I.
Dal punto di vista storico, l’istituto del whistleblowing, se, per un verso, sembra essere nato nell’ambito del diritto americano, per l’altro verso, parrebbe affondare le proprie radici nell’affaire Hopkins.
Correva, infatti, l’anno 1777 allorquando alcuni marinari che prestavano servizio sulla Warren, nave da guerra americana, decisero di presentare una petizione contro il commodoro Esek Hopkins, che, sospeso dal servizio, per ritorsione, fece arrestare due marinai.
Questi ultimi – correva frattanto l’anno 1778 – presentarono quindi una seconda petizione, stigmatizzando il fatto d’essere stati arrestati per avere denunciato i trattamenti inumani e degradanti che il commodoro Esek Hopkins aveva riservato ad alcuni prigionieri britannici, ovvero e più semplicemente, per avere fatto il proprio dovere.
Ricevuta questa seconda petizione, il Congresso decise di prendere le difese di Samuel Shaw e Richard Marven, varando una risoluzione con la quale, per la prima volta nella storia, invitava tutti i cittadini a denunciare la «cattiva condotta» degli ufficiali di governo e, più specificamente, eventuali «frod[i]» o eventuali «delitt[i]» che gli stessi avessero commesso: «That it is the duty of all persons in the service of the United States, as well as all other inhabitants thereof, to give the earliest information to Congress or any other proper authority of any misconduct, frauds or misdemeanors committed by any officers or persons in the service of these states, which may come to their knowledge».
Se la denominazione dell’istituto [whistleblowing, letteralmente, significa «soffiare nel fischietto»] sembrerebbe dunque essere nata allora [secondo Altri, detta denominazione parafraserebbe invece la classica azione dell’arbitro che stigmatizza un fallo ovvero quella del poliziotto che stigmatizza un’azione illegale], è certamente vero che, da allora, si sono mosse tutte le altre Istituzioni fino a che – correva l’anno 1999 – il Consiglio d’Europa non arrivava a stipulare la Convenzione di diritto civile sulla corruzione, nella quale si sottolineava espressamente che la corruzione rappresentasse una «grave minaccia» per lo stato di diritto e per la democrazia.
Se di lì alla Protection of Whistleblowers. Legal Instrument. Recommendation CM/Rec (2014)7 and explanatory memorandum del 2014 il passo è stato breve, è stato anche e soprattutto su questi presupposti che si giungeva infine ad emanare la Direttiva UE 2019/1937, recentemente recepita anche dall’Italia con decreto legislativo 10 marzo 2023, numero 24.
Cristalline, così impostata la questione, le linee-guida in materia di protezione delle persone segnalanti individuate in sede di citata Direttiva UE: se la protezione che qui c’occupa è garantita a tutti coloro che entrano in contatto con l’impresa [non solo a dipendenti/ex dipendenti, dunque, ma anche a clienti, fornitori, etc.], le persone segnalanti sono protette contro licenziamenti e demansionamenti ovvero e più in generale, contro ogni forma di discriminazione/ritorsione.
Ancora: se a venire qui in emergenza sono illeciti gravi [quali, a mero titolo esemplificativo, la frode fiscale, il riciclaggio di denaro, i reati in materia d’appalti pubblici, i reati ambientali, etc.], le persone segnalanti sono libere di decidere se segnalare verso l’interno o verso l’esterno [adendo direttamente le Autorità di vigilanza competenti]: la protezione che qui c’occupa è garantita in entrambi i casi.
A livello italiano, se il primo intervento organico in materia appare essere frutto della cosiddetta legge Severino [legge 6 novembre 2012, numero 190], è stato però unicamente con la legge 179 – correva l’anno 2017 – che l’istituto del whistleblowing, ha iniziato ad operare anche in ambito privatistico ove, allo stato [e visto il decreto legislativo 10 marzo 2023, numero 24], è destinato a trovare applicazione e con riguardo alle imprese che abbiano adottato modelli d’organizzazione, gestione e controllo ex decreto legislativo 8 giugno 2001, numero 231 e con riguardo a quelle che, pur non avendo adottato detti modelli, abbiano impiegato, nell’ultimo anno, una media di cinquanta lavoratori subordinati [«con contratti di lavoro a tempo indeterminato o determinato»].
Su questo sfondo, le imprese dovranno e adottare piattaforme informatiche che garantiscano la riservatezza delle persone segnalanti, delle segnalazioni e della relativa documentazione mediante crittografia dei dati.
Dette piattaforme, più precisamente, dovranno essere progettate in conformità a quanto stabilito dal decreto legislativo 10 marzo 2023, numero 24, dalle linee-guida ANAC, dal Regolamento (UE) 2016/679 e dal decreto legislativo 30 giugno 2003, numero 196.
Ciò anche in considerazione del fatto che, operando in qualità di titolari del trattamento, le imprese dovranno altresì aggiornare il registro dei trattamenti, predisporre un’idonea informativa in materia, nonché effettuare un’idonea valutazione di impatto.
Penetranti le sanzioni pecuniarie previste in caso di mancata conformità normativa.
Le stesse, infatti, potranno oscillare tra la multa da € 10.000 a € 50.000 [quando s’accerti che non sono stati istituiti canali di segnalazione conformi alla legge e alle linee-guida ANAC ovvero quando s’accerti che non sono state adottate procedure per la gestione delle segnalazioni conformi alla legge e alle linee-guida ANAC] e la multa da € 500 a € 2.500 [quando s’accerti che è stato violato l’obbligo di riservatezza previsto dalla legge e dalle linee-guida ANAC].
Con l’avvertenza, per quel che qui importa, che se a essere violati fossero gli artt. 58 § 2 lett. i) e 83 § 5 GDPR, la multa potrebbe essere finanche pari a € 20.000.000 [ovvero al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore].