Whistleblowing: tutte le novità, tra linee guida ANAC e Direttiva Europea

Home PA Digitale Whistleblowing: tutte le novità, tra linee guida ANAC e Direttiva Europea

I whistleblower sono coloro che segnalano illeciti di cui vengono a conoscenza in ragione del rapporto di lavoro. Siamo in attesa del decreto di recepimento della direttiva UE 2019/1937 riguardante il whistleblowing, che porterà rilevanti modifiche procedurali e organizzative sia nel settore pubblico sia in quello privato. Nel frattempo il riferimento sono le Linee Guida ANAC adottate nel giugno scorso

5 Gennaio 2022

C

Patrizia Cardillo

Esperta di Protezione dati personali, Coordinatrice del Network dei RPD delle Autorità indipendenti

Photo by LinkedIn Sales Solutions on Unsplash - https://unsplash.com/photos/W3Jl3jREpDY

A fine dicembre è scaduto il termine per il recepimento nel nostro ordinamento della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019 (nel seguito: Direttiva), riguardante il whistleblowing, la protezione delle persone che segnalano violazioni del diritto dell’Unione sul posto di lavoro. La legge delega 22 aprile 2021, n.53[1] all’art. 23 aveva fissato principi e criteri direttivi specifici e delegato il Governo, con apposito decreto legislativo, a: 

  • modificare la normativa vigente in materia di whistleblowing, operando le necessarie abrogazioni e adottando le opportune disposizioni transitorie;
  • curare il coordinamento con le disposizioni vigenti, assicurando un alto grado di protezione e tutela degli autori delle segnalazioni;
  • introdurre o conservare, in conformità a quanto previsto dall’articolo 25, paragrafo 1, le disposizioni più favorevoli ai diritti dei segnalanti e dei soggetti indicati dalla Direttiva per assicurare loro, comunque, il massimo livello di protezione e tutela.

Siamo quindi ora in attesa del decreto legislativo di recepimento: rilevanti e di impatto per tutti i settori saranno le scelte che verranno operate dal nostro legislatore, in particolare proprio relativamente all’ambito soggettivo di applicazione laddove l’art. 4 della Direttiva (Ambito di applicazione personale) opera una sostanziale parificazione di trattamento (e gestione) tra tutti i potenziali segnalanti quei soggetti (dipendenti e autonomi), che lavorano nel settore privato o pubblico che hanno acquisito informazioni sulle violazioni in un contesto lavorativo, ma anche a coloro il cui rapporto di lavoro è nel frattempo terminato o non ancora iniziato, durante il processo di selezione o altre fasi delle trattative precontrattuali.

In attesa delle indicazioni che verranno in sede di recepimento è necessario identificare ed attuare le indicazioni che vengono in materia di whistleblowing dalle Linee guida dell’Autorità Nazionale Anticorruzione (nel seguito: ANAC) adottate in data 9 giugno 2021 con Delibera n. 469 e di cui parleremo più avanti. Partiamo prima da una definizione di whistleblowing e dal quadro giuridico di riferimento.

Whistleblowing: significato e quadro giuridico attuale

Cosa significa whistleblowing? La figura del whistleblower, il “segnalatore di illeciti”, è stata introdotta nel nostro ordinamento dal comma 51 dell’art. 1 della legge 6 novembre 2012, n.190[2] come art. 54 bis del d.lgs 165/2001.[3]

Come evidenzia la sua stessa collocazione nel quadro giuridico nazionale, va ad identificare principalmente il dipendente pubblico[4] che denuncia o riferisce condotte illecite di cui sia venuto a conoscenza in ragione del rapporto di lavoro, a cui la legge riconosce forme di tutela e garanzia.

Con il Decreto legge n. 90 del 24 giugno 2014[5], l’ANAC, istituita proprio con la legge 190 del 2012, viene individuato quale soggetto destinatario delle segnalazioni. Sarà poi proprio la Direttiva a richiedere a tutti gli Stati membri l’individuazione di una Autorità nazionale preposta a ricevere e gestire le segnalazioni.

Nel 2017 è la legge 179 [6] ad interviene in maniera organica sul whistleblowing in tutti i settori:

  • nel settore pubblico laddove con l’obiettivo di accrescere il livello di protezione del dipendente pubblico, ma non solo, che denuncia la commissione di illeciti, si protegge la divulgazione dell’identità del segnalante, si rafforza il ruolo dell’ANAC e si introducono sanzioni pecuniarie nei confronti di coloro che adottano misure ritorsive o discriminatorie nei confronti del dipendente che segnala illeciti ma anche nei confronti del Responsabile della prevenzione della corruzione e della trasparenza (nel seguito: RPCT) che non gestisce la segnalazione di illeciti;
  • nel settore privato introduce tre nuovi commi all’art. 6 del D.lgs 8 giugno 2001, n.231[7] che prevedono l’inserimento, nei rispettivi modelli di organizzazione e di gestione, di canali attraverso i quali possono essere presentati, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del decreto e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte. Tali canali devono garantire la riservatezza dell’identità del segnalante nelle attività di gestione della segnalazione, il divieto di atti di ritorsione o discriminatori, l’adozione di sanzioni nel rispettivo sistema disciplinare e la nullità di licenziamenti ritorsivi e discriminatori.

Whistleblowing e Pubblica amministrazione

Poniamo la nostra attenzione al settore pubblico a partire dalla definizione della figura del whistleblower. Siamo di fronte ad un “pubblico dipendente” che nell’interesse dell’integrità della pubblica amministrazione, segnala al RPCT all’ANAC o denuncia all’autorità giudiziaria ordinaria o a quella contabile, condotte illecite di cui è venuto a conoscenza in ragione del proprio rapporto di lavoro.

Ma dalla lettura attenta comma 2 del nuovo art. 54-bis del d.lgs 165/2001 emerge evidente che l’ambito soggettivo di applicazione della normativa sul whistleblowing è molto più vasto; la segnalazione può pervenire da:

  • dipendenti delle amministrazioni pubbliche di cui all’art. 1, comma 2 del d.lgs. 165/2001[8];
  • dipendenti degli enti pubblici economici;
  • dipendenti degli enti di diritto privato sottoposti a controllo pubblico;
  • lavoratori e collaboratori delle imprese fornitrici di beni e servizi e che realizzano opere in favore dell’amministrazione pubblica quando denunciano illeciti commessi all’interno della stessa PA.

Su tutti tali soggetti si estende il medesimo livello di protezione e di garanzia prevista dalla norma ed è del tutto evidente l’esigenza di ben determinare i canali, esterni ed interni, attraverso cui pervengono le segnalazioni. Tema ampiamente trattato dalla Direttiva.

Anche la segnalazione deve rispondere ad una serie di requisiti:

  • deve avere ad oggetto condotte illecite, anche il solo tentativo, qualora ne sia prevista la punibilità, rilevante anche il fondato sospetto;
  •  i fatti segnalati (le violazioni) devono essere stati conosciuti in ragione del rapporto di lavoro;
  • deve essere effettuata allo scopo di tutelare l’integrità della pubblica amministrazione;
  • deve essere inoltrata unicamente ad uno dei quattro destinatari indicati dalla legge (RPCT, ANAC, Autorità giudiziaria ordinaria o contabile).

Particolare attenzione e maggiori novità vengono dalle misure di tutela messe in campo per assicurare l’efficacia di quello che è l’obiettivo primario della norma (che ritroviamo ancor più rafforzato nella Direttiva), tutelare il whistleblower:

  • tutela contro le ritorsioni: il segnalante non può essere sanzionato, demansionato, trasferito, sottoposto a qualsivoglia misura organizzativa con effetti negativi, diretti o indiretti, sulla posizione lavorativa, licenziato. Gli atti discriminatori sono nulli, comportano responsabilità personale per il soggetto che ha adottato l’atto e reintegro del segnalante licenziato;
  • clausola di riservatezza: non può essere rivelata l’identità del segnalante e la segnalazione è sottratta all’accesso, fatti salvi i casi espressamente previsti e solo in momenti successivi;
  • clausola di esclusione della responsabilità;
  • giusta causa per limitazioni al segreto d’ufficio;
  • rafforzamento e potenziamento del ruolo del RPCT che diviene il soggetto istruttore e colui che tratta i dati personali del segnalante.

Le Linee guida ANAC e la gestione delle segnalazioni, cosa occorre fare

È proprio in forza di quanto dispone il novellato art. 54-bis del decreto legislativo 30 marzo 2001 n. 165[9], che l’ANAC in un’ottica di prevenzione e non di repressione di singoli illeciti nel settore pubblico, ha adottato le Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro.

Le linee guida sul whistleblowing elaborate dopo un processo di confronto, sentito il Garante per la protezione dei dati personali forniscono indicazioni sull’applicazione della normativa ai destinati degli obblighi, pubbliche amministrazioni e agli altri soggetti tenuti ad adottare le misure a tutela dei segnalanti. Le linee guida, come emerge dal provvedimento, tengono conto dei principi e dei contenuti della Direttiva e successivamente saranno adeguate, ove necessario. Una particolare attenzione va posta ai contenuti della Parte seconda laddove vengono trattate le modalità di gestione della segnalazione, le procedure da adottare e il nuovo ruolo del RPCT.

E proprio sul ruolo che oggi assume il RPCT che occorre riflettere già da momento del conferimento dell’incarico: la scelta deve ricadere “su un dipendente dell’amministrazione dotato di requisiti di imparzialità e indipendenza”. Deve essere messo in grado di operare e deve essere supportato nella sua attività. Su di lui ricadono responsabilità e sanzioni che comunque hanno sostanziale riflesso sulla governance dell’intero sistema.

Da sottolineare come l’ANAC inviti tutte le amministrazioni ad introdurre “nei codici di comportamento adottati ai sensi del comma 5 dell’art. 54 del d.lgs 165/2001, forme di responsabilità specifica in capo al RPCT che riceve e gestisce le segnalazioni, nonché in capo a tutti gli altri soggetti che nell’amministrazione possano conoscere la segnalazione, con i dati e le informazioni in essa contenuti”.

Il RPCT oggi:

  • rappresenta uno dei 4 possibili soggetti destinatari delle segnalazioni; l’unico nel caso in cui vengano dirette all’Amministrazione di appartenenza del segnalante;
  • assume un ruolo fondamentale nella gestione delle segnalazioni: le prende in carico e pone in essere gli atti necessari all’attività di verifica e di analisi; in particolare:
    • valuta l’ammissibilità della segnalazione e la sussistenza dei requisiti essenziali per poter accordare al segnalante le tutele previste;
    • utilizza i medesimi criteri utilizzati da ANAC e potrà, quindi, archiviare la segnalazione per mancanza di interesse all’integrità della pubblica amministrazione, incompetenza, infondatezza per assenza elementi di fatto idonei, insussistenza dei presupposti, di legge, contenuto generico mancanza dei dati essenziali della segnalazione;
    • attività istruttoria interna: può chiedere elementi integrativi e valuta l’ammissibilità avvia l’istruttoria interna sui fatti o sulle condotte segnalate e comunica al segnalante l’esito della valutazione; in presenza di fumus di fondatezza si rivolge immediatamente agli organi preposti interni o enti/istituzioni esterne, ognuno secondo le rispettive competenze;
    • ove necessario trasmette la segnalazione, nel rispetto della tutela della riservatezza dell’identità del whistleblower, alle Autorità giudiziarie competenti, avendo cura di evidenziare che si tratta di una segnalazione pervenuta ai sensi dell’art. 54-bis del d.lgs. 165 del 2001;
    • qualora per ragioni istruttorie debba coinvolgere altri Uffici o altri soggetti, non potrà trasmettere la segnalazione ma soltanto estratti accuratamente anonimizzati della stessa, prestando, in ogni caso, la massima attenzione per evitare che, dalle informazioni e dai fatti descritti, si possa risalire all’identità del segnalanti.
  • è il soggetto competente, a trattare i dati personali del segnalante e, eventualmente, a conoscerne l’identità;
  • è soggetto ad una sanzione amministrativa pecuniaria in caso di mancato svolgimento delle attività di verifica e analisi delle segnalazioni. In taluni casi è anche soggetto a provvedimenti disciplinari.

Occorre inoltre evidenziare come:

  • il segnalante deve essere preventivamente informato (tramite la piattaforma informatica o con altri mezzi) dell’eventualità che la segnalazione, nel rispetto della tutela della riservatezza della sua identità, possa essere trasmessa alle Autorità giudiziarie, per i profili di rispettiva competenza;
  • le amministrazioni, dotate di procedure informatizzate, basate su sistemi crittografici devono procedere alla nomina del custode della riservatezza, «il soggetto individuato dall’amministrazione che, dietro esplicita e motivata richiesta, consente al RPCT o all’istruttore di accedere all’identità del segnalante». Tale ruolo può coincidere con quello di RPC;
  • non spetta al RPCT accertare le responsabilità individuali né svolgere controlli di legittimità o di merito su atti e provvedimenti adottati dall’amministrazione oggetto di segnalazione, a pena di sconfinare nelle competenze dei soggetti a ciò preposti all’interno di ogni ente o amministrazione ovvero della magistratura;
  • accountability: il RPCT di tener traccia dell’attività svolta e di fornire informazioni al segnalante sullo stato di avanzamento dell’istruttoria, almeno con riferimento ai principali snodi decisionali.

La scelta del RPCT deve essere fatta consapevolmente proprio in connessione alle competenze e responsabilità a lui affidati e, come sempre, gioca un ruolo fondamentale la sua conoscenza della struttura e la sua formazione.

Infine l’ANAC richiama l’attenzione delle amministrazioni sulla necessità di dotarsi delle procedure di ricezione/gestione delle segnalazioni di cui all’art.54bis. La mancata adozione ovvero l’adozione di procedure non conformi alle Linee Guida, è soggetta a procedimento sanzionatorio nei confronti dell’organo di indirizzo dell’Amministrazione che ha adottato il Piano triennale di prevenzione della corruzione e della trasparenza (PTPCT).

Whistleblowing: le novità della Direttiva, tra dichiarazioni di principio e governance

Dai considerando della Direttiva emerge evidente come l’istituto del whistleblowing viene ad essere inteso come uno strumento di tutela dei diritti fondamentali dell’individuo dal rispetto della vita privata, alla tutela dell’ambiente, alla concorrenza, alla sicurezza nei diversi settori della vita economica e sociale, alla lotta contro le frodi e qualsiasi attività illegale a tutela degli interessi finanziari dell’Unione e ne viene maggiormente rafforzata la tutela[10]. E in quanto tale a sua garanzia sono stati introdotti i medesimi principi di riconoscimento e tutela rafforzata, estesa e generalizzata, previsti per la tutela dei diritti da applicarsi, allo stesso modo, senza distinzione tra settore pubblico e settore privato, a tutti i soggetti.

Le principali novità impattano sugli aspetti più rilevanti e indurranno a modifiche procedurali e organizzative sia nel settore pubblico sia in quello privato. Sarà uno dei punti su cui il legislatore dovrà delineare la strada italiana per il whistleblowing. Infatti:

  • nuovo è l’ambito di applicazione personale: dovranno attenersi alla disciplina tutte le aziende con più di 50 dipendenti di adottare un sistema di gestione delle segnalazioni di whistleblowing (oggi prevista all’interno dei Modelli organizzativi e di gestione delle aziende ex D.lgs. 231/01);
  • è stata allargata la sfera dei possibili segnalanti (da tutelare) che deve ricomprendere:
    • gli azionisti e i membri dell’organo di amministrazione, direzione o vigilanza di un’impresa, compresi i membri senza incarichi esecutivi, i volontari ei tirocinanti retribuiti e non retribuiti;
    • qualsiasi persona che lavora sotto la supervisione e la direzione di appaltatori e fornitori;
    • le persone segnalanti il cui rapporto di lavoro non è ancora iniziato nei casi in cui le informazioni riguardanti una violazione sono state acquisite durante il processo di selezione o altre fasi delle trattative precontrattuali.
  • assume minore peso il concomitante interesse personale del segnalante che può anche legittimamente avere solo una ragionevole convinzione dell’esistenza di un illecito, anche relativamente ad un fatto che sta per avvenire;
  • vengono introdotte di sanzioni che devono essere effettive, proporzionate e dissuasive nei confronti di chi ostacola o tenta di ostacolare le segnalazioni, o pone in essere atti di ritorsione, procedimenti vessatori o viola l’obbligo di riservatezza sull’identità delle persone segnalanti. Contemporaneamente sono state introdotte sanzioni anche nei confronti del segnalante nel caso di accertata divulgazione di informazioni false, con conseguente risarcimento del danno arrecato;
  • tutti gli strati membri devono dotarsi di una Autorità Nazionale.

La Direttiva sul whistleblowing presta anche particolare attenzione ai canali di segnalazione: tutte le pubbliche amministrazioni devono dotarsi di canali di segnalazione interni. L’ANAC raccomanda alle amministrazioni di promuovere presso i dipendenti il ricorso al canale interno, favorendo, in prima istanza, l’inoltro della segnalazione al RPCT[11] anche attraverso iniziative di sensibilizzazione e formazione del personale con l’obiettivo di divulgare le finalità dell’istituto e le procedure da seguire per segnalare.

Oltre ai canali interni, per il settore pubblico come per quello privato, devono essere istituiti canali esterni sempre assicurando che il ricevimento e il trattamento delle informazioni avvenga con caratteri di indipendenza ed autonomia.

Devono essere adottate politiche di tutela della riservatezza attraverso strumenti informatici (disaccoppiamento dei dati del segnalante rispetto alle informazioni relative alla segnalazione, crittografia dei dati e dei documenti allegati). La gestione in via informatizzata delle segnalazioni è per l’ANAC la strada prioritaria per tutelare la riservatezza del segnalante.

Nel contempo la Direttiva sul whistleblowing ribadisce che tali canali devono essere progettati, realizzati e gestiti in modo sicuro e tale da garantire la riservatezza dell’identità della persona segnalante, la protezione degli eventuali terzi citati nella segnalazione e tali da impedire l’accesso da parte del personale non autorizzato. Deve altresì essere consentito l’invio di segnalazioni in forma scritta od orale.

Nel definire le modalità, preferibilmente informatiche, per la ricezione e la gestione delle segnalazioni definendo anche modalità e tempi di conservazione dei dati (appropriati e proporzionati) l’Amministrazione deve contestualmente disciplinare:

  • il ruolo e i compiti dei diversi soggetti cui è consentito l’accesso alle informazioni e ai dati contenuti nella segnalazione, limitandone il trasferimento ai casi strettamente necessari e secondo le modalità stabilite nelle linee guida;
  • i tempi di gestione delle segnalazioni: qui si registra un disallineamento tra i contenuti delle Linee guida (fissa in 15 giorni lavorativi il termine per l’esame preliminare e l’avvio dell’istruttoria che deve concludersi nei successivi 60 giorni) e la Direttiva (7 giorni per l’avviso di ricevimento e 90 giorni per la risposta) che dovranno trovare soluzione in sede di recepimento.

Entrambi i provvedimenti prevedono l’obbligo di dare riscontro alle segnalazioni, comunicando al segnalante «le informazioni sull’azione intrapresa per dar seguito alla segnalazione e sui motivi del seguito».

In attesa del recepimento della Direttive tutte le amministrazioni sono tenute a conformarsi alle indicazioni delle Linee Guida.


[1] Legge 22 aprile 2021, n. 53 Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2019-2020. (GU Serie Generale n.97 del 23-04-2021).

[2] Legge 6 novembre 2012, n.190 (Legge Severino) Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione.  La legge che istituisce l’Autorità nazionale anticorruzione.

[3] Decreto legislativo 30 marzo 2001, n.165 – Norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche.

[4] Il termine whistleblower assume, in realtà, un’accezione più ampia e ricomprende qualsiasi soggetto che nel corso della propria attività lavorativa scopre e denuncia fatti che causano o possono potenzialmente causare danno all’ente pubblico o privato in cui lavora o ai soggetti che con questo si relazionano (tra cui ad esempio consumatori, clienti, azionisti).

[5] Decreto legge 24 giugno 2014, n. 90 – Misure urgenti per la semplificazione e la trasparenza amministrativa e per l’efficienza degli uffici giudiziari, convertito con modificazioni dalla legge 11 agosto 2014, n. 114.

[6] Legge 30 novembre 2017, n. 179 – Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato. La norma, all’art. 3, integra anche la normativa in tema di obbligo di segreto d’ufficio, aziendale, professionale, scientifico e industriale.

[7] Decreto legislativo 8 giugno 2001, n. 231 – Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300

[8] Decreto legislativo 30 marzo 2001, n. 165 – art. 1, comma 2 “Per amministrazioni pubbliche si intendono tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane, e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale, l’Agenzia per la rappresentanza negoziale delle pubbliche amministrazioni (ARAN) e le Agenzie di cui al decreto legislativo 30 luglio 1999, n. 300. Fino alla revisione organica della disciplina di settore, le disposizioni di cui al presente decreto continuano ad applicarsi anche al CONI”.

[9] Cfr. comma 5 – L’ANAC, sentito il Garante per la protezione dei dati personali, adotta apposite linee guida relative alle procedure per la presentazione e la gestione delle segnalazioni. Le linee guida prevedono l’utilizzo di modalità anche informatiche e promuovono il ricorso a strumenti di crittografia per garantire la riservatezza dell’identità del segnalante e per il contenuto delle segnalazioni e della relativa documentazione.

[10] cfr. art. 1 della Direttiva- “Lo scopo della presente direttiva è rafforzare l’applicazione del diritto e delle politiche dell’Unione in specifici settori stabilendo norme minime comuni volte a garantire un elevato livello di protezione delle persone che segnalano violazioni del diritto dell’Unione

[11] cfr. Articolo 7 “gli Stati membri incoraggiano le segnalazioni mediante canali interni prima di effettuare segnalazioni mediante canali esterni, laddove la violazione possa essere affrontata efficacemente a livello interno e la persona segnalante ritenga che non sussista il rischio di ritorsioni”.