Approvato il 18 ottobre 2017 nella seduta pomeridiana del Senato, il Ddl n. 2230 recante “Disposizioni a tutela degli autori di segnalazioni di condotte illecite nel settore pubblico e privato” si presta a configurare nell’ordinamento italiano, in caso di successiva approvazione da parte della Camera, la fattispecie del c.d. “whistleblowing” anche con riferimento al settore privato. Già previsto dal 2012 per i dipendenti pubblici, lo strumento ha registrato, negli ultimi anni, un significativo incremento nel proprio utilizzo, tanto da giustificare un ampliamento del proprio ambito di applicazione. Nata all’interno dei Paesi di common law, in particolare negli Stati Uniti d’America, tale garanzia è atta a tutelare il c.d. “whistleblower”, ossia il lavoratore che provveda a denunciare illeciti o irregolarità di varia natura riscontrati nell’esecuzione del contratto di lavoro, da possibili misure discriminatorie o vessatorie dal proprio superiore gerarchico o direttamente dal datore di lavoro.
Il disegno di legge, in particolare, estende ora anche ai rapporti privatistici una protezione della sfera di riservatezza, nonché dell’identità dell’autore della segnalazione e mira ad offrire allo stesso l’assistenza legale necessaria durante il periodo intercorrente tra la comunicazione dell’irregolarità e l’accertamento del fatto. Al fine di dare sostegno a tale istituto, il disegno di legge prevede anche che l’attività di accertamento del fatto sia finanziata attraverso l’istituzione di un “Fondo per la tutela degli autori delle segnalazioni” presso l’ANAC e la possibilità di effettuare una segnalazione anonima, con la possibilità di utilizzare strumenti di crittografia a difesa dell’identità del segnalante (artt 4 e 6), e ciò indipendentemente dal fatto che il destinatario della segnalazione sia l’ANAC, la Corte dei Conti ovvero l’autorità giudiziaria. Peraltro, la principale forma di tutela prevista dal provvedimento legislativo in commento, consta nella preclusione per il datore di lavoro di procedere all’irrogazione di sanzioni, al licenziamento o all’adozione di misure discriminatorie come “reazione” alla segnalazione, intendendosi lo stesso obbligato, in caso contrario, alla riassunzione del dipendente e al risarcimento degli eventuali danni patiti (art. 11).Graverà, in questo senso, sul datore di lavoro l’onere di provare come le misure adottate nei riguardi del prestatore siano fondate su ragioni del tutto estranee alla denuncia dell’irregolarità.
Una simile novità legislativa si inserisce nel più ampio quadro degli istituti previsti dall’ordinamento italiano che garantiscono a vari livelli la riservatezza e la segretezza. In tale ambito normativo ha acquisito particolare rilievo il tema della tutela della privacy, con la conseguenza, più in generale, che il diritto alla riservatezza ha progressivamente acquisito, negli ultimi anni, particolare rilevanza anche nell’ambito del rapporto di lavoro. Il trattamento dei dati, che ai sensi dell’art. 4 del c.d. Codice della Privacy (D.lgs. n. 196 del 2003) può definirsi come qualunque operazione concernente l’attività di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione degli stessi, ben si presta alla configurazione di particolari forme di danno, dando luogo, tra le altre, a responsabilità civile. La tutela apprestata dall’ordinamento al danneggiato, a tal riguardo, appare decisamente pregnante, se si considera il richiamo, operato dall’art. 15 del decreto medesimo, all’art. 2050 del Codice civile riguardante i danni cagionati nell’esercizio di attività pericolose e, in forza del quale, si nota un deciso alleggerimento dell’onere probatorio ai fini del risarcimento.
L’elaborazione dottrinale ha fatto registrare accesi contrasti con riferimento all’opportunità e alla ratio del rinvio operato dall’art. 15, riguardo alla qualificazione di “attività pericolosa”. Secondo taluno, in particolare, il trattamento dei dati costituirebbe di per sé un’operazione connotata da pericolosità, in ragione della necessità di tutela della riservatezza, dell’identità personale e del diritto alla protezione dei dati personali. Altri commentatori hanno rilevato come nel richiamo all’art. 2050 c.c. sia configurabile esclusivamente un tentativo di offrire una maggiore garanzia al soggetto leso, semplicemente e solo attraverso l’inversione dell’onere probatorio.Al riguardo si osserva come la giurisprudenza, negli anni, sia giunta a definire “pericolosa” un’attività, allorquando in seguito alla stessa sia “probabile” (intendendosi la “probabilità” nell’accezione penalistica) una lesione di un diritto tutelato dall’ordinamento. In considerazione di tale principio giurisprudenziale parrebbe aver maggior fondamento la tesi di coloro che ritengono che il trattamento dei dati personali sia di per sé attività pericolosa, cui consegue, per la dottrina e la giurisprudenza maggioritarie una fattispecie di responsabilità oggettiva e/o per colpa presunta (responsabilità semioggettiva).
Nello specifico caso del rapporto di lavoro privato, la gestione dei dati personali da parte del datore deve essere effettuata con una diligenza rispettosa dei principi di liceità, trasparenza, pertinenza e finalità sanciti dall’art. 11 del D.lgs n. 196/2003 (c.d. Codice della privacy), con la precisazione che la diffusione (cioè la comunicazione a più persone) degli stessi da parte del datore di lavoro sarà considerata lecita solo se nel caso in cui esista un’esigenza legata all’esecuzione degli obblighi derivanti dal contratto di lavoro ovvero dalla legge (come chiarito dalle Linee Guida del Garante della Privacy del 23 novembre 2006), e solo qualora il datore di lavoro abbia adottato misure idonee, nel caso concreto (in ragione dell’attività svolta e della dimensione dell’impresa), a evitare il rischio di una lesione dei diritti del lavoratore. Il datore di lavoro è poi tenuto, sulla base delle stesse Linee Guida del Garante della Privacy, a consegnare al lavoratore una specifica informativa relativa alle modalità e alle finalità di utilizzo dei dati, nonché a consentire al medesimo di identificarei soggetti che all’interno dell’azienda “trattano” le informazioni in questione. Rispetto a quanto detto finora si evidenzia che il “trattamento” dei dati personali è illecito se i dati stessi sono rilevati per mezzo dell’utilizzo di apparecchiature idonee ad un controllo a distanza dell’operato del prestatore, in ossequio al limite ex art. 4 della L. 300/1970 (Statuto dei Lavoratori) come modificato dall’art. 23 del D.Lgs. 151/2015. A norma dello stesso Statuto, al datore è precluso di invadere la sfera privata del lavoratore disponendo unilateralmente visite personali di controllo (art. 6) e indagarne le opinioni personali se non attinenti al rapporto di lavoro (art. 8).
Non si rinvengono specifiche disposizioni, all’interno del Codice della Privacy, relative agli obblighi in capo al lavoratore nei riguardi del proprio titolare, eccezion fatta per il comma 2 dell’art. 115 ai sensi del quale, nel contesto del lavoro domestico, è prescritto un dovere di riservatezza del prestatore per ciò che attiene alla vita familiare e al contesto ove risulta inserito. Naturalmente, varranno nei confronti del lavoratore stesso tutte le regole aventi portata generale. D’altra parte, parrebbe potersi definire pacifica la facoltà del datore di lavoro di esercitare il proprio diritto alla riservatezza attraverso l’introduzione in azienda di barriere che rendano inaccessibili ai lavoratori talune aree dell’organizzazione produttiva o commerciale (la legittimità di tale condotta è stata affermata, a titolo meramente esemplificativo, dalla Cassazione, sentenza n. 4746/2002), con la conseguenza che nel caso di accesso da parte del prestatore, quest’ultimo sarebbe autore di una violazione delle norme a tutela della riservatezza del proprio datore di lavoro, con tute le relative conseguenze.
Si evidenza, altresì, che il diritto alla privacy e la relativa disciplina riguardante il regime di responsabilità, rappresenta una fattispecie distinta e differente rispetto al diritto al segreto, intendendosi quest’ultimo (il diritto al segreto) un vincolo di silenzio imposto ad un soggetto determinato al fine di arginare la circolazione di una certa notizia, accompagnato dalla sussistenza di un relativo interesse alla non conoscibilità. Se, per ciò che concerne la privacy, il diritto può definirsi assoluto, il diritto al segreto viene considerato avente carattere relativo, conseguendone, in caso di lesione, il sorgere di una forma di responsabilità a livello contrattuale. Questo è il caso, con riferimento al rapporto di lavoro, del segreto aziendale. Infatti, se a livello di qualificazione il diritto alla riservatezza e alla privacy consiste nella facoltà di impedire a terzi l’accesso a spazi privati e preesiste al contratto di lavoro stipulato con l’azienda, il segreto attiene specificatamente a tale contratto e in esso trova la propria ragione ed il proprio fondamento.
La norma di riferimento, per ciò che attiene agli oneri posti al riguardo in capo al dipendente, è l’art. 2105 c.c.. che, nel disciplinare l’obbligo di fedeltà gravante sul prestatore di lavoro nei riguardi dell’impresa in cui opera, configura un’ipotesi di divieto di concorrenza, divieto che implica la preclusione al lavoratore della possibilità di “divulgare notizie attinenti all’organizzazione e ai metodi di produzione dell’impresa o farne uso in modo da poter recare ad essa pregiudizio”. Si osserva in merito che la dottrina è concorde nell’interpretare la disposizione sopra citata restrittivamente: non sarebbe, in particolare, configurabile un obbligo di segreto da intendersi in senso generale, quanto più una mera protezione dell’avviamento dell’azienda verso la concorrenza. La dottrina prevalente ritiene cioè che la norma avrebbe inteso salvaguardare il datore di lavoro dal rischio di uno sfruttamento altrui dei propri meccanismi organizzativi e della propria inventiva, ma non anche tutelare un generico interesse a mantenere segrete rispetto ai terzi le varie vicende dell’impresa. Si tratta, nello specifico, di un obbligo accessorio rispetto alla prestazione lavorativa, ascrivibile alla categoria dei c.d. obblighi di protezione.
Si pongono, a tal riguardo, questioni interpretative rilevanti con riferimento all’individuazione delle specifiche tipologie di notizie coperte dalla garanzia exart. 2105. Appare indubbia una totale preclusione per il lavoratore alla divulgazione delle informazioni commerciali che, come regolato dall’art. 14, comma 1, D.Lgs. 19 marzo 1996, n. 198 (intervenuto a modificare il R.D. 29 giugno 1939, n. 1127, relativo alla proprietà industriale), siano segrete in quanto “non note o facilmente accessibili agli esperti e agli operatori di settore”, nonché coperte dall’adozione di misure di protezione e il cui valore economico dipenda proprio dal carattere della segretezza. Finiscono, in questo senso, per rientrare nell’ambito di operatività dell’obbligo le informazioni che, pur non attenendo specificatamente all’organizzazione e alla produzione, possano riportare un vantaggio alle imprese concorrenti, quali l’elenco dei clienti, il prezzo di un servizio nell’ambito di una gara d’appalto ovvero le caratteristiche di un determinato prodotto in fase di lancio. La giurisprudenza prevalente tende, in caso di violazione dovuta a tali condotte, a negare la necessità della sussistenza di un danno effettivo per l’imprenditore, ritenendo sufficiente un pregiudizio anche solo potenziale (si veda, in questo senso, Cassazione, sentenza n. 3528/1997). Allo stesso tempo non può considerarsi elemento necessario ai fini della configurazione di un comportamento illecito e/o illegittimo che l’acquisizione dei dati e/o delle notizie coperte dal vincolo della “segretezza” sia avvenuta durante lo svolgimento delle specifiche mansioni del lavoratore, venendo in rilievo esclusivamente il fatto che lo stesso ne sia venuto a conoscenza in ragione del proprio inserimento nel contesto aziendale. Il rischio, in termini sanzionatori, in capo al dipendente comprende la possibilità di un licenziamento per giusta causa, oltre all’obbligo risarcitorio, nonché conseguenze di natura penale in forza dell’art. 623 c.p..
Parrebbe, invero, potersi escludere l’applicazione del dovere di segretezza con riferimento alla circolazione di notizie sull’eventuale situazione di difficoltà economica nella quale il datore possa versare. E’ il caso, a titolo esemplificativo, della crisi aziendale, così come dell’assoggettamento a qualsivoglia procedura concorsuale. In questo senso, occorre precisare come nel caso in cui da una simile condotta derivi la lesione di un interesse rilevante ad altro titolo della sfera giuridica dell’imprenditore, è fatta salva l’esperibilità di un’azione extracontrattuale, sia nei confronti del lavoratore dipendente sia di eventuali terzi.
Quanto agli obblighi di segretezza posti in capo al datore di lavoro, si ritiene che anche allo stesso si applichi la generale fattispecie ex art. 622 c.p. che punisce chi “avendo notizia, per ragione del proprio stato o ufficio, o della propria professione o arte, di un segreto, lo rivela, senza giusta causa”. Si tratta del c.d. segreto professionale, che impone al datore di astenersi dal rivelare le eventuali notizie riservate del lavoratore che abbia appreso nel corso dell’ esecuzione del rapporto di lavoro.