nuove norme si applicano a tutti i soggetti coinvolti, mentre nel settore privato, valgono solo se almeno una delle seguenti condizioni è verificata:

• nel corso dell'ultimo anno, hanno impiegato in media almeno 50 dipendenti con contratti a tempo indeterminato o determinato.
• operano in settori specifici come servizi, prodotti finanziari, prevenzione del riciclaggio, sicurezza dei trasporti e tutela dell'ambiente, anche con meno di 50 dipendenti.
• sono soggetti al decreto legislativo del 2001 e hanno implementato un modello organizzativo ai sensi di tale decreto, anche con meno di 50 dipendenti.

Il d.lgs. n. 24/2023 ha da subito sollevato interrogativi riguardo al trattamento delle segnalazioni anonime, generando dubbi su un eventuale obbligo di accettarle e darvi seguito. La legislazione in questione pone l'accento sull'importanza di gestire diligentemente le segnalazioni anonime, a condizione che sia previsto dal diritto nazionale.

Secondo quanto previsto dalla direttiva del Decreto, le procedure interne per le segnalazioni e le relative conseguenze dovrebbero includere la necessità di prendere seriamente in considerazione le segnalazioni anonime, se previste dalla legislazione nazionale. L'unica menzione esplicita delle segnalazioni anonime a livello interno si ritrova nell'articolo 16, comma 4, che stabilisce l'applicabilità delle misure di protezione anche nei casi di segnalazioni o denunce anonime, a patto che la persona segnalante venga identificata successivamente e subisca ritorsioni.

L'interpretazione prevalente sembra suggerire che non vi sia un obbligo, per enti pubblici o privati, di istituire canali specifici per accogliere segnalazioni anonime e di agire di conseguenza. Questa interpretazione trova supporto nelle Linee guida dell'ANAC del 12 luglio 2023, n. 311.

La chiarezza su questo punto è essenziale non solo per la comprensione degli obblighi sottesi, potenzialmente legati a sanzioni amministrative in caso di inadempienza, ma anche per la gestione dei dati personali e l'identificazione delle basi giuridiche pertinenti.

In definitiva, l'implementazione di canali per segnalazioni anonime e la loro gestione potrebbero comportare trattamenti di dati personali, sebbene non strettamente necessari per adempiere a obblighi di legge esistenti. Tale trattamento potrebbe risultare cruciale per garantire l'esecuzione di compiti di interesse pubblico o il perseguimento di legittimi interessi nel settore privato, se del caso.