Il recepimento della direttiva Ue in materia di whistleblower – che consentirà, all’Italia di perfezionare l’istituto già presente e regolamentato nel nostro paese, adeguandolo in toto alla convenzione anticorruzione, e all’Europa di uniformare la disciplina fra tutti i paesi dell’Unione – ha raggiunto un altro traguardo nella giornata di ieri, con l’approvazione da parte del Garante della privacy dello schema di decreto legislativo che recepisce, in sostanza, tutte le indicazioni che erano provenute dall’ANAC. In attesa della ormai prossima approvazione del decreto, proviamo già ora a tirare le somme delle novità che saranno introdotte con la nuova disciplina.
L’istituto è oggi noto, in ambito privato, soltanto ai soggetti che hanno adottato un modello ai sensi del d.lgs 231, essendo le tutele del whistleblower appunto riservate ai soli dipendenti e collaboratori degli enti privati che hanno adottato il modello organizzativo, e in relazione ai soli illeciti che costituiscono reato presupposto e sono per questo contemplati nel modello.
La prima importante novità sarà che le tutele ad oggi riservate entro questo perimetro verranno fortemente ampliate e dovranno essere garantite in tutte le realtà, a prescindere dall’adozione del modello, ed alla sola condizione di impiegare almeno 50 dipendenti, indipendentemente dalla natura della attività svolta. Come ricaduta pratica, questo significherà che praticamente tutti gli operatori sul mercato, anche di medie e piccole dimensioni, dovranno prendere dimestichezza con tali norme ed adeguarsi di conseguenza (a cominciare per esempio, col pubblicare sul proprio sito in modo chiaro, ben visibile ed accessibile le modalità di effettuazione delle segnalazioni). Ma non solo. Infatti, se adesso le segnalazioni possono riguardare esclusivamente violazioni del modello, e quindi reati presupposto della responsabilità dell’ente, in futuro le segnalazioni pare potranno riguardare qualsiasi tipo di illecito.
Le tutele, inoltre, dovranno essere garantite non solo al whistleblower dipendente, ma anche a consulenti, fornitori, tirocinanti, azionisti e volontari che abbiano assunto l’iniziativa di segnalare.
Il decreto aggiunge poi una serie di misure che possano dare sia maggior effettività alle segnalazioni – che potranno essere sia interne che esterne – sia maggior tutele del segnalante, in fase di segnalazione (previsto anche il ricorso alla crittografia) ed anche in quelle successive, come l’ordine di cessazione della condotta che costituisce ritorsione e la dichiarazione di nullità degli atti adottati in esecuzione della condotta che costituisce ritorsione.Sarà inoltre previsto l’obbligo entro specifici termini di dare riscontro al segnalante delle verifiche effettuate. L’intervento del Garante della privacy, ha riguardato le collegate implicazioni della nuova disciplina in materia. Quindi non solo le disposizioni inerenti la durata massima di conservazione dei dati personali inerenti le segnalazioni, ma anche i necessari adeguamenti a cui saranno tenuti tutti i (numerosissimi destinatari) come ad esempio, la valutazione del processo di whistleblowing ai sensi degli articoli 5 e 25 del GDPR, l’obbligo di informare gli interessati ai sensi degli artt. 13 e 14 GDPR.