Le nuove linee guida ANAC su whistleblowing: ok del Garante

Il Garante privacy esprime parere positivo sullo schema di Linee guida whistleblowing di Anac sulla presentazione e gestione delle segnalazioni esterne.

1. Ricezione della Direttiva

Con il D.Lgs. n. del  10 marzo 2023, n. 24 l’Italia ha recepito la Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione. ANAC ha rilasciato lo scorso 12 luglio le “Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne” di cui abbiamo parlato in questo articolo.
Il Garante privacy, ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento europeo 679/2016 (GDPR), si è pronunciato sulle menzionate Linee guida, esprimendo parere favorevole.

2. Le valutazioni del Garante privacy

L’acquisizione e gestione delle segnalazioni dà luogo a trattamenti di dati personali, anche appartenenti a particolari categorie di dati e relativi a condanne penali e reati, eventualmente contenuti nella segnalazione e in atti e documenti ad essa allegati, riferiti a interessati (persone fisiche identificate o identificabili) e, in particolare, i segnalanti o le persone indicate come possibili responsabili delle condotte illecite o quelle a vario titolo coinvolte nelle vicende segnalate (art. 4, par. 1, nn. 1) e 2), del Regolamento).
Il parere in argomento risulta particolarmente interessante in quanto, sebbene lo schema di Linee guida in questione abbia ad oggetto la presentazione e gestione delle segnalazioni inviate attraverso il c.d. canale esterno gestito da ANAC (art. 10 D.Lgs 24/2023), la stessa ha altresì ritenuto utile fornire taluni primi chiarimenti e principi di carattere generale che gli enti pubblici e privati, titolari del trattamento, potranno tenere in considerazione nell’ambito delle proprie scelte, sul piano organizzativo e tecnico, finalizzate all’istituzione e alla gestione dei propri canali di segnalazione interni, anche in coerenza con i principi di responsabilizzazione e di protezione dei dati fin dalla progettazione e per impostazione predefinita, nonché integrità e riservatezza dei dati (artt. 5, par. 1, lett. f), e par. 2 , 24, 25 e 32 del Regolamento; v. premessa allo schema di Linee guida).
Ha chiarito il Garante privacy che i trattamenti di dati personali posti in essere da ANAC, nell’ambito della gestione del canale di segnalazione esterno (non diversamente dai procedimenti amministrativi connessi alle competenze attribuitele dal Decreto) e quelli che, in tale ambito, sono posti in essere dalle autorità amministrative competenti alla luce dell’oggetto della segnalazione esterna nonché i trattamenti effettuati dai soggetti pubblici e privati obbligati a istituire canali di segnalazioni interni, sono necessari per dare attuazione agli obblighi di legge e ai compiti d’interesse pubblico previsti dalla disciplina di settore la cui osservanza è condizione di liceità del trattamento (artt. 6, par. 1, lett. c) ed e) e parr. 2 e 3, 9, par. 2, lett. b) e g), 10 e 88 del Regolamento, nonché 2-ter e 2-sexies del Codice).
Tutti i soggetti pubblici e privati sono tenuti a rispettare, in qualità di titolari del trattamento, non solo le richiamate diposizioni di settore che come detto costituiscono la base giuridica dei relativi trattamenti, ma anche i principi in materia di protezione dei dati (art. 5 del Regolamento) e, nell’ambito della necessaria individuazione delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi per gli interessati nel delicato contesto in esame, devono definire il proprio modello di gestione delle segnalazioni in conformità ai principi della “protezione dei dati fin dalla progettazione” e della “protezione per impostazione predefinita”(artt. 5, par. 1, e par. 2 , 24, 25 e 32 del Regolamento).
Il Garante invita i Titolari del trattamento a tenere conto anche delle osservazioni presentate al riguardo dal responsabile della protezione dei dati (RPD) ove presente.

Potrebbero interessarti anche:

• Novità Whistleblowing: cambiamenti modello organizzativo ai sensi del d.lgs. 231/2001
• Whistleblowing, approvato definitivamente il decreto
• PODCAST -Il Whistleblowing: fenomeno e disciplina

3. Aspetti sostanziali di tutela dei dati personali rinvenibili all’interno delle Linee guida

ANAC ha predisposto un canale per le segnalazioni esterne che garantisce, anche tramite il ricorso a strumenti di crittografia, la riservatezza dell’identità della persona segnalante, della persona coinvolta e della persona menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione (ferma restando la possibilità di presentare una segnalazione anche telefonicamente o nel corso di incontri in presenza con il personale autorizzato).
L’Autorità, al fine di assicurare che la specifica tutela della riservatezza dell’identità del segnalante e della segnalazione – allo scopo di prevenire misure discriminatorie e ritorsive nei confronti del segnalante e degli altri soggetti indicati dalla legge – avvenga nel pieno rispetto della normativa in materia di protezione dei dati personali, garantendo, in pari tempo, il necessario bilanciamento tra l’esigenza di riservatezza della segnalazione, la necessità di accertamento degli illeciti e il diritto di difesa e di contraddittorio del segnalato, considerati altresì i rischi per gli interessati nel delicato contesto lavorativo e professionale, ha fatto propria la necessità di individuare con precisione l’ambito oggettivo delle segnalazioni, includendo tra le possibili condotte segnalabili le sole informazioni sulle violazioni commesse o non ancora commesse ma che il segnalante ragionevolmente ritiene potrebbero essere commesse sulla base di elementi concreti; ciò in quanto l’estensione dell’ambito oggettivo dell’istituto anche a segnalazioni riferite a circostanze generiche o riconducibili ad una fase antecedente all’eventuale commissione di possibili illeciti, ovvero frutto di mere indiscrezioni o vociferazioni scarsamente attendibili, nonché a ipotesi di tentativo di reato, potrebbe dar luogo a trattamenti di dati personali non pienamente riconducibili all’ambito di trattamento previsto dalla disciplina di settore (parte prima, par. 2.1; v. anche provv. 4 dicembre 2019, n. 215, doc. web. n. 9215763).
Ha definito in maniera puntuale le ipotesi di esclusione dall’ambito di applicazione del D.Lgs. 24/2023, esplicitando, in particolare, che esulano dalle condotte segnalabili fatti oggetto di vertenze di lavoro, anche in fase precontenziosa, nonché discriminazioni tra colleghi, conflitti interpersonali tra la persona segnalante e un altro lavoratore o i superiori gerarchici, segnalazioni relative a trattamenti di dati effettuati nel contesto del rapporto individuale di lavoro in assenza di lesioni dell’interesse pubblico o dell’integrità dell’amministrazione pubblica o dell’ente privato (in riferimento alle ipotesi di cui art. 1, comma 2, lett. a), del Decreto); ciò anche al fine di evitare che possano aver luogo trattamenti di dati personali non riconducibili all’ambito di trattamento consentito dalla disciplina di settore, e tenuto conto che la tutela del soggetto segnalante, comportando anche deroghe e limitazioni all’esercizio di altri diritti previsti dall’ordinamento europeo e nazionale (segnatamente l’accesso ai documenti amministrativi, l’accesso civico e l’accesso ai dati personali, cfr. art. 12, comma 8, del Decreto, in riferimento agli artt. 22 e ss. della l. n. 241/1990 e all’art. 5 e ss. del d.lgs. 33/2013, nonché art. 13, comma 3, del Decreto, in riferimento agli artt. 15-22 del Regolamento e all’art. 2-undecies del Codice) deve essere assicurata nei soli casi previsti dalla disciplina di settore applicabile, che ne costituisce la base giuridica e presupposto di liceità (parte prima, par. 2.1.1).
Per quanto concerne il corretto adempimento degli obblighi derivanti dalla disciplina di settore in merito all’attivazione dei canali di segnalazione, è stato tenuto conto nella stipula delle Linee guida whistleblowing della:

• possibilità che, anche in caso di segnalazioni prive di dati anagrafici del segnalante, quest’ultimo possa essere, in talune circostanze, identificabile da elementi di contesto, con la conseguenza che tali segnalazioni non possono essere considerate anonime in senso tecnico e sprovviste delle garanzie previste dalla legge (parte prima, par. 2.2);
• necessità di invitare i segnalanti a utilizzare esclusivamente i canali appositamente istituiti per presentare segnalazioni, considerato che tali canali offrono maggiori garanzie in termini di sicurezza e riservatezza, sebbene anche nell’eventualità in cui una segnalazione sia inviata per errore mediante canali alternativi, debba comunque essere assicurata la riservatezza dell’identità del segnalante e la protezione dei dati di tutti gli interessati (parte prima, par. 3.2; parte seconda par. 1);
• necessità di chiarire che, nell’ambito delle valutazioni funzionali a garantire la scelta del segnalante in merito ai diversi canali di segnalazione (modalità informatiche o canali tradizionali), il ricorso alla posta elettronica ordinaria e certificata non è di per sé adeguato a garantire la riservatezza, e che, quando si utilizzino canali e tecniche tradizionali, occorre indicare gli strumenti previsti per garantire la riservatezza richiesta dalla normativa, assicurando la protocollazione riservata, ad esempio mediante il meccanismo delle due buste chiuse (v. parte prima, par. 3.2);
• la puntuale definizione di casi in cui il segnalato può – nel corso dei procedimenti eventualmente avviati nei suoi confronti a seguito della conclusione dell’attività di verifica e di analisi della segnalazione -, essere informato dell’esistenza di una segnalazione che lo riguarda; ciò in quanto nell’ambito dei procedimenti, anche disciplinari, conseguenti alla segnalazione, la contestazione potrebbe essere “fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa” (art. 12, comma 5, D.Lgs 24/2023), non essendo, pertanto, necessario che, fuori dei casi espressamente previsti dalla legge al predetto comma 5 (contestazione fondata in tutto o in parte sulla segnalazione; conoscenza dell’identità indispensabile per la difesa; consenso espresso del segnalante), il segnalato venga a conoscenza della circostanza che l’accertamento ha avuto origine da una segnalazione (parte prima, par. 4.1.2);
• l’opportunità di rammentare che, qualora enti di dimensioni minori condividano il canale di segnalazione interna e la relativa gestione, come previsto dall’art. 4, comma 4, del Decreto, gli stessi, in qualità di contitolari del trattamento, sono tenuti a stipulare un accordo interno ai sensi dell’art. 26 del Regolamento (parte prima, par. 3.2), e che, anche qualora gli stessi affidino ad uno stesso soggetto esterno la gestione delle segnalazioni, è necessario adottare misure tecniche e organizzative per garantire che ciascun ente abbia accesso solo alle segnalazioni di propria competenza (parte prima, par. 3.2);
• la necessità di considerare quali soggetti autorizzati al trattamento soltanto le persone che, in base alle scelte organizzative del titolare del trattamento, siano competenti a ricevere o a dare seguito alle segnalazioni e siano adeguatamente istruiti al riguardo (parte prima, par. 4.1.3);
• l’opportunità di chiarire che i titolari del trattamento devono rendere ex ante un’informativa sul trattamento dei dati personali ai possibili interessati (segnalanti, segnalati, persone interessate dalla segnalazione, facilitatori, ecc.) mediante la pubblicazione di documenti informativi (ad esempio tramite sito web o piattaforma informatica) o per mezzo di informative brevi in occasione dell’utilizzo degli altri canali previsti dal decreto, non dovendo, invece, fornire agli specifici interessati direttamente coinvolti menzionati da una segnalazione informative su base individuale (parte prima, par. 4.1.3); 
• l’opportunità di chiarire che, considerato che il trattamento dei dati personali mediante i sistemi di acquisizione gestione delle segnalazioni presenta rischi specifici per i diritti e le libertà degli interessati – in ragione anche della particolare delicatezza delle informazioni potenzialmente trattate, della vulnerabilità degli interessati nel contesto lavorativo, nonché dello specifico regime di riservatezza dell’identità del segnalante previsto dalla normativa di settore – e come espressamente previsto dal D.Lgs. 24/2023 (art. 13, co. 6), i titolari del trattamento devono definire “il proprio modello di ricevimento e gestione delle segnalazioni […] sulla base di una valutazione d’impatto sulla protezione dei dati” (parte prima, par. 4.1.3);
• l’arco temporale durante il quale occorre garantire la riservatezza del segnalante e degli altri interessati, con particolare riguardo alla circostanza che, stante l’obbligo di conservare la segnalazione non oltre cinque anni a decorrere dalla data dell’esito finale della procedura di segnalazione (art. 14, comma 1, del Decreto), la riservatezza dovrà essere sempre garantita durante tale periodo (fatte salve le ipotesi previste dall’art. 12, commi 3-5, del Decreto), e che, decorso tale periodo, dovendo la segnalazione essere cancellata, verrebbe comunque meno la possibilità di risalire all’identità del segnalante (parte prima, par. 4.1.3);
• l’opportunità di chiarire che, nell’ottica di privilegiare la volontà del segnalante, è sempre possibile per quest’ultimo ritirare la segnalazione mediante apposita comunicazione da trasmettere attraverso il canale originariamente prescelto per l’inoltro della stessa, specificando le conseguenze derivanti da tale scelta in merito alla prosecuzione o meno degli accertamenti eventualmente già avviati (parte seconda, par. 1);
• l’opportunità di chiarire, nel caso in cui sia palese l’assoluta irrilevanza rispetto alla vicenda segnalata di parti della segnalazione, che contengono dati personali, le modalità con le quali è possibile assicurare la cancellazione dei dati prevista dall’art. 13, comma 2, del Decreto (parte seconda, par. 4);
• la necessità di individuare le modalità con le quali fornire l’informativa sul trattamento dei dati personali ai segnalanti che decidano di utilizzare il servizio telefonico con operatore, predisposto da ANAC, per presentare una segnalazione esterna o in occasione di un incontro diretto con un operatore di ANAC (parte seconda, par. 4);
• l’opportunità di chiarire che, per le pubbliche amministrazioni, la trasmissione ad ANAC della segnalazione mediante la piattaforma da questa istituita per la ricezione e gestione delle segnalazioni esterne può avvenire ad opera del RPCT che può accedere utilizzando lo stesso account già accreditato presso ANAC, fatte salve le diverse scelte organizzative dell’amministrazione, che possono prevedere la possibilità di delegare l’inserimento della segnalazione sulla piattaforma di ANAC a un altro soggetto autorizzato all’interno dell’organizzazione del titolare (parte seconda, par. 4; v. anche allegato 3).

4. Profili relativi alla sicurezza del trattamento

Nell’ambito dell’acquisizione e gestione delle segnalazioni tramite piattaforme informatiche, ANAC ha posto in essere accorgimenti tesi a far sì che:

• siano adottate misure tecniche e organizzative tali da garantire un’adeguata sicurezza del trattamento dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali, fermo restando che tali misure devono, comunque, essere periodicamente riesaminate e aggiornate (parte prima, par. 4.1.3);
• nel contesto in esame, caratterizzato da elevati  rischi per i diritti e le libertà degli interessati, il ricorso a strumenti di crittografia nell’ambito dei canali interni e del canale esterno di segnalazione sia di regola da ritenersi una misura adeguata a dare attuazione, fin dalla progettazione e per impostazione predefinita, al principio di integrità e riservatezza, garantendo la tutela dei dati personali trattati nel processo di segnalazione, sia nella fase di trasmissione che di conservazione (parte prima, par. 4.1.3,  e parte seconda, par. 4);
• nel caso in cui l’accesso ai canali interni e esterni di segnalazione avvenga dalla rete dati interna del soggetto obbligato, sia garantita la non tracciabilità del segnalante nel momento in cui viene stabilita la connessione a tali canali, sia sulle piattaforme informatiche che negli apparati (es. firewall o proxy) eventualmente coinvolti nella trasmissione delle comunicazioni del segnalante (parte prima, par. 4.1.3);
• sia effettuato, ove possibile, il tracciamento delle operazioni svolte dal personale autorizzato alla gestione delle segnalazioni, nel rispetto delle garanzie a tutela del segnalante e degli altri soggetti menzionati, al fine di consentire la verifica della liceità e correttezza del trattamento e garantire la sicurezza del trattamento (parte prima, par. 4.1.3), nel rispetto delle garanzie previste dalla disciplina di settore in materia di controlli a distanza (art. 4 della l. n. 300/1970, nonché art. 114 del Codice; v. anche art. 88 del Regolamento);
• l’accesso alla piattaforma informatica di ANAC, da parte delle diverse tipologie di utenti autorizzati alla gestione delle segnalazioni esterne, al trasferimento di segnalazioni esterne presentate erroneamente ad un soggetto diverso dall’ANAC, o alla trasmissione delle segnalazioni esterne alle autorità competenti, avvenga attraverso una procedura di autenticazione informatica a più fattori (parte seconda, par. 4, e allegati 2 e 3).

5. Conclusioni

Le interlocuzioni intercorse tra Anac ed il Garante privacy hanno portato all’approvazione delle Linee guida in commento, che costituiscono utile strumento rivolto a tutti i titolari del trattamento anche  per trarre utili spunti per costruire (o modificare) i canali di ricevimento delle segnalazioni interne, la cui istituzione, come è noto, è obbligatoria far data dal 15 luglio u.s.
Principi cardine quelli di data protection by design e by default e l’invito al coinvolgimento del DPO, qualora nominato. Si attendono ora le Linee guida di Anac per le segnalazioni interne, che dovranno contenere anche indicazioni utili per le segnalazioni ricevute per telefono o mediante incontro con il personale autorizzato.

Vuoi restare aggiornato?

Con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!