Finalmente anche l’Italia dà indicazioni in tema di whistleblowers
I lettori che tengono sotto osservazione la legislazione europea sanno che ormai da tempo sono stati pubblicate delle linee guida sulle modalità con cui è possibile tutelare gli autori di segnalazioni di reati, che vengono, nel linguaggio corrente, chiamati con l’espressione anglosassone whistleblowers, vale a dire i soffiatori nel fischietto. D’altronde, questa espressione è talmente corrente che perfino le linee guida della Confindustria hanno usato proprio questo titolo!
Ad esempio, nell’ambito delle istituzioni europee già da tempo è stata pubblicata una linea guida sulle modalità con cui un’agenzia europea deve mettere a disposizione dei canali specifici per avanzare queste segnalazioni, che possono provenire sia da soggetti interni, sia da soggetti esterni. Appare evidente che quando la segnalazione proviene da soggetti interni occorre adottare tutta una serie di cautele per tutelare il soggetto coinvolto. Queste tutele però devono estendersi anche al soggetto nei confronti del quale è stata avanzata la segnalazione, perché il timore che certe segnalazioni abbiano fini più o meno reconditi è sempre presente.
Come diceva Andreotti: a pensar male si fa peccato, ma spesso si ha ragione!
Questa è la ragione per la quale nei vari paesi europei si sono attivate sia le istituzioni, sia gli organi normativi, per mettere a disposizione delle linee guida che aiutino i dirigenti aziendali a mettere a punto un manuale operativo, in grado di conciliare le esigenze di tutela del segnalatore con le esigenze di approfondita verifica del contenuto e della credibilità della segnalazione stessa.
Infatti la legge 30 novembre 2017, n. 179 - Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato, dà delle indicazioni ai responsabili aziendali, ma non entra in dettagli operativi, che possano essere inseriti appunto in una linea guida oppure in un manuale.
Questa è la ragione per la quale la Confindustria si è subito attivata e ha messo a disposizione delle aziende italiane una linea guida. D’altro canto, la Confindustria aveva a disposizione numerosi documenti di riferimento, già pubblicati in altri paesi, tra cui si pone in particolare evidenza quello pubblicato dall’articolo 29 Working party, prestigioso organo di consulenza in materia di protezione dei dati personali per tutta l’unione europea, dal titolo:
Opinion 1/2006 on the application of EU data protection rules to internal whistleblowing schemes in the fields of accounting, internal accounting controls, auditing matters, fight against bribery, banking and financial crime
Anche il supervisore europeo per la protezione dei dati, nella persona del passato segretario generale dell’autorità Garante italiana, Giovanni Buttarelli, ha pubblicato tempo addietro un prezioso documento sullo stesso tema, dal titolo:
Guidelines on processing personal information within a whistleblowing procedure
Il lettore non deve stupirsi se la protezione dei dati personali, riferiti sia al segnalatore, sia al soggetto segnalato, merita una estrema attenzione, proprio per i già menzionati possibili risvolti negativi.
Analoghe iniziative erano state prese già in Inghilterra, quando il British standard Institution ha pubblicato una specifica norma, dedicata a questo tema: la PAS 1998.
Questo documento è particolarmente interessante, in quanto una traccia normativa italiana o europea costituisce, secondo il codice civile italiano, un documento di riferimento che interpreta a regola d’arte il bene o servizio cui il documento si applica. Ecco la ragione per cui, fino ad oggi, sono molte le aziende italiane ed europee che hanno pensato bene di fare riferimento a questo documento normativo.
La disponibilità di una linea guida, emessa dalla Confindustria, indubbiamente semplifica queste attività, se non altro perché questa linea guida è emessa in italiano. Non posso però nascondere la mia perplessità circa il fatto che in questo documento l’attenzione che deve essere posta alla protezione dei dati personali dei soggetti coinvolti non è messa in adeguata evidenza. Nel testo infatti mai si fa riferimento al regolamento europeo 679/2016, che dal 25 maggio 2018 governerà qualsiasi tipo di attività di trattamento di dati personali, da chiunque svolta.
La linea guida prende opportunamente in considerazione i problemi legati anche alle segnalazioni anonime, che in Italia non sono obbligatoriamente recepibili dalla organizzazione coinvolta, mentre, ad esempio, negli Stati Uniti una direzione aziendale deve necessariamente accogliere anche le segnalazioni anonime.
Si tratta di un documento scritto in una forma snella che penso potrà incontrare grande favore fra tutti i lettori, che devono assistere l’alta direzione su questo percorso di attuazione di adempimenti legislativi.
La legge (pdf)
Confindustria - La disciplina in materia di whisteblowing (pdf)
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.