Testo integrale con note e bibliografia
1. La protezione dei “segnalatori” nella prospettiva europea: il ruolo del sindacato
Alcuni paesi dell’Unione europea, e tra questi l’Italia, hanno introdotto norme di protezione a tutela dei “segnalatori d’allerta” (altrimenti noti come “whistleblowers”). Nel novero dei destinatari delle tutele rientrano, in termini molto generali, coloro i quali (membri di un’organizzazione pubblica o privata) rivelano pratiche illegali, illegittime o anche solo immorali, riscontrate come perpetrate all’interno dell’organizzazione medesima. Le singole legislazioni nazionali sono molto diverse e questo ha indotto la Commissione europea a sviluppare una proposta di direttiva, attualmente in esame, il cui testo è stato oggetto, il 16 aprile 2019, di una risoluzione legislativa del Parlamento europeo . La proposta di direttiva non ha carattere generale, ma ha un ambito di applicazione materiale settoriale e limitato alle segnalazioni inerenti le violazioni del diritto dell’Unione elencate dall’art. 2 della proposta medesima.
L’intervento di armonizzazione europea progettato, in materia, segue l’adozione, da parte del Comitato dei Ministri degli Stati membri del Consiglio d’Europa, della Raccomandazione CM/Rec(2014)7 del 30 aprile 2014. Pur trattandosi di una Raccomandazione, e quindi di uno strumento la cui attuazione rimane affidata alla volontaria scelta degli Stati destinatari, è un atto giuridico formale che, in forma attenuata rispetto alla immediata precettività delle Convenzioni internazionali, introduce obblighi di carattere “programmatico”. La portata delle Raccomandazioni del Consiglio d’Europa è superiore al valore meramente “raccomandatorio” tipico delle ordinarie risoluzioni delle organizzazioni internazionali anche e soprattutto in ragione del fatto che per i diritti economici e sociali, che hanno trovato ormai la loro consacrazione nei sistemi costituzionali della generalità degli Stati membri, la Charte sociale européenne, firmata a Torino il 18 ottobre 1961 (riveduta il 3 maggio 1996 e ratificata in Italia dalla legge n. 30 del 1999), dopo avere enunciato il catalogo di detti diritti, fra i quali il diritto al lavoro e quello all’informazione e consultazione (art. 21), pone dichiarazioni relative a una attività di controllo degli adempimenti legislativi in materia affidata al Segretario generale, al Comitato degli esperti, al Comitato sociale governativo, all’Assemblea del Consiglio d’Europa e al Comitato dei Ministri. Quest’ultimo ha la facoltà di raccomandazione allo Stato membro il cui ordinamento relativo ai rapporti di lavoro e alle condizioni economiche e sociali non sia conforme al contenuto della Carta stessa .
Il “soft law” (categoria nell’ambito della quale possono essere ascritte le Raccomandazioni del Consiglio d’Europa) può contribuire in vario modo alla creazione di diritto: in primo luogo, attraverso la progressiva creazione di consuetudini internazionali, nel senso che le risoluzioni contribuiscono al consolidarsi dell’opinio iuris; in secondo luogo, ritenendo che il “soft law” stesso costituisca la fonte materiale di diritti ed obblighi giuridici anche in ragione delle pressioni sociali che comporterebbe un comportamento non conforme .
Fermo quanto sopra, la Raccomandazione del 2014 afferma, nella sostanza, che la libertà di espressione e il diritto di ricercare e ricevere informazioni sono fondamentali per il funzionamento di una democrazia. In questo senso la recente “opinione” espressa dal Comitato economico e sociale con riferimento alla proposta di direttiva sulla protezione dei segnalatori arriva a scomodare la parresia come contesto di libertà all’interno del quale l’implementazione della direttiva europea andrebbe a collocarsi .
La protezione del segnalatore/whistleblower, secondo il Consiglio d’Europa, passa attraverso un ruolo centrale attribuito alla contrattazione collettiva, o, comunque, alle parti sociali: il preambolo della Raccomandazione è esplicito nell’affermare che «to the extent that employment relations are regulated by collective labour agreements, member States may give effect to this recommendation and the principles contained in the appendix in the framework of such agreement». Nella regolamentazione e istituzione di canali di rapporto e rivelazione (punto IV della Raccomandazione) si prevede espressamente la necessaria consultazione dei lavoratori e delle loro rappresentanze.
Nello stesso senso, ma in relazione alla proposta di direttiva europea sulla protezione dei “segnalatori”, il Comitato economico e sociale, criticando la bozza proposta dalla Commissione, ha evidenziato che le rappresentanze sindacali devono essere interessate in ogni fase del processo di segnalazione, da costruirsi su due passaggi, il primo interno, o comunque indirizzato alle autorità competenti, ed il secondo, successivo, ed eventuale, ove necessario, rivolto alla società civile e ai media. I soggetti abilitati alla segnalazione, e destinatari della tutela, nella visione del Comitato economico e sociale, dovrebbero essere i lavoratori e le rappresentanze sindacali.
La Risoluzione legislativa del Parlamento europeo del 16 aprile 2019 non ha recepito l’indicazione del Comitato economico e sociale se non in maniera molto blanda, inserendo nell’art. 8, paragrafo 1, della proposta di direttiva, una prescrizione piuttosto generica, a mente della quale gli Stati membri devono assicurare che i soggetti giuridici del settore privato e pubblico istituiscano canali e procedure interne per la segnalazione e il seguito delle segnalazioni, previa consultazione e «in accordo con le parti sociali». La consultazione e l’accordo con le parti sociali viene richiesto, peraltro, solamente «se previsto dal diritto nazionale».
L’art. 3, paragrafo 4, della proposta, del resto, lascia impregiudicate le norme nazionali relative all’esercizio del diritto dei lavoratori di consultare i propri rappresentanti o sindacati, alla protezione contro eventuali misure lesive ingiustificate determinate da tali consultazioni, nonché all’autonomia delle parti sociali e al loro diritto di stipulare accordi collettivi.
Da questo punto di vista la proposta di direttiva non valorizza il ruolo delle parti sociali come attore, facilitatore, mediatore o comunque soggetto da consultare nella costruzione dei canali di segnalazione, il che verosimilmente lascerà immutato il quadro regolativo attualmente vigente in Italia, che non prevede altro ruolo per le organizzazioni sindacali diverso da quello (nel settore privato) di soggetto legittimato a denunciare all’Ispettorato nazionale del lavoro l’adozione di misure discriminatorie nei confronti dei soggetti che effettuano le segnalazioni a norma del decreto legislativo n. 231 del 2001 (art. 6, comma 2-ter).
Con riferimento a questo aspetto della normativa interna si può rilevare, da un lato, che in capo alle “organizzazioni sindacali” di riferimento, non è richiesto alcun requisito né di rappresentatività né di organizzazione, orizzontale o verticale. Dall’altro lato, la norma in esame limita la predetta legittimazione all’organizzazione sindacale “indicata” dal lavoratore segnalante, il che presuppone, evidentemente, un rapporto di mandato tra segnalante e organizzazione sindacale, attraverso un meccanismo analogo a quello di cui all’art. 38 del d.lgs. n. 198 del 2006. È opportuno segnalare come tutt’altro tenore abbia, sotto questo profilo, la disciplina prevista per il settore pubblico, ove il potere di segnalare all’ANAC l’avvenuta adozione di “misure ritenute ritorsive” nei confronti del segnalante è attribuito alle «organizzazioni sindacali maggiormente rappresentative nell’amministrazione nella quale le stesse sono state poste in essere» (art. 54-bis del d.lgs. n. 165 del 2001 come modificato dalla legge n. 179 del 2017). La differenza è, palesemente, molto accentuata.
2. Protezione dei “segnalatori”, bilanciamento tra interessi contrapposti e responsabilità sociale dell’impresa
Nella prospettiva “europea” (tanto del Consiglio d’Europa quanto di Commissione e Parlamento), l’esigenza della protezione del segnalante è legata, da un lato, al diritto di espressione e, dall’altro lato, ai diritti di informazione e consultazione delle rappresentanze sindacali.
Seguendo questa logica, il considerando 34 della proposta di direttiva, introdotto dalla Risoluzione legislativa del parlamento europeo del 16 aprile 2019, espressamente precisa (nel contesto della valorizzazione dei canali di segnalazione interna all’organizzazione) che la materia in esame pone un delicato problema di bilanciamento dei principi di trasparenza, responsabilità e di diritti fondamentali come la libertà di espressione e la libertà dei mezzi di informazione con l’interesse dei datori di lavoro a gestire le loro organizzazioni e tutelare i loro interessi.
Una conferma di questo approccio ambivalente si trae dall’esame del “pilastro” europeo per i diritti sociali, proclamato il 16 novembre 2017 al Summit Sociale di Göteborg.
Nel testo definitivo non si rinviene alcun riferimento esplicito alla protezione del segnalatore/whistleblower, né al diritto di esprimere liberamente le proprie opinioni. La questione relativa alla protezione del segnalatore va cercata in ciò che implicitamente può trarsi dai principi relativi all’occupazione flessibile e sicura (principio n. 5), alle informazioni sulle condizioni di lavoro e sulla protezione in caso di licenziamento (principio 7b), all’informazione relativa a diritti e obblighi derivanti dal rapporto di lavoro (principio 7a), al dialogo sociale (principio 8b) ed al principio relativo all’ambiente di lavoro sano, sicuro e adeguato e protezione dei dati personali (principio 10).
L’assenza di un espresso richiamo alla libertà di espressione, al diritto/dovere di segnalazione e alla protezione del segnalatore si può spiegare, verosimilmente, considerando (nuovamente) il ruolo che le parti sociali ritengono che debba essere loro riconosciuto in questa materia.
Anche per questa ragione, l’impianto generale della proposta di direttiva può risultare deludente a causa della già segnalata sottovalutazione del ruolo delle organizzazioni sindacali.
In ogni caso, nella comunicazione della Commissione del 23 aprile 2018 (proposta di direttiva sulla protezione degli informatori a livello europeo, definiti «persons reporting on breaches of Union Law») si sottolinea che un livello comune elevato di protezione per chi segnala violazioni delle norme dell’Unione nell’ambito della propria attività professionale migliorerà la protezione dei lavoratori, incluse la salute e la sicurezza, in linea con gli obiettivi affermati nel pilastro europeo dei diritti sociali.
Questo specifico aspetto è valorizzato, dalla proposta di direttiva, in una prospettiva, analoga a quella fatta propria dal legislatore italiano (che, come si vedrà meglio, ha collocato la protezione del segnalatore all’interno di un sistema facoltativo di adozione di modelli di organizzazione e di gestione) di tutela della reputazione dell’impresa, all’interno di una dinamica di responsabilità sociale della stessa .
La dimostrazione di quanto si è detto la si trova nel considerando 47 della proposta di direttiva, introdotto dalla Risoluzione legislativa del Parlamento europeo, che valorizza il canale di segnalazione interno all’organizzazione nell’espresso convincimento che in tal modo si favorisca «una cultura della buona comunicazione e della responsabilità sociale d’impresa all’interno delle organizzazioni nel cui ambito le persone segnalanti sono considerate elementi che contribuiscono in modo significativo all’autocorrezione e all’eccellenza».
Questo passaggio della proposta di direttiva rimanda, sia pure implicitamente, alla norma ISO 26000, standard internazionale sviluppato dall’ISO/TMBG Technical Management Board e pubblicato per la prima volta nel novembre 2010, che fornisce delle linee guida sulla Responsabilità Sociale delle Imprese (RSI) e delle Organizzazioni. Secondo questa norma ISO un’organizzazione dovrebbe divulgare in modo chiaro, accurato e completo, e ad un livello ragionevole e sufficiente, le politiche, le decisioni e le attività per le quali è responsabile, inclusi gli impatti sulla società e sull’ambiente, sia noti sia probabili; al fine di garantire effettività a questo principio di trasparenza la norma ISO stimola la messa in opera di un dispositivo d’allerta che consenta di «facilitate the reporting of unhetical behaviour without fear or reprisal» (cfr. punto 7.5.3)
3. La ratio della legge n. 179 del 2017.
L’istituto introdotto nel nostro ordinamento nel 2017, con riferimento particolare al settore privato, opera, dunque, sul molteplice piano della tutela del rapporto di lavoro, del potenziamento delle misure di prevenzione e contrasto della corruzione, del controllo fiduciario e della tutela della libertà di espressione. La ratio legis (tanto a livello sovranazionale quanto a livello interno) è multipla, come ha rilevato una interessante sentenza della Suprema Corte, relativa al settore pubblico, ove si legge che «l’istituto, che presenta analogie con altre figure di ambito internazionale (da cui deriva anche il termine whistleblowing), si conforma strutturalmente all’art. 361 cod. pen. ma se ne distingue in riferimento ai presupposti ed all’ambito di operatività, nella doppia declinazione della tutela del rapporto di lavoro e del potenziamento delle misure di prevenzione e contrasto della corruzione. La segnalazione risponde, difatti, ad una duplice ratio, consistente da un lato nel delineare un particolare status giuslavoristico in favore del soggetto che segnala illeciti e, dall’altro, nel favorire l’emersione, dall’interno delle organizzazioni pubbliche, di fatti illeciti, promuovendo forme più incisive di contrasto alla corruzione» .
La fattispecie è piuttosto particolare e può essere significativo richiamarla: un pubblico dipendente si era introdotto nel sistema informatico di un istituto scolastico, utilizzando l’account e la password di una collega, per elaborare un falso documento di fine rapporto, a nome di un soggetto che non aveva mai prestato servizio presso l’amministrazione, per cancellarlo subito dopo, al solo (asserito) fine di sperimentare “la vulnerabilità del sistema”. Tesi dell’imputato era avere operato nell’adempimento di un dovere, fondato sul vincolo di fedeltà che lega il dipendente pubblico all’amministrazione, derivante dagli artt. 54 e 54-bis del d.lgs. n. 165 del 2001, che imporrebbe, nella prospettiva del lavoratore, un obbligo giuridico di denuncia al quale non potrebbe non correlarsi, evidentemente, proprio quel “dovere” di controllo diffuso cui fa riferimento la lettura sopra richiamata. Nel caso di specie viene in rilievo l’esatta delimitazione della logica sottesa all’intervento normativo del 2017, nella diversa prospettiva della eventuale affermazione di un dovere di promozione dell’integrità dell’ente implicante addirittura un diritto/dovere di investigazione.
La Corte ha avuto agio nel contrastare la tesi difensiva del dipendente improvvisatosi “investigatore”, rilevando come «la normativa si limiti a scongiurare conseguenze sfavorevoli, limitatamente al rapporto di impiego, per il segnalante che acquisisca, nel contesto lavorativo, notizia di un’attività illecita, mentre non fonda alcun obbligo di attiva acquisizione di informazioni, autorizzando improprie attività investigative, in violazione dei limiti posti dalla legge». Neppure, secondo la Cassazione, la locuzione «condotte illecite di cui [il dipendente pubblico] è venuto a conoscenza in ragione del rapporto di lavoro», contenuta nel comma primo dell’art. 54-bis del d.lgs. n. 165 del 2001 come riformato dalla legge n. 179 del 2017, e analoga a quella utilizzata per il settore privato dal nuovo comma 2-bis dell’art. 6 del d.lgs. n. 231 del 2001, consente di ritenere «scusabile alcun errore riguardo l’esistenza di un dovere che possa giustificare l’indebito utilizzo di credenziali d’accesso a sistema informatico protetto […] da parte di soggetto non legittimato».
La questione, apparentemente secondaria, è di grande rilevanza.
L’ambivalenza di ratio posta in evidenza dalla Cassazione è complicata ulteriormente qualora si approfondisca la tematica in chiave gius-lavoristica.
Qui, infatti, la dinamica di protezione del segnalatore, istituita dal legislatore, tende a realizzare meccanismi di controllo fiduciario che, traendo spunto dalle esperienze nord-americane, sfruttano la leva reputazionale del sistema sanzionatorio. Il canale di “comunicazione collaborativa”, che spinge il lavoratore alla segnalazione/denuncia di condotte illecite, rappresenta un’evoluzione delle forme più tradizionali di disciplinamento, che ne escono rafforzate.
Il nuovo impianto normativo attribuisce alla leva disciplinare una connotazione peculiare, finalizzata alla prevenzione della corruzione; questo dato non può essere letto disgiuntamente dal riferimento, da un lato, per quanto concerne il settore pubblico, ai codici di comportamento, e, dall’altro lato, relativamente al settore privato, alla complessiva funzione dei modelli (volontari) di organizzazione e gestione disciplinati dall’art. 6 del d.lgs. n. 231 del 2001, che sono funzionali all’esonero da responsabilità dell’ente.
La tutela del segnalatore, dunque, serve a rendere operativo un impianto generale di controllo diffuso che sollecita un esercizio (doveroso) del potere disciplinare a fini di tutela della reputazione dell’ente o dell’impresa.
In questa prospettiva è difficile negare la sussistenza di una «responsabilità da mancata segnalazione», quantomeno se «al lavoratore spettino mansioni di controllo e direzione, in presenza di una palese posizione di garanzia; ma anche nel caso in cui manchino responsabilità generiche, non pare illogico affermare che l’obbligazione assunta con il contratto di lavoro di collaborare con il datore (art. 2094 c.c.) faccia insorgere una responsabilità tutte le volte che, per l’effettiva conoscenza o anche solo per la manifesta illegittimità della condotta altrui, sussistano gli estremi per una segnalazione» .
4. La legge n. 179 del 2017 ed il settore privato
La legge del 2017 intende attuare l’invito, derivante dalla Convenzione di Strasburgo del 4 novembre 1999, ad una «adeguata tutela contro qualsiasi sanzione ingiustificata nei confronti di dipendenti i quali, in buona fede e sulla base di ragionevoli sospetti, denunciano fatti di corruzione alle persone o alle autorità responsabili».
Gli strumenti in materia di contrasto alla corruzione previsti tra la fine degli anni novanta e gli inizi del 2000 dalle organizzazioni internazionali tanto universali (Nazioni Unite), quanto settoriali (Unione Europea, Consiglio d’Europa, OCSE), hanno determinato un progressivo adattamento da parte degli ordinamenti interni nell’introduzione di norme a tutela del whistleblower .
Dettare una disciplina volta a regolamentare in maniera omogenea la pratica del whistleblowing non è risultato un compito semplice, stante la necessità, già sottolineata, di contemperare opposti interessi in gioco: quello della collettività ad essere informata di fatti che hanno conseguenze sul corretto funzionamento di società private o istituzioni pubbliche, facendo emergere le c.d. serious malpractices, e quello di preservare l’integrità dell’ente, nonché la reputazione e i diritti processuali del soggetto segnalato, che si pretende responsabile di condotte corruttive.
Le maggiori difficoltà di adeguamento alle norme convenzionali sono state riscontrate nel sistema italiano, il cui assetto normativo è stato valutato in più occasioni, da autorità sia nazionali che internazionali , come lacunoso sul fronte della regolamentazione delle segnalazioni di illeciti perpetrati nell’organizzazione aziendale e della tutela da accordare al dipendente che li ha resi noti.
Le richieste rivolte alla Repubblica italiana , anche sull’onda di gravi episodi di crisi economico-finanziaria , hanno convinto il legislatore a superare l’iniziale deficit di appeal riscontrato nei confronti dell’istituto e a prevedere una prima forma di tutela espressa del whistleblower solo nel 2012. La legge n. 190 (c.d. “Legge Anticorruzione” o “Legge Severino”), recante «Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione», ha introdotto nel d.lgs. n. 165 del 30 marzo 2001 (c.d. “Testo Unico del pubblico impiego”) l’art. 54 bis a tutela del dipendente pubblico che segnala illeciti .
La Commissione UE ha contestato tempestivamente la carenza di canali di comunicazione da utilizzare da parte del segnalante e, al contempo, ha denunciato la restrizione della sfera applicativa della norma alla pubblica amministrazione, da cui è derivata un’ingiustificabile assenza di tutela per il dipendente dell’impresa privata.
La legge 179 del 2017, entrata in vigore il 29 dicembre 2017 , ha riformato l’istituto del whistleblowing, nel tentativo di rafforzare la collaborazione sinergica tra l’amministrazione e il dipendente pubblico, da un lato, e di estendere la protezione del segnalante al settore privato, dall’altro, senza considerare - al pari della disciplina precedente - la possibilità di riconoscere incentivi economici in favore di colui che denuncia la condotta illecita.
Per il settore privato, l’art. 2 della legge n. 179 del 2017 è intervenuto nella disciplina della responsabilità amministrativa degli enti, inserendo tre nuovi commi all’interno dell’art. 6 del d.lgs. n. 231 del 2001.
Al comma 2 bis si definisce il contenuto dei modelli di organizzazione, gestione e controllo stabilendo che essi prevedano uno o più canali che consentano ai soggetti indicati nell’articolo 5, comma 1, lettere a) e b) (ossia, ai soggetti c.d. apicali e subordinati) di presentare, a tutela dell’integrità dell’ente, «segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del presente decreto» o «violazioni del modello di organizzazione gestione dell’ente, di cui siano venuti conoscenza in ragione delle funzioni svolte» , ferma restando la necessità di garantire la riservatezza dell’identità del segnalante nelle attività di gestione della segnalazione.
La norma, poi, oltre a precisare che i modelli organizzativi devono istituire «almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante» , stabilisce che questi debbano prevedere il divieto di porre in essere atti di ritorsione o discriminatori nei confronti del whistleblower «per motivi collegati, direttamente o indirettamente, alla segnalazione», nonché sanzioni per chi viola le misure di tutela del segnalante e chi effettua con dolo o colpa grave segnalazioni infondate, senza tuttavia specificare se sia necessario un accertamento giudiziale o, viceversa, se sia sufficiente un mero giudizio di esclusione della tutela da parte del datore di lavoro .
Il nuovo comma 2 ter dell’art. 6 d.lgs. 231 del 2001 riconosce, inoltre, in capo al segnalante, ovvero (come si è già sottolineato) all’organizzazione sindacale indicata dal medesimo, la facoltà di denunciare all’Ispettorato nazionale del Lavoro l’adozione di misure discriminatorie nei confronti dei soggetti che effettuano le segnalazioni, mentre il comma 2 quater prevede la nullità del licenziamento ritorsivo del segnalante e di tutte le altre misure eventualmente ritorsive (es. il mutamento di mansioni ai sensi dell’art. 2103 c.c.), e afferma un’inversione dell’onere probatorio in capo al datore di lavoro, tenuto a dimostrare come tali misure siano fondate su ragioni estranee alla segnalazione stessa.
Appare evidente la differenza sussistente tra la disciplina per il settore pubblico e quella per il settore privato in relazione ai soggetti che possono rivestire la qualifica di whistleblower. Pur essendo caducato l’obbligo di denuncia, la norma privatistica infatti circoscrive il novero dei possibili segnalanti ai soli soggetti “interni” all’ente, al contrario di quanto stabilito con riguardo alle segnalazioni nell’ambito pubblico, ove i benefici a tutela del segnalante sono estesi anche ai «lavoratori e ai collaboratori delle imprese fornitrici di beni e servizi e che realizzano opere in favore dell’amministrazione pubblica» (art. 54 bis, comma 2, d.lgs. n.165 del 2001) .
Notevole, sotto questo profilo, è la distanza della disciplina italiana rispetto alla proposta di direttiva europea che, come si è visto, estende le tutele ben oltre il limitato piano del lavoro subordinato.
Ora, non può essere dimenticato, al riguardo, che la protezione del segnalante, nel quadro del d.lgs. n. 231 del 2001, ha la “semplice” funzione di introdurre un requisito ulteriore di adeguatezza e idoneità dei modelli organizzativi ai fini dell’esonero dell’ente collettivo dalla responsabilità rispetto ai reati presupposto individuati dal medesimo decreto legislativo. Nulla impedisce agli enti privati di estendere la possibilità che la segnalazione provenga anche da soggetti diversi dai soggetti interni . Il problema risiede della settorialità e parziarietà dell’intervento normativo che non ha introdotto una disciplina generalmente applicabile.
Tornando al sistema normativo, occorre sottolineare anche che tra le circostanze oggetto di segnalazione possono essere ricondotte sia le «condotte illecite» rilevanti ai sensi del decreto 231 del 2001 , purché fondate su elementi di fatto precisi e concordanti , sia le «violazioni del Modello di organizzazione e gestione dell’ente», costituite da tutti quei comportamenti contrari alle procedure di compliance aziendale, che non necessariamente integrano una delle fattispecie c.d. presupposto della responsabilità dell’ente.
Circa i destinatari della segnalazione, il comma 2 bis lascia ampio margine alle imprese nello strutturare i canali di denuncia, stante il mancato riferimento al suo interno alla nota figura dell’Organismo di vigilanza, la quale - fino all’introduzione delle modifiche apportate dalla legge n. 179 del 2017 - pareva la più idonea a gestire i flussi informativi aventi ad oggetto comportamenti suscettibili di integrare fattispecie di reato.
Questo è un ulteriore profilo di evidente carenza dell’impianto normativo.
Secondo parte della dottrina, nonostante la genericità del testo legislativo, la discrezionalità di cui gode l’ente nello strutturare i canali informativi non è affatto piena, dovendosi ritenere che «l’ente collettivo non può non prevedere che della comunicazione del whistleblowing – quale che ne sia il contenuto – ne venga sempre a conoscenza l’Organismo di vigilanza» . Questa soluzione viene dedotta dall’interpretazione complessiva dell’art. 6 del d.lgs. n. 231 del 2001, che stabilisce, alla lettera d) del comma 2, un generale obbligo di informazione nei confronti dell’organismo di vigilanza di ogni anomalia o atipicità riscontrata nello svolgimento delle procedure previste dai programmi di controllo.
L’aspetto maggiormente problematico, che si può cogliere anche confrontando il testo della legge del 2017 con l’impianto della proposta di direttiva europea, risiede nella totale assenza di considerazione del principio tradizionalmente affermato dalla Corte europea dei diritti dell’uomo in materia di esercizio della libertà di espressione (e dunque anche di critica e di replica) nel rapporto di lavoro. La Corte europea ha tendenzialmente sempre affermato che l’obbligo di riservatezza impone al lavoratore di rivolgersi preliminarmente ad un superiore o al soggetto preposto all’interno dell’organizzazione aziendale, e, solamente quando ciò sia manifestamente impossibile o inutile, è ammissibile rivolgersi ad un canale esterno o all’opinione pubblica (si veda, per tutte, la sentenza della Corte europea dei diritti dell’uomo del 13 maggio 1992, ricorso n. 18957/91, caso Haseldine c. Regno Unito di Gran Bretagna).
Su questa linea si pone la proposta di direttiva nel prevedere che il ricorso ai canali esterni (art. 10) ovvero, in ultima istanza, alla divulgazione pubblica (art. 15) costituisca l’eccezione rispetto alla segnalazione tramite canale interno.
Il testo dei nuovi commi successivi al secondo, inseriti nell’art. 6 del d.lgs. n. 231 del 2001, non sembra essere del tutto trasparente sul punto, anche se dalla lettura integrale dello stesso, considerata in combinazione con l’art. 3, comma 3, della legge n. 179 del 2017, si può ritenere che il principio sopra richiamato sia stato tenuto implicitamente in considerazione. Emerge, infatti, da un lato che la nullità del “licenziamento ritorsivo o discriminatorio del soggetto segnalante” sia riferibile esclusivamente al soggetto che abbia effettuato le segnalazioni attenendosi ai canali previsi dal modello organizzativo, così come, dall’altro lato, la violazione dell’obbligo di “segreto” viene mantenuta in caso di rivelazione di notizie e documenti oggetto di segreto aziendale, professionale o d’ufficio, «al di fuori del canale di comunicazione specificamente predisposto a tal fine».
5. La “giusta causa” di rivelazione delle notizie coperte dall’obbligo di segreto
Nell’ambito delle tutele riconosciute al whistleblower va ricompresa la previsione di cui all’art. 3 della legge n. 179 del 2017, che esonera il segnalante da eventuali responsabilità civili e/o penali nel caso di rivelazioni coperte da segreto.
Per tale disposizione, nelle ipotesi di segnalazione o denuncia effettuate nelle forme e nei limiti di cui all’art. 54 bis del d.lgs. 165 del 2001 e 6 del d.lgs. 231 del 2001, il «perseguimento dell’interesse all’integrità delle amministrazioni, pubbliche e private, nonché alla prevenzione e alla repressione delle malversazioni», costituisce giusta causa di rivelazione di notizie segretate. Si viene con ciò ad escludere - in tali casi - l’integrazione dei reati di cui agli artt. 326 c.p. (“Rivelazione ed utilizzazione di segreti d’ufficio”), 622 c.p. (“Rivelazione di segreto professionale”) e 623 c.p. (“Rivelazione di segreti scientifici e industriali”), nonché la violazione dell’obbligo di fedeltà di cui all’art. 2105 c.c.
Circa l’obbligo di riservatezza previsto per i lavoratori subordinati nelle imprese private, è pacifico come la disposizione di cui all’art. 2105 c.c., vietando al prestatore di lavoro di «trattare affari, per conto proprio o di terzi, in concorrenza con l’imprenditore», di «divulgare notizie attinenti l’organizzazione e i metodi di produzione dell’impresa» o di «farne uso in modo da poter recare ad essa pregiudizio», debba estendersi a tutte le notizie comunque apprese dal dipendente in azienda, «indipendentemente dal fatto che esse attengano all’organizzazione e ai metodi di produzione dell’impresa (…), ovvero che siano notizie comunque relative all’attività svolta» .
Già in epoca antecedente l’introduzione della legge n. 179 del 2017, la portata astrattamente rigorosa del predetto obbligo veniva attenuata alla luce della garanzia di cui all’art. 21 Cost., come recepita dall’art. 1 della legge n. 300 del 1970 (c.d. Statuto dei lavoratori), il quale sanciva la libertà del dipendente di manifestare il proprio pensiero nei luoghi in cui si svolgeva la sua prestazione. Sulla scorta di tale presupposto, la giurisprudenza si era espressa in più occasioni nel senso di ritenere legittime le denunce pubbliche effettuate dai lavoratori nell’ambito di un corretto esercizio del diritto di critica, ossia nel rispetto (a) della continenza sostanziale (intesa come non superamento della verità oggettiva), (b) della continenza formale (intesa come correttezza e civiltà del linguaggio utilizzato) e (c) della sussistenza di un interesse giuridicamente rilevante .
Successivamente all’entrata in vigore della legge n. 190 del 2012, la Suprema Corte aveva ritenuto persino di poter configurare in capo al lavoratore segnalante un vero e proprio diritto di denuncia, escludendo che l’obbligo di fedeltà di cui all’art. 2105 c.c. potesse essere esteso a tal punto da legittimare una sorta di “dovere di omertà” o, comunque, ostacolare la cooperazione del pubblico dipendente per l’emersione dei fatti illeciti perpetrati dalla pubblica amministrazione .
Nell’ambito del predetto contesto la nuova disposizione di cui all’art. 3 della legge n. 179 del 2017 fuga ogni dubbio circa la sussistenza di una giusta causa di rivelazione delle notizie coperte da segreto aziendale qualora le segnalazioni o denunce siano effettuate nelle forme e nei limiti stabiliti dai novellati artt. 54 bis d.lgs. 165 del 2001 e 6 del d.lgs. 231 del 2001, salvo che si tratti di soggetti che siano venuti a conoscenza della notizia «in ragione di un rapporto di consulenza professionale o di assistenza con l’ente, l’impresa o la persona fisica interessata» (art. 3, comma 2).
A ben vedere, dunque, anche per le ragioni che si sono precisate sopra, tale ipotesi di “non punibilità” non configura un diritto del lavoratore a rivolgersi de plano ai media e social-media per denunciare il comportamento scorretto perpretrato dall’amministrazione o dal soggetto privato, sussistendo una giusta causa di rivelazione solo qualora vengano rispettati i canali di segnalazione e i sistemi di compliance predisposti dal datore di lavoro.
Non può non sfuggire, in ogni caso, anche con riferimento a quest’ultima disposizione, il carattere settoriale e parziale dell’intervento normativo relativo al settore privato, atteso che l’art. 3, comma 1, della legge 179 del 2017 limita il suo campo di applicazione alle sole segnalazioni o denunce effettuate «nelle forme e nei limiti di cui […] all’art. 6 del decreto legislativo» n. 231 del 2001, e quindi, nuovamente, soltanto in relazione ai casi di adozione (volontaria) dei modelli organizzativi previsti da tale normativa.
6. Whistleblowing e privacy
Il decreto legislativo n. 101 del 10 agosto 2018 ha apportato una serie di rilevanti modifiche al decreto legislativo n. 196 del 2003, recante il c.d. Codice privacy. Questo decreto, atteso da tempo, trova il suo fondamento giuridico nell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), con cui il governo è stato delegato ad «adottare, entro sei mesi dalla data di entrata in vigore della presente legge, con le procedure di cui all’articolo 31 della legge 24 dicembre 2012, n. 234, acquisiti i pareri delle competenti Commissioni parlamentari e del Garante per la protezione dei dati personali, uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del regolamento (UE) 2016/679».
Le norme del Regolamento che prevedono spazi di intervento della legislazione nazionale sono numerose . Qui interessa l’art. 23 paragrafo 1 del Regolamento, che, con riferimento ai diritti dell’interessato o di accesso dell’interessato, prevede che «il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all’articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli 12 e 22, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare» una serie di interessi tra i quali rientrano la salvaguardia della sicurezza pubblica, ivi comprese la tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, della sicurezza nazionale, della difesa, della sicurezza pubblica, oppure a fini di prevenzione, indagine, accertamento e perseguimento di reati o per l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, o a un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, in materia monetaria, di bilancio e tributaria, di sanita ` pubblica e sicurezza sociale. Tali limitazioni, specie se imposte dal diritto dei singoli Stati membri, devono essere conformi alla Carta dei diritti fondamentali dell’Unione europea e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, così come espressamente previsto (ove mai ve ne fosse bisogno) dal considerando 73 del Regolamento.
L’art. 2, co. 1, lett. f), del d.lgs. n. 101 del 2018 ha introdotto nel Codice privacy il nuovo articolo 2-undecies, che prevede che i diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell’art. 77 del Regolamento, qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto, tra gli altri, «alla riservatezza dell’identità del dipendente che segnala ai sensi della legge 30 novembre 2017, n. 179, l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio».
Sul tema, in realtà, si era già pronunciato il Garante privacy italiano, con una segnalazione del 10 dicembre 2009 al Parlamento ed al Governo , nella quale veniva evidenziata la difficoltà di giustificare, volendo proteggere l’identità del segnalante, una compressione del diritto del soggetto segnalato-interessato ad avere accesso a tutte le informazioni sull’origine dei dati che lo riguardano, oltre al rischio di usi strumentali di eventuali segnalazioni anonime.
Parimenti, nel 2006, un parere del Gruppo europeo, istituito ai sensi dell’art. 29 della previgente direttiva europea in materia di privacy (la direttiva 95/46/CE, abrogata dal Regolamento del 2016), aveva ritenuto compatibile con i principi europei in materia di privacy una limitazione del diritto d’accesso del segnalato, ritenendo, anzi, che questi potesse ottenere informazioni sull’identità del segnalante solo in caso di segnalazioni in malafede .
Corre l’obbligo, ancora una volta, di sottolineare la deprecabile limitazione settoriale dell’impianto di garanzia, costruito tutto (per quanto concerne il settore privato) attorno ad una limitazione del campo di applicazione della disciplina all’ambito del ricorso volontario da parte delle imprese ai modello di organizzazione, senza offrire alcuna regolamentazione generale del fenomeno.
Questo approccio dovrà necessariamente essere ripensato quando si tratterà di recepire la direttiva europea sulla protezione delle persone che segnalano violazioni del diritto dell’Unione; beninteso, una volta che quest’ultima, approvata definitivamente e pubblicata, sarà divenuta applicabile.
