Come rispettare la privacy nell’istruttoria del whistleblowing

Le segnalazioni di illeciti da parte dei whistleblower devono essere passate immediatamente al setaccio per scartare il più in fretta possibile le informazioni manifestamente non utili. È questo un passaggio iniziale e cruciale della istruttoria di whistleblowing, previsto dal D.Lgs. n. 24/2023 (articolo 13). Non è il solo, ma si tratta di un profilo che mette a dura prova il rapporto tra normativa sulla segnalazione di illeciti e privacy e che necessita di una attenta pianificazione aziendale. L’applicazione della normativa richiede, infatti, formazione di alta specializzazione per le persone incaricate alle diverse incombenze e strumenti in grado di gestire il flusso di informazioni e di cancellazione mirata dei dati eccedenti.

Leggi anche Whistleblowing: quali sono i nuovi adempimenti per i datori di lavoro

Il primo comma dell’art. 13, D.Lgs. n. 24/2023 ha una mera efficacia riepilogativa e di richiamo del quadro normativo sulla protezione dei dati personali. Il comma in esame cita alcuni, solo alcuni, provvedimenti specifici che regolamentano la materia del trattamento dei dati personali. In effetti, tali blocchi normativi non esauriscono da soli la materia stessa, senza, peraltro, che l’omessa citazione, in questa sede, di altre fonti posa significare esclusione della applicabilità di queste ultime.

La formula, priva di significativa precettiva, in realtà è una forma di accidia del legislatore, il quale, tramite il richiamo a corpi normativi estesissimi nella loro interezza, evita a se stesso la fatica di selezionare le norme rilevanti o maschera l’incapacità di costruire strumenti legislativi auto-concludenti, lasciando agli interpreti la cura di ricostruire le regole dei singoli casi concreti e accettando il rischio, con dolo eventuale, di difformità esegetiche e pratiche contraddittorie.

Pertanto, ha un sapore lapalissiano l’affermazione per cui ogni trattamento dei dati personali, compresa la comunicazione tra le autorità competenti, deve essere effettuato a norma del regolamento Ue 2016/679 (alias GDPR), del D.Lgs. n. 196/2003 (alias codice della privacy), del D.Lgs. n. 51/2018 (disciplina della privacy in ambito giudiziario penale) e del regolamento Ue 2018/1725 (disciplina della privacy da parte delle istituzioni, degli organi o degli organismi dell'Unione europea).

Il secondo comma dell’articolo 13 prescrive che i dati personali, che manifestamente non sono utili al trattamento di una specifica segnalazione, non devono essere raccolti o, se raccolti accidentalmente, devono essere cancellati immediatamente.

Una superficiale lettura della disposizione si limita a inserire la stessa nel quadro del principio di minimizzazione dei dati, declamato dalla lett. c), par. 1, art. 5, GDPR.

Sempre restringendo lo sguardo a ciò che appare più evidente, i commentatori frettolosi spendono poco tempo e poco sforzo ermeneutico e si soffermano a fare l’eco alla generale formulazione della lettera c) citata, riflettendo per i dati trattati nelle operazioni di whistleblowing gli aggettivi scritti nella stessa e cioè: adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità.

Peraltro, i problemi, e sono problemi molto seri, cominciano quando ci si interroga sugli effetti concreti della breve proposizione che integra il comma 2 dell’articolo 13.

C’è da dire che l’avverbio non raggiunge affatto l’effetto di rassicurare ex ante chi deve sopportare quel peso, considerato che l’ambito di valutazione della natura manifesta ondeggia tra estremi opposti, tanti quanto sono i possibili valutatori. Nel dubbio, prevedibilmente si terranno le informazioni che non sono ictu oculi sconclusionate. È troppo minaccioso, infatti, lo spauracchio di essere chiamati a rispondere di condotte favoreggiatrici del segnalato autore di illeciti. Nel caso in cui si sia ritenuto di essersi imbattuti in una manifesta inutilità, peraltro, è doveroso stendere uno scudo a tutela della propria irresponsabilità, lasciando traccia delle ragioni della decisione (senza ovviamente conservare l’informazione di manifesta inutilità, neppure per documentare questa sua natura).

Per articolare il giudizio di “manifesta non utilità” al trattamento, peraltro, il soggetto incaricato deve avere contezza delle definizioni degli illeciti segnalabili e delle modalità di manifestazione nella prassi degli illeciti stessi. Occorrono conoscenze, abilità e competenze trasversali a diverse discipline (giuridiche e organizzative) e bisogna conoscere come si muove quel singolo ente. Non basta, dunque, individuare con oculatezza le persone chiamate a svolgere questi compiti; occorre anche curarne la formazione e l’addestramento pratico. L’avventatezza dell’improvvisazione porta all’esposizione al rischio di condotte inopinate da parte del dilettante allo sbaraglio, con possibili ricadute su chi ha mancato “in eligendo”.

In ogni caso, gli adempimenti da doverosamente omettere a fronte di informazioni manifestamente inutili sono la raccolta o, in ipotesi di raccolta accidentale, la cancellazione immediata.

Tutte operazioni, pericolosissime, che costringono il soggetto obbligato alla valutazione tra due fuochi: da un lato il rischio di violazione della privacy (per violazione della regola della minimizzazione) e, dall’altro lato, il rischio di cancellazione di notizie rilevanti per l’innesco di procedimenti sanzionatori, a tutela del buon andamento dell’amministrazione e dell’esercizio delle funzioni di giustizia.

Pur prescindendo per un attimo da questi profili drammatici per le singole evenienze pratiche, si considerino le enormi difficoltà tecniche interne alla disposizione. Essa vieta la raccolta di informazioni manifestamente inutili, cosa impossibile in tutti i casi in cui la segnalazione sia già pervenuta su un supporto fisico o digitale: il ricevimento di tale supporto è già una raccolta. Pertanto, in questi casi, il soggetto tenuto alla istruttoria della segnalazione avrà un’unica opzione e cioè la cancellazione.

Al riguardo della cancellazione, poi, occorre la massima cura nella eliminazione di qualsiasi possibile supporto sul quale l’informazione non manifestamente utile sia rintracciabile.

Sempre al riguardo della cancellazione, occorre stare attenti a eliminare ciò che va cancellato e non altro: il taglio deve essere chirurgico, per evitare di privare di intelligibilità le informazioni utili e anche quelle “non manifestamente non utili”.

A fronte di quanto sopra gli enti pubblici e privati, tenuti all’applicazione delle disposizioni sul whisteblowing, dovranno preordinare la propria organizzazione, mediante:

a) individuazione delle professionalità da incaricare agli adempimenti;

b) formare e addestrare le persone incaricate;

c) dotarsi di strumenti in grado di consentire la cancellazione dei dati “manifestamente non utili”.

Il terzo comma dell’articolo 13 prevede che i diritti disciplinati dagli art. da 15 a 22, regolamento Ue n. 2016/679 possono essere esercitati nei limiti di quanto previsto dall'art. 2 undecies, Codice della privacy.

In dettaglio i diritti di privacy (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e quelli relativi ai trattamenti interamente automatizzati) non possono essere esercitati né con richiesta al titolare del trattamento né con reclamo al Garante della privacy, qualora, oltre ad altre ipotesi, dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell'identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte, ai sensi del decreto legislativo recante attuazione della direttiva (UE) 2019/1937.

La disposizione in esame richiede, pertanto, agli enti pubblici e privati di avvalersi di persone formate e addestrate sia sul versante “privacy” sia sul versante “whistleblowing”.

A questo riguardo, sarà opportuno che il data protection officer, dove presente, presidi questi fronti con apposite circolari informative e prestando la consulenza (art. 39, GDPR).

A quanto sopra si deve aggiungere che il segnalante potrà avere riscontro delle sue segnalazioni esclusivamente nei termini previsti del D.Lgs. n. 24/2023 (in particolare articoli 5 e 8).