La gestione delle segnalazioni nei gruppi multi-country

Scopri quali sono requisiti, obblighi e procedure per la gestione delle segnalazioni all’interno di gruppi di imprese multi-country.
Maria Hilda Schettino & Flavia Terenzi
  • Aggiornato al: 11/07/2024
  • 5 min
In sintesi

La Direttiva UE 2019/1937, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (“Direttiva Whistleblowing”), ha segnato un’evoluzione significativa nella protezione dei whistleblower europei. Introdotta allo scopo di uniformare e rafforzare le normative nazionali, la Direttiva Whistleblowing impone agli Stati membri l’obbligo di assicurare che le persone giuridiche private, con più di 50 lavoratori, istituiscano canali di segnalazione interni nonché procedure per darvi seguito. La logica di questa previsione è giustificata dall’esigenza di garantire un maggior livello di protezione ai whistleblower anche attraverso l’implementazione di canali di segnalazione che siano vicini e facilmente accessibili per i segnalanti. Al contempo, però, nel quadro dei requisiti da imporre alle imprese, la Direttiva prevede una certa flessibilità su alcuni aspetti.

Office people in front of the globe

In particolare, secondo l’articolo 8, comma 6, le imprese private che hanno da 50 a 249 lavoratori hanno la possibilità di condividere le risorse sia per il ricevimento delle segnalazioni che per le eventuali indagini da svolgere, senza tuttavia pregiudicare l’obbligo di mantenere la riservatezza sull’identità del segnalante, fornire un riscontro e investigare sulla violazione segnalata. In altre parole, il legislatore europeo, tenendo conto delle risorse limitate delle PMI, vorrebbe offrire loro un’opzione operativa per semplificare gli adempimenti richiesti e consentire anche un contenimento dei costi. 

Negli ultimi mesi, tale norma ha alimentato un dibattito tra gli operatori in merito ai suoi eventuali effetti sulla realtà dei gruppi d’imprese, derivante dal fatto che la Direttiva contempla espressamente la facoltà di condividere le risorse solo per le PMI, senza aggiungere nulla per le imprese di dimensioni superiori. La questione che ha suscitato particolare interesse è, dunque, se e in quale misura le società di un gruppo possano condividere canali di segnalazione e capacità investigative. Questione rilevante soprattutto nei gruppi multi-country i quali, trovandosi ad operare in diversi paesi, devono far fronte a normative interne che, sul punto, potrebbero recepire in modo differente la Direttiva.

La gestione delle segnalazioni nei gruppi multi-country negli altri Stati membri

Il problema risulta decisamente attuale analizzando i testi normativi degli 8 Stati membri (Cipro, Danimarca, Francia, Lettonia, Lituania, Malta, Portogallo e Svezia) che, finora, hanno adottato la legge di recepimento della Direttiva Whistleblowing. Rispetto al tema della gestione delle segnalazioni nei gruppi di imprese, infatti, quasi tutte le leggi nazionali sono risultate in linea con quanto previsto dalla Direttiva, limitandosi a concedere solo alle PMI la possibilità di condividere risorse per la ricezione delle segnalazioni e il loro seguito.

Ci sono però due “voci fuori dal coro”, rappresentate dalla Danimarca e dalla Francia.

Il legislatore danese, in un primo momento, si era limitato a recepire alla lettera quanto previsto dalla Direttiva Whistleblowing. Tuttavia, a seguito delle obiezioni sollevate da gruppi di interesse danesi e da grandi imprese in merito agli oneri amministrativi e ai costi associati a questa disposizione, nonché alle preoccupazioni sulla riduzione della protezione dei segnalanti che poteva derivarne, il legislatore danese ha concesso la possibilità di istituire dei canali comuni di gruppo a prescindere dalle dimensioni delle società allo stesso appartenenti. In questi casi, secondo la legge danese, la società madre agirebbe come unità di whistleblowing anche per le società figlie, elaborando le segnalazioni, contattando il segnalante, dando seguito alla segnalazione e svolgendo le indagini necessarie.

Anche il legislatore francese sembrerebbe aver deciso di estendere la possibilità di istituire procedure comuni per la raccolta e il trattamento delle segnalazioni ai gruppi di imprese, a prescindere dal limite dimensionale delle società che ne fanno parte. 

L’approccio adottato dalla legge danese e da quella francese sembrerebbe riflettere una certa realtà pratica di gestione dei sistemi interni di segnalazione, nella misura in cui l’esperienza tende a dimostrare che le grandi imprese preferiscono centralizzare i loro canali di segnalazione interna ottimizzando al contempo le risorse disponibili. 

Il parere della Commissione Europea sull’approccio alla questione

Restano però dei dubbi sulla coerenza di tale impostazione con il dettato della Direttiva, dubbi che hanno portato alcune grandi imprese danesi ad interrogare sul punto la Commissione europea che, con due lettere di giugno 2021, ha cercato di fornire una guida sull’interpretazione dell’art. 8, comma 6, della Direttiva.

La Commissione ha favorito un approccio “decentrato”, richiedendo che ogni impresa con più di 50 lavoratori – anche se appartenente ad un gruppo – abbia un proprio canale di segnalazione interno locale al quale può essere aggiunto un canale centralizzato gestito dalla capogruppo, dando la possibilità al segnalante di scegliere in modo consapevole a chi presentare la propria segnalazione.

La Commissione ha, poi, precisato che, ai sensi dell’articolo 8, comma 6, quando in un determinato gruppo societario i programmi di compliance siano organizzati dalla sede centrale, potrebbe essere compatibile con la Direttiva che una società figlia benefici della capacità investigativa della sua società madre a condizione che:

  • La società controllata sia di medie dimensioni (e quindi abbia da 50 a 249 lavoratori);
  • I canali di segnalazione esistano e rimangano disponibili a livello della controllata;
  • La controllata resti responsabile di dare un riscontro al segnalante;
  • E, infine, ai segnalanti siano fornite informazioni chiare sul fatto che le indagini sulla loro segnalazione potrebbero essere gestite dalla persona o dal dipartimento incaricato dalla capogruppo, facendo salvo il diritto del segnalante di opporsi a ciò e di chiedere che il comportamento segnalato sia oggetto di indagine solo a livello della controllata.

Di conseguenza, i grandi gruppi di imprese, specialmente se multinazionali, dovranno ripensare alle loro attuali politiche in materia di segnalazione e valutare come creare un sistema in cui i whistleblower si sentano a proprio agio nel condividere la loro segnalazione con la società madre.

Interazioni con la data protection con particolare riguardo ai gruppi multi-country

La Direttiva Whistleblowing presenta forti interazioni con i temi della protezione dei dati personali. Infatti, diversi sono i riferimenti espliciti al considerando 67, agli artt. 9, 11, 13, 16 e 17 – e anche impliciti – alla normativa sulla protezione dei dati personali. In particolare, l’art. 17 prevede un esplicito rimando alla disciplina del Reg. (UE) 2016/679 (“GDPR”): “ogni trattamento di dati personali, compresi lo scambio e la trasmissione di dati personali da parte delle autorità competenti, deve essere effettuato a norma del GDPR. Inoltre, i dati personali «manifestamente non utili» al trattamento di una specifica segnalazione, non devono essere raccolti o, se raccolti accidentalmente, devono essere cancellati senza indugio”.

Infatti, il processo whistleblowing consiste in un trattamento di dati personali e come tale richiede il rispetto di alcune previsioni specifiche ai sensi del GDPR. 

Con particolare riferimento al processo whistleblowing nell’ambito di un gruppo multi-country occorre aver riguardo al ruolo privacy delle parti coinvolte nel processo. In linea di principio, avuto riguardo alle categorie di segnalanti menzionate dall’art. 4 della Direttiva Whistleblowing (es. dipendenti, lavoratori autonomi o cessati, candidati) si potrebbe ragionevolmente supporre che il titolare sia la società con cui tali categorie di soggetti hanno in essere i rapporti di lavoro o di altra natura.

Eventuali altre società del gruppo che intervengono nella ricezione e gestione delle segnalazioni whistleblowing potrebbero – a seconda delle attività in concreto svolte e della capacità di determinare, singolarmente o congiuntamente, finalità e dei mezzi del trattamento – ricoprire un diverso ruolo privacy di:

  • Titolari autonomi del trattamento;
  • Contitolari del trattamento;
  • Responsabili del trattamento.

Nel caso di una titolarità autonoma della società del gruppo coinvolta occorrerà circoscrivere precisamente le finalità e i mezzi del trattamento della stessa (es. per il sistema IT di segnalazione whistleblowing) e predisporre una serie di adempimenti lato protezione dei dati personali, quali un accordo di scambio dati e, in caso di trasferimenti extra UE, individuare la corretta condizione di liceità per il trasferimento ai sensi degli artt. 44 e ss. GDPR.

Con riferimento alla contitolarità del trattamento, le società potrebbero essere contitolari solo per la fase ad esempio di invio, ricezione e inoltro della segnalazione. In questo caso le società devono decidere congiuntamente mezzi e finalità del trattamento e può esserci una condivisione di dati e di misure di sicurezza seppur – anche nel caso di una contitolarità del trattamento – devono essere garantiti i principi di sicurezza quali la limitazione degli accessi, segregation of duty e il need-to-know per cui ogni titolare dovrebbe avere visibilità dei soli dati necessari ai fini dei trattamenti di cui è titolare. In tal caso, è necessaria la sottoscrizione di un accordo di contitolarità ai sensi dell’art. 26 GDPR e approfondire il tema dei trasferimenti extra UE.

Infine, la società del gruppo coinvolta potrebbe agire per conto dell’altra quale responsabile del trattamento per una fase specifica del trattamento (es. ricezione e inoltro della segnalazione, supporto IT, gestione della segnalazione). In tal caso, occorre regolamentare i rapporti attraverso un accordo infragruppo e provvedere alla nomina a responsabile del trattamento.

Occorre – non da ultimi – analizzare e regolare in maniera opportuna la presenza di eventuali ulteriori soggetti esterni che possono intervenire nel trattamento e potrebbero venire a contatto con i dati (es. fornitori di servizi informatici) e che potrebbero qualificarsi diversamente come responsabili o sub-responsabili del trattamento a seconda dei ruoli privacy stabiliti tra le parti originarie.

In presenza di un gruppo multi-country con sedi al di fuori dell’Unione Europea, occorrerà analizzare il Paese Terzo di destinazione (“importatore”) e la relativa normativa locale, le caratteristiche del trattamento oggetto del trasferimento per individuare la condizione di liceità più corretta in assenza di una decisione di adeguatezza ai sensi dell’art. 45 GDPR, avuto riguardo a quanto statuito con la sentenza Schrems II della Corte di Giustizia dell’Unione Europea del 16.7.2020 e delle Linee Guida dell’EDPB 1/2021.

Infatti, tale sentenza ha sancito l’invalidità del Privacy Shield per i trasferimenti verso gli USA e ha sancito che per i Paesi Terzi, non coperti da decisione di adeguatezza della Commissione Europea ai sensi dell’art. 45 GDPR, le misure a garanzia dei trasferimenti ai sensi dell’art. 46 GDPR, quali ad esempio le clausole contrattuali tipo (“Standard Contractual Clauses – SCC”), o le norme vincolanti per l’impresa (“Binding Corporate Rules – BCR”) sono valide quali condizioni per il trasferimento solo se adeguate e se il Paese Terzo verso cui si intende trasferire i dati personali è in grado di garantire lo stesso quadro di protezione dei dati personali assicurato dal GDPR. Per accertare il livello di adeguatezza è necessario condurre una valutazione preliminare sul soggetto importatore e i trasferimenti sotto forma di check-list e procedere poi alla sottoscrizione dell’accordo tra le parti più appropriato a seconda dei loro ruoli privacy di titolari autonomi del trattamento, piuttosto che di titolare e responsabile del trattamento. Ove applicabili le SCC, quale misura a garanzia dei trasferimenti extra UE, occorrerà far riferimento alle nuove SCC adottate dalla Commissione Europea il 4 giugno 2021 – per i nuovi contratti stipulati a partire dal 27 settembre 2021 – declinandole nel modulo appropriato a seconda dei ruoli privacy delle parti.

Che caratteristiche dovrebbero avere i canali di segnalazione nei gruppi multi-country?

In attesa che la Direttiva Whistleblowing sia recepita in tutti gli Stati membri e che i dubbi ancora aperti siano risolti, è comunque necessario che i gruppi di imprese si preparino per strutturare o aggiornarne il proprio sistema di whistleblowing.

A tal fine, sarà sicuramente necessario:

  • Condurre un’indagine preliminare sulle normative locali in cui la capogruppo ha le proprie subsidiary, in modo da verificare eventuali differenze tra le normative di recepimento, e riorganizzare in modo uniforme i canali di segnalazione garantendo il maggior standard di tutela dedicato ai segnalanti;
  • Istituire dei canali di segnalazione che siano di facile accesso per i segnalanti e in una lingua da loro compresa;
  • Creare una whistleblowing policy che illustri in modo dettagliato il processo di gestione della segnalazione ed individui i soggetti incaricati delle indagini;
  • Comunicare la policy a tutti i soggetti interessati;
  • Formare i lavoratori sul corretto utilizzo del sistema di whistleblowing e delle sanzioni in caso di violazioni;
  • Garantire una trattazione riservata delle segnalazioni;
  • Conservare in modo adeguato la documentazione inerente la segnalazione;
  • Allineare il sistema di whistleblowing alla normativa in materia di privacy, data protection e cybersecurity.

Un utile strumento per riorganizzare una piattaforma di whistleblowing di gruppo può essere l’utilizzo di tool come le piattaforme digitali, purché consentano la segregazione dei canali utilizzati dalle diverse società del gruppo.

Quali sono gli adempimenti in materia di protezione dei dati personali necessari?

Il processo di gestione delle segnalazioni whistleblowing implica il trattamento di dati personali e, pertanto, gli adempimenti da porre in essere sono diversi, quali:

  • Il rispetto del principio di “Privacy by design & by default” ai sensi dell’art. 25 GDPR: il trattamento deve essere previsto sin dall’inizio, per impostazione predefinita, nel rispetto dei principi generali di cui all’art. 5 del GDPR;
  • Valutazione di impatto (DPIA): in ragione della particolare delicatezza delle informazioni trattate, nonché degli elevati rischi, in termini di possibili effetti ritorsivi e discriminatori, anche indiretti, per il segnalante, il trattamento può presentare rischi specifici per i diritti e le libertà degli interessati considerata anche la “vulnerabilità” degli interessati nel contesto lavorativo;
  • Misure di sicurezza adeguate quali ad esempio un protocollo di rete sicura (quale il protocollo https), strumenti di crittografia end-to-end e di cifratura per la conservazione dei dati, meccanismi di strong authentication, l’accesso selettivo ai dati da parte dei soggetti autorizzati al trattamento;
  • Misure organizzative adeguate quali ad esempio – se del caso – la nomina di un provider esperto fornitore di servizi whistleblowing erogati mediante apposita piattaforma a responsabile del trattamento ai sensi dell’art. 28 del GDPR previa verifica dell’adeguatezza del fornitore mediante apposita check-list, l’eventuale nomina di sub-responsabili del trattamento, le nomine ad autorizzato al trattamento, l’informativa sul trattamento dei dati personali, l’aggiornamento del registro dei trattamenti.
La visione di questo video può comportare la memorizzazione di cookie da parte del fornitore della piattaforma video a cui sarete indirizzati. In virtù del rifiuto alla memorizzazione dei cookie che ci avete espresso precedentemente, per rispettare la vostra scelta, abbiamo bloccato la riproduzione di questo video. Se desidera continuare e riprodurre il video, Le chiediamo gentilmente di darci il consenso cliccando sul pulsante sottostante.
Accetto - Vai al video

Articolo realizzato in collaborazione con il nostro Partner – Rödl & Partner Italia

Guida all’implementazione di un sistema di whistleblowing

Come implementare un efficace sistema di whistleblowing nella tua azienda.

Scaricare

Condividi questo articolo con:

Logo Rödl & Partner
Maria Hilda Schettino & Flavia Terenzi
Avvocati | Rödl & Partner Italia
Maria Hilda Schettino è avvocato penalista presso lo studio legale Rödl & Partner Italia. Specializzata in diritto penale di impresa e responsabilità da reato degli enti, si occupa di consulenza alle imprese nell’implementazione dei modelli 231 nonché della gestione delle attività dell’organismo di vigilanza. L’avv. Schettino è docente presso l’Università degli Studi di Roma “Tor Vergata” nel Master Anticorruzione e nell’Executive Master on CSR Management di Blue Academy – Forbes. Flavia Terenzi è avvocato, specializzato in diritto della protezione dei dati personali e nella compliance normativa, e senior associate del dipartimento di protezione dei dati personali, della proprietà intellettuale & cybersecurity di Rödl & Partner. Si occupa principalmente di consulenza alle imprese e di assistenza ad incarichi di DPO, oltre ad aver ricoperto lei stessa incarichi di DPO. L’avv. Terenzi è autrice di articoli in questi campi e docente in alcuni corsi di specializzazione e convegni.
Icon-linkedin Icon-xing Facebook Icon-iconmonstr-instagram-11 Icon-youtube

Contattaci

EQS Group S.r.l.
Bastioni di Porta Nuova 21
20121 Milano

integrityline-badge_pentest_confirmation
integrity-line-icon-iso
WACA-Logo.png
integrity-line-csa-star-logo
integrity-line-g2-medal
Gestire le preferenze sui cookie