Whistleblowing e obbligo di riservatezza: le interazioni con il GDPR

La disciplina europea in materia di protezione dei dati personali – consacrata nel Regolamento (UE) 2016/679 (GDPR) – qualifica la tutela dei dati come parte integrante dei diritti fondamentali della persona. Tale prospettiva assume particolare rilievo nel contesto del whistleblowing, termine di derivazione anglosassone traducibile con l’espressione «soffiare nel fischietto», il quale costituisce un importante strumento di salvaguardia della legalità, tanto nel settore pubblico quanto nel settore privato.

Con l’adozione della Direttiva (UE) 2019/1937 – concernente le Misure di protezione delle persone che segnalano violazioni del diritto dell’Unione – viene riconosciuto per la prima volta in capo ai cittadini europei un vero e proprio diritto alla segnalazione, volto ad incoraggiare la trasparenza, nonché a evitare il timore di subire possibili ritorsioni a causa delle segnalazioni e delle denunce presentate.

Secondo la dottrina prevalente, tale istituto può essere infatti qualificato come un particolare strumento di regolamentazione delle procedure finalizzate ad incentivare e tutelare le differenti segnalazioni compiute dai c.d. whistleblower, ovvero quei lavoratori che, nello svolgimento delle proprie mansioni, si accorgono della presenza di situazioni, fatti o circostanze in grado di disvelare il verificarsi di un fatto illecito o di una irregolarità all’interno del proprio contesto lavorativo.

In effetti, caratteristica fondamentale del whistleblowing risiede nel coinvolgimento al suo interno di una pluralità di interessi confliggenti. Tra questi, svolge un ruolo centrale il c.d. obbligo di riservatezza dei dati personali, il quale contempera l’esigenza di protezione dei dati personali del whistleblower con la salvaguardia dei diritti del denunciato, nonché di eventuali terzi menzionati nella denuncia. Ai sensi dell’art. 5, par. 1, lett. f), Reg. UE 2016/679, affinché l’obbligo di riservatezza possa dirsi rispettato, è necessario vengano adottate alcune misure di sicurezza in grado di proteggere i dati personali da minacce provenienti sia dall’interno che dall’esterno dell’ambito lavorativo di appartenenza del whistleblower.

Nello specifico, con riferimento alla protezione dei dati da rischi interni, viene in rilievo la dicotomia tra gestione digitale o cartacea delle segnalazioni. Secondo la dottrina prevalente, sarebbe da preferire la prima poiché, a differenza del meccanismo di archiviazione cartaceo, quello digitale può essere protetto tramite sofisticati strumenti di tutela. A titolo meramente esemplificativo, si pensi al sistema di autenticazione a due fattori, al blocco automatico dell’accesso nelle ipotesi di sospetti o molteplici tentativi falliti, alla crittografia o alla c.d. pseudonimizzazione, intesa come quella tecnica di protezione dei dati personali consistente nell’impedire che questi ultimi possano essere attribuiti in capo ad un dato soggetto senza l’ausilio di informazioni aggiuntive, a loro volta conservate in modo separato e protette da ulteriori misure tecniche ed informatiche.

Dal punto di vista esterno, invece, il GDPR vieta l’uso di canali insicuri come la posta elettronica non crittografata, imponendo invece l’adozione di strumenti che garantiscano l’integrità dei dati, quali protocolli https, firewall, sistemi di crittografia. Pertanto, il mancato rispetto di tali obblighi può comportare l’irrogazione di sanzioni da parte del Garante per la protezione dei dati personali.

Accanto al generale obbligo di riservatezza ed in qualità di suoi corollari, il GDPR si occupa di valorizzare due ulteriori strumenti essenziali, prevedendoli all’art. 25, par. 1 e 2 del Regolamento stesso. Si tratta della c.d. privacy by design e della c.d. privacy by default. La differenza fondamentale intercorrente tra tali strumenti risiede nel loro diverso momento di operatività: mentre la prima impone al titolare del trattamento di prevedere misure di protezione dei dati personali sin dalla fase di progettazione del sistema di presentazione delle segnalazioni, così da prevenire i rischi e garantire la sicurezza «a monte»; la seconda, invece, richiede che la tutela venga assicurata successivamente, ovvero in sede di utilizzo effettivo del sistema, facendo sì che vengano trattati i soli dati realmente necessari per la finalità da perseguire, evitando così raccolte eccessive o utilizzi indebiti. Infatti, l’eventuale ed erronea raccolta di dati «manifestamente non utili» ne determina l’immediata distruzione.

In conclusione, si evince quindi come l’istituto del whistleblowing – se correttamente integrato con i principi enunciati all’interno del GDPR – rappresenti un potente strumento per la tutela della legalità, sebbene la sua efficacia dipenda altresì dalla capacità di garantire riservatezza, sicurezza e proporzionalità nel trattamento dei dati personali di tutti i soggetti segnalanti illeciti e forme di malamministrazione.