Lo scorso 12 luglio l’Anac ha rilasciato, dopo averle messe in consultazione, le ‘Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne[1]’ di recepimento del decreto legislativo 10 marzo 2023, n. 24 che a sua volta recepisce in Italia la Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione.
Indice
- 1. La prevenzione
- 2. Modalità di presentazione delle segnalazioni attraverso canali interni. Il Regolamento interno per il ricevimento delle segnalazioni e per la loro gestione
- 3. Segnalazione in forma scritta o orale
- 4. Soggetti cui va affidata la gestione delle segnalazioni e conseguenti ruoli privacy
- 5. Art. 4, co. 4, d.lgs. 24/2023. Gestione condivisa delle segnalazioni
- 6. Principi fondamentali da rispettare per il trattamento dei dati personali
- 7. L’informativa sul trattamento dei dati ai sensi dell’art. 13 GDPR
- 8. La Valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR
- 9. Sanzioni
- Vuoi restare aggiornato?
1. La prevenzione
Sin da una prima lettura delle Linee guida in argomento e dei documenti allegati, emerge l’intenzione del legislatore di incoraggiare le persone segnalanti a rivolgersi, innanzitutto, all’ente a cui sono “collegati”.
Ciò in quanto una più efficace prevenzione e accertamento delle violazioni passa attraverso l’acquisizione di informazioni pertinenti da parte dei soggetti più vicini all’origine delle violazioni stesse. Tale principio, inoltre, è volto, da un lato, “a favorire una cultura della buona comunicazione e della responsabilità sociale d’impresa all’interno delle organizzazioni”, dall’altro, a fare in modo che i segnalanti, facendo emergere atti, omissioni o condotte illecite, contribuiscano significativamente al miglioramento della propria organizzazione.
Di seguito, si illustrano brevemente alcuni profili relativi ai canali interni, segnalando che la trattazione più approfondita sarà oggetto di successive Linee guida.
2. Modalità di presentazione delle segnalazioni attraverso canali interni. Il Regolamento interno per il ricevimento delle segnalazioni e per la loro gestione
Per quanto concerne l’Istituzione dei canali di segnalazione, i soggetti del settore pubblico e del settore privato, sentite le rappresentanze o le organizzazioni sindacali, per acquisire eventuali osservazioni, definiscono in un apposito atto organizzativo (regolamento)[2] le procedure per il ricevimento delle segnalazioni e per la loro gestione, al fine di attivare al proprio interno appositi canali di segnalazione. Nell’atto organizzativo, adottato dall’organo di indirizzo, è opportuno che almeno vengano definiti:
– il ruolo e i compiti dei soggetti che gestiscono le segnalazioni;
– le modalità e i termini di conservazione dei dati, appropriati e proporzionati in relazione alla procedura di whistleblowing e alle disposizioni di legge.
Laddove gli enti privati adottino i modelli di organizzazione e gestione ai sensi del d.lgs. n. 231/2001, i canali interni di segnalazione vanno previsti all’interno di tali modelli o nell’atto organizzativo cui il MOG 231 espressamente rinvia.
I canali di segnalazione interna devono garantire la riservatezza, anche tramite il ricorso a strumenti di crittografia, ove siano utilizzati strumenti informatici della persona segnalante e di tutti i soggetti potenzialmente coinvolti in questa fase ossia: il facilitatore; la persona coinvolta o i soggetti menzionati nella segnalazione; il contenuto della segnalazione e della relativa documentazione.
3. Segnalazione in forma scritta o orale
Al fine di agevolare il segnalante, a quest’ultimo va garantita la scelta fra diverse modalità di segnalazione: in forma scritta, anche con modalità informatiche (piattaforma online). La posta elettronica ordinaria e la PEC si ritiene siano strumenti non adeguati a garantire la riservatezza. Qualora si utilizzino canali e tecniche tradizionali, da disciplinare nell’atto organizzativo, è opportuno indicare gli strumenti previsti per garantire la riservatezza richiesta dalla normativa. Ad esempio, a tal fine ed in vista della protocollazione riservata della segnalazione a cura del gestore, è necessario che la segnalazione venga inserita in due buste chiuse: la prima con i dati identificativi del segnalante unitamente alla fotocopia del documento di riconoscimento; la seconda con la segnalazione, in modo da separare i dati identificativi del segnalante dalla segnalazione. Entrambe dovranno poi essere inserite in una terza busta chiusa che rechi all’esterno la dicitura “riservata” al gestore della segnalazione (ad es. “riservata al RPCT”). La segnalazione è poi oggetto di protocollazione riservata, anche mediante autonomo registro, da parte del gestore.
La segnalazione può essere perfezionata, a scelta, anche in forma orale attraverso linee telefoniche, con sistemi di messaggistica vocale, ovvero, su richiesta della persona segnalante, mediante un incontro diretto fissato entro un termine ragionevole.
4. Soggetti cui va affidata la gestione delle segnalazioni e conseguenti ruoli privacy
La gestione dei canali di segnalazione può essere affidata o ad una persona interna all’amministrazione/ente; o ad un ufficio dell’amministrazione/ente con personale dedicato, anche se non in via esclusiva; o ad un soggetto esterno.
Precisa l’ANAC che nei soggetti del settore pubblico tenuti a nominare un Responsabile della prevenzione della corruzione e della trasparenza (RPCT), la gestione del canale interno è affidata a quest’ultimo.
Chi gestisce le segnalazioni è necessario possieda il requisito dell’autonomia, che, ad avviso di ANAC, va declinato come imparzialità e indipendenza. Pertanto le amministrazioni/enti del settore pubblico e privato nell’affidare tale incarico devono valutare se il soggetto abbia le caratteristiche indispensabili per svolgere l’attività richiesta.
Per quanto riguarda i ruoli privacy, Titolare del trattamento (art. 4 n. 7 Regolamento europeo 679/2016 “gdpr”) è il soggetto pubblico e privato che istituisce il canale interno. Nel caso in cui ai sensi dell’art. 4, co. 4, d.lgs. 24/2023 vi siano più Enti pubblici e privati che condividono il canale interno questi ultimi saranno Contitolari del trattamento dei dati ai sensi dell’art. 26 gdpr.
Nel caso in cui i soggetti deputati alla gestione delle segnalazioni siano interni all’organizzazione, vanno individuate persone espressamente autorizzate e previamente istruite dai titolari del trattamento (ai sensi degli artt. 29 e 32, par. 4 gdpr). Costoro si trovano ad operare sotto la direzione del titolare del trattamento eseguendo i compiti loro affidati. Non godono pertanto di apprezzabili margini di autonomia operativa nell’ambito dei trattamenti di dati personali che sono chiamati a svolgere. Resta fermo che le persone autorizzate sono comunque tenute a rispettare i principi fondamentali in materia di tutela dei dati personali.
Occorre avere riguardo all’assetto organizzativo interno di ogni ente in modo da prevedere che le autorizzazioni al trattamento dei dati siano tali da ricomprendere tutte le persone che sono coinvolte nella gestione delle segnalazioni (si pensi al caso in cui erroneamente la segnalazione invece di pervenire attraverso il canale interno pervenga tramite protocollo). Tali soggetti devono inoltre ricevere un’adeguata e specifica formazione professionale volta ad accrescerne le competenze specialistiche anche in materia di normativa sulla protezione dei dati personali, sicurezza dei dati e delle informazioni, nonché in tema di addestramento relativamente alle procedure predisposte.
Nel caso di soggetti esterni, questi devono essere nominati responsabili del trattamento, in base ad un contratto o altro atto giuridico stipulato con l’amministrazione/ente ai sensi dell’art. 28 gdpr.
Devono, come di regola, presentare garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che garantiscano il rispetto della riservatezza, protezione dei dati e segretezza.
Potrebbero interessarti anche:
5. Art. 4, co. 4, d.lgs. 24/2023. Gestione condivisa delle segnalazioni
Al fine di ottimizzare e specializzare il lavoro sulle segnalazioni e anche in una logica di semplificazione degli adempimenti e di contenimento dei costi, il decreto consente ad enti di minori dimensioni di “condividere” il canale di segnalazione interna e la relativa gestione (ad esempio potrebbero essere stipulati accordi/convenzioni per la gestione in forma associata delle segnalazioni whistleblowing). Ciò, naturalmente, senza pregiudicare l’obbligo di garantire la riservatezza, di fornire un riscontro e di gestire la violazione segnalata.
La condivisione del canale è prevista, in particolare, per i Comuni diversi dai capoluoghi di provincia e per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratto di lavoro a tempo determinato o indeterminato, non superiore a duecentoquarantanove.
Ad avviso di ANAC, in una logica di semplificazione degli oneri e considerato che il whistleblowing rientra fra le misure di prevenzione della corruzione, si può ritenere che anche le pubbliche amministrazioni e gli enti pubblici di piccole dimensioni possano scegliere di condividere il canale interno di segnalazione e la relativa gestione. Per l’individuazione di tali enti appare ragionevole far riferimento alla soglia dimensionale di meno di cinquanta dipendenti indicata dal legislatore per l’adozione del Piano Integrato di Attività e Organizzazione (PIAO) semplificato.
Nell’ipotesi in cui gli enti (nella loro qualità di contitolari del trattamento) affidino ad uno stesso soggetto (esterno) la gestione delle segnalazioni, è necessario garantire che ciascun ente acceda esclusivamente alle segnalazioni di propria spettanza tenuto anche conto della attribuzione della relativa responsabilità. Pertanto, dovranno essere adottate misure tecniche e organizzative per garantire che ciascun ente abbia accesso solo alle segnalazioni di propria competenza, come di dirà appresso.
6. Principi fondamentali da rispettare per il trattamento dei dati personali
L’intera costruzione dei flussi di dati per il ricevimento e la gestione delle segnalazioni deve essere pianificato, sulla base dei principi di privacy by design e by default[3] osservando i seguenti principi:
- «liceità, correttezza e trasparenza». Occorrerà trattare i dati in modo lecito, corretto e trasparente nei confronti dei soggetti interessati;
- «limitazione della finalità». Il Titolare dovrà raccogliere i dati solo al fine di gestire e dare seguito alle segnalazioni, divulgazioni pubbliche o denunce effettuate da parte dei soggetti tutelati dal d.lgs. 24/2023;
- «minimizzazione dei dati». È necessario garantire che i dati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. A tal riguardo, il decreto precisa, infatti, che i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati senza indugio;
- «esattezza». Occorre assicurare che i dati siano esatti e, se necessario, aggiornati. Devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti relativi alla specifica segnalazione, divulgazione pubblica o denuncia che viene gestita;
- «limitazione della conservazione». I dati devono essere conservati in una forma che consenta l’identificazione degli interessati per il tempo necessario al trattamento della specifica segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione. Per ANAC, tale termine decorre dalla chiusura del fascicolo sulla segnalazione da parte dell’Ufficio per la vigilanza sulle segnalazioni dei whistleblowers;
- «integrità, disponibilità e riservatezza». Il Titolare dovrà effettuare il trattamento in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. Nel contesto in esame, caratterizzato da elevati rischi per i diritti e le libertà degli interessati, il ricorso a strumenti di crittografia nell’ambito dei canali interni e del canale esterno di segnalazione, è di regola da ritenersi una misura adeguata a dare attuazione, fin dalla progettazione e per impostazione predefinita, al predetto principio di integrità e riservatezza. Le misure di sicurezza adottate devono, comunque, essere periodicamente riesaminate e aggiornate;
- deve inoltre essere definito un modello di gestione delle segnalazioni in conformità ai principi di protezione dei dati personali. In particolare, tali misure devono fare in modo che non siano resi accessibili, in via automatica senza il tramite del titolare del trattamento o soggetto autorizzato, dati personali a un numero indefinito di soggetti;
- deve essere aggiornato il registro delle attività di trattamento (art. 30 gdpr), integrandolo con le informazioni connesse a quelle di acquisizione e gestione delle segnalazioni;
- deve essere garantito il divieto di tracciamento dei canali di segnalazione. Nel caso in cui l’accesso ai canali interni e al canale esterno di segnalazione avvenga dalla rete dati interna del soggetto obbligato e sia mediato da dispositivi firewall o proxy, deve essere garantita la non tracciabilità – sia sulla piattaforma informatica che negli apparati di rete eventualmente coinvolti nella trasmissione o monitoraggio delle comunicazioni – del segnalante nel momento in cui viene stabilita la connessione a tali canali;
- deve essere garantito, ove possibile, il tracciamento dell’attività del personale autorizzato nel rispetto delle garanzie a tutela del segnalante, al fine di evitare l’uso improprio di dati relativi alla segnalazione. Deve essere evitato il tracciamento di qualunque informazione che possa ricondurre all’identità o all’attività del segnalante. Spetta comunque al titolare del trattamento alla luce del principio di responsabilizzazione, individuare le misure di sicurezza idonee alla luce del rischio in concreto.
7. L’informativa sul trattamento dei dati ai sensi dell’art. 13 GDPR
Centrale appare la necessità di perseguire trasparenza delle informazioni attraverso la pubblicazione di un’informativa sul trattamento dei dati personali che sia consultabile prima che i possibili interessati (ad es. segnalanti, segnalati, persone interessate dalla segnalazione, facilitatori, ecc.) decidano di effettuare la segnalazione.
Lo scopo può essere raggiunto anche mediante la pubblicazione di documenti informativi tramite sito web, piattaforma, informative brevi in occasione dell’utilizzo degli altri canali previsti dal decreto.
Le caratteristiche che dovrà avere la detta informativa sul trattamento dei dati sono quelle elencate all’art. 13 gdpr ma per quanto concerne l’esercizio dei diritti, la persona coinvolta o la persona menzionata nella segnalazione, con riferimento ai propri dati personali trattati nell’ambito della segnalazione, divulgazione pubblica o denuncia, non possono esercitare – per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata – i diritti che normalmente il Regolamento (UE) 2016/679 riconosce agli interessati (il diritto di accesso ai dati personali, il diritto a rettificarli, il diritto di ottenerne la cancellazione o cosiddetto diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati personali e quello di opposizione al trattamento). Dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante. In tali casi, dunque, al soggetto segnalato o alla persona menzionata nella segnalazione è preclusa anche la possibilità, laddove ritengano che il trattamento che li riguarda violi suddetti diritti, di rivolgersi al titolare del trattamento e, in assenza di risposta da parte di quest’ultimo, di proporre reclamo al Garante della protezione dei dati personali
Nella fase di acquisizione della segnalazione e della eventuale successiva istruttoria non devono invece essere fornite informative ad hoc ai vari soggetti interessati diversi dal segnalante. Laddove all’esito dell’istruttoria sulla segnalazione si avvii un procedimento nei confronti di uno specifico soggetto segnalato, a quest’ultimo va naturalmente resa un’informativa ad hoc.
Per quanto concerne la data retention, sono le stesse Linee guida che individuano come congruo il termine non superiore a cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione per la conservazione dei dati in una forma che consenta l’identificazione degli interessati per il tempo necessario al trattamento della specifica segnalazione.
8. La Valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR
Altro adempimento di cruciale importanza, che deve anch’esso essere effettuato prima dell’inizio del trattamento e quindi nella fase di progettazione del canale di segnalazione, una valutazione d’impatto sulla protezione dei dati al fine di individuare ed applicare le necessarie misure tecniche per evitare tale rischio.
Per quelle pubbliche amministrazioni o società in controllo pubblico e private, che adottano la piattaforma informatica WhistleblowingPA, realizzata tramite il software GlobaLeaks, è possibile sul sito del produttore[4], reperire una serie di informazioni molto utili alla compilazione della valutazione di impatto (oltre che dell’informativa). Se si utilizza la piattaforma di whistleblowing sui propri sistemi informativi interni non occorrerà la nomina della società a responsabile del trattamento ai sensi dell’art. 28, che invece è necessaria se si sceglie di aderire a Whistleblowing PA.
A prescindere dai mezzi utilizzati per il trattamento, la valutazione di impatto, è adempimento obbligatorio che va ad aggiungersi a quelli tipizzati ed indicati all’interno dell’art. 35 del gdpr, del decreto trasparenza nonché del provvedimento del Garante nr. 467/2018[5]
9. Sanzioni
ANAC può applicare una sanzione amministrativa pecuniaria ove accerti che non siano stati istituiti canali interni di segnalazione, che non siano state adottate procedure per l’effettuazione e la gestione delle segnalazioni ovvero che l’adozione di tali procedure non sia conforme a quanto previsto dal decreto. La sanzione può essere irrogata da ANAC anche quando si accerti che non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute (cfr. Parte Terza) 13.12 Cfr. Delibera ANAC n. 1134/2017.13 Cfr. art. 21, co. 1, lett. b) d.lgs. 24/2023.
- [1]
- [2]
[1] Di seguito il Regolamento per la gestione delle segnalazioni esterne e per l’esercizio del potere sanzionatorio dell’anac in attuazione del decreto legislativo 10 marzo 2023, n. 2 file:///Users/lucaiadecola/Downloads/Regolamento%20gestione%20segnalazioni%20esterne%20ed%20esercizio%20potere%20sanzionatorio%20Anac%20-%20del.301%20-%2012.07.2023%20.pdf
- [3]
Data protection by design e by default: le linee guida EDPB su https://www.altalex.com/documents/news/2020/11/24/data-protection-by-design-e-by-default-linee-guida-edpb
- [4]
Assistenza
- [5]
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9058979
Vuoi restare aggiornato?
Con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Iscriviti alla newsletter
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento