Riceviamo numerose richieste di informazioni per sapere se le denunce anonime presentate da terzi possono essere ricevute e trattate attraverso il Whistleblower Channel o canale interno di denunce (sia nell’area della Compliance Penale o della Prevenzione del Riciclaggio di Denaro).
Il Regio Decreto Legge 11/2018, del 31 agosto, ha modificato la Legge 10/2010, del 28 aprile, sulla Prevenzione del Riciclaggio di Denaro e del Finanziamento del Terrorismo (PBCyFT), introducendo l’attuale articolo 26 bis che disciplina le procedure interne per la segnalazione di potenziali violazioni (canali interni di denunce).
Il suddetto articolo stabilisce che gli indivdui obbligati devono adottare «(…..) procedure interne affinché i loro dipendenti, dirigenti o agenti possano comunicare, anche in forma anonima, le informazioni rilevanti su possibili violazioni della presente legge, dei suoi regolamenti di attuazione o delle politiche e procedure attuate per conformarvisi, commesse all’interno dell’ente regolamentato«.
Questa possibilità di anonimato si scontrava frontalmente con il secondo punto dell’articolo 26 bis, in cui si stabilisce che «a tali sistemi e procedure si applicano le disposizioni della normativa sulla protezione dei dati personali per i sistemi informativi interni di denunce«, poiché la precedente legge organica 15/1999, del 13 dicembre, sulla protezione dei dati personali, non prevedeva l’anonimato nelle comunicazioni.
Per questo motivo, l’Agenzia spagnola per la protezione dei dati (AEPD), attraverso la sua relazione legale 128/2007, ha concluso che il ricevimento di denunce anonime dovrebbe essere limitato e che il denunciante dovrebbe essere identificato in ogni momento, pur garantendo la riservatezza delle denunce ricevute. Pertanto, non esisteva l’obbligo esplicito di indagare su denunce anonime, che potevano essere respinte per mancanza di garanzie.
Tuttavia, la nuova Legge Organica 3/2018, del 5 dicembre, sulla protezione dei dati personali e sulla garanzia dei diritti digitali, stabilisce all’articolo 24.1 che «è lecito creare e mantenere sistemi di informazione attraverso i quali un soggetto di diritto privato può essere informato, anche in forma anonima, della commissione all’interno dello stesso o in azioni di terzi che contrattano con esso, di atti o comportamenti che possono essere contrari alla normativa generale o settoriale ad esso applicabile«.
Si realizza un cambiamento di criterio rispetto alla legislazione precedente, in quanto l’anonimato è consentito e, quindi, l’obbligo esplicito di indagare.
Si deve pertanto concludere che, in conformità con i regolamenti su PBCyFT e l’attuale legge sulla protezione dei dati personali, i canali interni di denunce possono ricevere reclami anonimi e che questi possono e devono essere trattati solo dall’organismo interno di controllo e conformità (PBCyFT) e dai comitati di supervisione e conformità (Criminal Compliance), in conformità con l’articolo 24.2 della Legge Organica 3/2018 del 5 dicembre.