Lo schema normativo approvato prevede la riservatezza assoluta del segnalante, delle persone coinvolte e del contenuto della segnalazione stessa, nonché la revisione del termine massimo di conservazione della documentazione della segnalazione
La materia del whistleblowing è attualmente disciplinata dalla legge 30 novembre 2017, n. 179, che ha modificato la previgente normativa per il settore pubblico (art. 54-bis, D.Lgs. 20 marzo 2001, n. 165), estendendo, inoltre, tale istituto al settore privato (v. art. 6, commi 2-bis ss., D.Lgs. 8 giugno 2001, n. 231) e integrando la disciplina dell’obbligo di segreto di ufficio, aziendale, professionale, scientifico e industriale.
Il cd. whistleblower è definito come la persona fisica che segnala o divulga informazioni sulle violazioni acquisite nell’ambito delle sue attività professionali, a prescindere dalla natura di tali attività o del fatto che il rapporto di lavoro sia nel frattempo terminato o non ancora iniziato.
Lo strumento della segnalazione da parte del lavoratore, pubblico o privato, risponde ad una duplice ratio:
1) tutelare il rapporto di lavoro, creando un particolare status giuslavoristico in favore del soggetto segnalante;
2) potenziare le misure prevenzione e contrasto della corruzione e, in generale, dell’illegalità, favorendo l’emersione, dall’interno delle organizzazioni, di condotte contra legem.
La direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio (cd. direttiva whistleblowing), entrata in vigore il 16 dicembre 2019, ha il precipuo obiettivo di stabilire norme comuni, a livello europeo, al fine di tutelare coloro che, segnalando condotte illecite, contribuiscono a “rafforzare i principi di trasparenza e responsabilità” (considerando 2) e a prevenire la commissione dei reati. La direttiva, in particolare, impegna gli Stati membri a estendere le misure di protezione non soltanto ai segnalanti che lavorano nel settore privato o pubblico, bensì anche ai c.d. facilitatori, ossia a coloro che assistono “una persona segnalante nel processo di segnalazione in un contesto lavorativo e la cui assistenza deve essere riservata” (art. 5), ai terzi connessi con le persone segnalanti, quali ad esempio colleghi o familiari, e ai soggetti giuridici collegati al segnalante.
Dall’ambito di applicazione del decreto sono, peraltro, escluse contestazioni o rivendicazioni di carattere personale nei rapporti individuali di lavoro o di impiego pubblico e le segnalazioni di violazioni in materia di sicurezza nazionale o di appalti relativi ad aspetti di difesa o sicurezza nazionale. Il Governo, per recepire la direttiva (UE) 2019/1937, il 9 dicembre 2022 ha adottato uno schema di decreto legislativo che intende ricondurre a un unico testo normativo la disciplina relativa alla tutela dei cd. “segnalatori” di violazioni di disposizioni normative, tra le quali quella in materia di privacy. Con provvedimento n. 1 dell’11 gennaio 2023, il Garante per la protezione dei dati personali ha, invero, espresso parere favorevole sul citato schema, ritenendo che esso abbia adeguatamente recepito tutte le indicazioni che l’Autorità ha fornito in sede di dei lavori preliminari alla relativa stesura. Lo schema, in particolare, prescrive che il canale di segnalazione debba garantire la riservatezza assoluta del segnalante, delle persone coinvolte e del contenuto della segnalazione stessa (anche mediante il ricorso alla crittografia).
Le segnalazioni possono essere conservate solo per il tempo necessario alla loro definizione e comunque per non più di cinque anni a decorrere dalla data di comunicazione dell’esito finale. Esse possono essere effettuate in forma scritta, anche con modalità informatiche, in forma orale, per telefono o attraverso sistemi di messagistica vocale, oppure infine mediante un incontro diretto. Le informazioni sulle modalità per effettuare il whistleblowing devono essere pubblicate nel sito internet del datore di lavoro in modo chiaro, visibile e accessibile. Con le stesse modalità e garanzie di riservatezza è, inoltre, prevista la possibilità di effettuare la segnalazione su di un canale esterno attivato presso l’ANAC in caso di assenza o inefficacia dei canali di segnalazione interna, di timore di ritorsione o pericolo per l’interesse pubblico.
L’articolo 10 dello schema di cui trattasi, in attuazione dell’art. 14 della direttiva, prevede, infine, l’adozione di apposite linee guida da parte dell’ANAC, sentito il Garante per la protezione dei dati personali, per le procedure di presentazione e gestione delle segnalazioni esterne, linee guida che dovranno essere riesaminate periodicamente, almeno una volta ogni tre anni.