Il Garante privacy si esprime sulle linee guida ANAC in materia di “whistleblowing”

Scarica PDF Stampa
Garante per la protezione dei dati personali: Parere sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)” – 4 dicembre 2019

Normativa: legge 30 novembre 2017, n. 179; art. 54-bis, comma 1, del decreto legislativo 30 marzo 2001, n. 165.

Premessa

La legge che ha introdotto in Italia il c.d. whistleblowing, secondo cui il pubblico dipendente che segnala al responsabile della prevenzione della corruzione e della trasparenza ovvero all’ ANAC o comunque denuncia all’autorità giudiziaria delle condotte illecite di cui è venuto a conoscenza in considerazione del proprio rapporto di lavoro non può essere sanzionato, demansionato, licenziato, trasferito o sottoposto ad altre misure con effetti negativi sulle condizioni di lavoro, ha altresì stabilito che l’ ANAC debba adottare delle linee guida attraverso le quali disciplinare le procedure per presentare e gestire le segnalazioni di cui sopra, anche attraverso l’utilizzo di modalità informatiche nonché di strumenti di crittografia per garantire la riservatezza del soggetto che ha effettuato la segnalazione e la sua identità nonché il contenuto della segnalazione stessa.

In adempimento a tale disposizione normativa, l’ ANAC ha richiesto al Garante per la protezione dei dati personali un parere sullo schema di linee guida predisposte dall’agenzia e contenente, appunto, le modalità per presentare e gestire le segnalazioni che vengono effettuate in ambito pubblico.

Lo schema di linee guida

Lo schema sottoposto all’esame del Garante individua gli accorgimenti di carattere tecnico che la pubblica amministrazione e in generale gli enti individuati dalla legge sul whistleblowing devono adottare per poter adempiere alla suddetta normativa nonché le modalità attraverso cui alcune particolari categorie di soggetti devono presentare le segnalazioni (per esempio i lavoratori e i collaboratori di imprese che forniscono beni o servizi o realizzano opere a favore della pubblica amministrazione, oppure coloro i quali appartengono alla magistratura).

Lo schema si compone di tre diverse sezioni, le quali si occupano, in primo luogo, della ricostruzione delle norme che disciplinano la materia nonché dell’individuazione del contenuto della segnalazione, delle modalità del suo inoltro e delle caratteristiche essenziali del procedimento attraverso cui gestire dette segnalazioni. In secondo luogo, individuano le modalità attraverso cui trattare in via informatica le segnalazioni ed infine le procedure che deve gestire ANAC.

È evidente che le segnalazioni di cui sopra contengono necessariamente dei dati personali di coloro i quali effettuano la segnalazione e/o dei soggetti a cui la stessa si riferisce ed in alcuni casi possono contenere anche informazioni che rientrano nelle particolari categorie di dati (sia quelli inerenti alla salute, sia quelli inerenti alla situazione giudiziaria degli interessati). Pertanto, la gestione di dette segnalazioni sostanzia un trattamento di dati, che deve essere valutato con riferimento al rispetto della normativa in materia di privacy.

A ciò deve altresì aggiungersi che i dati personali (specie quelli identificativi) di colui il quale effettua la segnalazione devono ricevere una maggiore protezione dal punto di vista della privacy, in considerazione del fatto che tale soggetto non deve rischiare di subire delle ritorsioni o comunque delle conseguenze negative a causa della segnalazione.

Pertanto, il garante ha analizzato in maniera dettagliata tutti gli articoli di cui si compongono le suddette linee guida.

Il parere del Garante

Preliminarmente, il garante ha rilevato come lo schema di linee guida è stato realizzato tenendo in considerazione le indicazioni che erano già state fornite dallo stesso garante durante gli incontri avuti con i funzionari dell’Anac in sede di stesura del provvedimento e come detto schema, proprio per tale ragione, individui alcune misure tecniche e organizzative per garantire il rispetto dei principi della privacy by design by default relativamente alle procedure informatiche utilizzate per acquisire e gestire le segnalazioni.

In particolare, secondo il Garante, nello schema di linee guida sono state recepite le sue indicazioni circa le misure da adottare per garantire la liceità, la correttezza e la trasparenza del trattamento, quelle rivolte a definire il ruolo del soggetto che può trattare i dati di colui il quale ha effettuato la segnalazione e conoscere la sua identità, quelle relative al ruolo dei soggetti che forniscono i servizi informatici (i quali, trattando i dati personali per conto del titolare sono qualificabili come responsabili del trattamento), quelle relative alle misure tecniche da adottare per garantire la tutela dell’identità di colui il quale ha effettuato la segnalazione (rendendo anonima la segnalazione e la documentazione allegata e non tracciabili le connessioni con cui il segnalante ha effettuato l’accesso alla procedura informatica) nonché quelle relative al richiamo alla normativa penale e amministrativa per il caso di violazione della disciplina in materia di tutela dei dati personali.

Ciò premesso, il Garante ha poi reso le seguenti osservazioni:

  • per quanto riguarda la parte che si occupa dell’individuazione delle condotte che possono dare luogo a fatti di corruzione, il garante ha ritenuto che le linee guida abbiano esteso l’ambito oggettivo dell’istituto del whistleblowing previsto dalla legge, in quanto la formulazione adottata permetterebbe di acquisire anche delle segnalazioni relative a fatti antecedenti rispetto ad una eventuale commissione di illeciti; aspetto da modificare poiché comporterebbe il trattamento di dati personali che non potrebbero essere ricondotti in quelli previsti dalla disciplina di settore;
  • nelle linee guida, al soggetto nei cui confronti viene effettuata la segnalazione (il c.d. segnalato), deve essere riconosciuta la possibilità di esercitare i diritti previsti a favore dell’interessato dal GDPR, ma tale esercizio dell’avvenire attraverso il garante per la protezione dei dati personali (il quale informa l’interessato di aver eseguito le verifiche circa il rispetto dei suoi diritti e della possibilità di proporre un ricorso giurisdizionale);
  • la previsione di una tabella esemplificativa delle attività che potrebbero essere oggetto di segnalazione contenuta nelle linee guida deve essere modificata attraverso la previsione di ipotesi più generali di condotte segnalabili, in quanto detta elencazione specifica potrebbe comportare un trattamento di dati personali eccedente rispetto quelli previsti dalla normativa;
  • i soggetti terzi a cui possono essere comunicati i dati relativi alla segnalazione debbono essere individuati dalle linee guida come titolari del trattamento e non più come responsabili;
  • nel caso in cui il contenuto della segnalazione o la documentazione allegata debbano essere comunicati ad altri uffici della pubblica amministrazione, deve essere prevista la eliminazione dei dati identificativi del segnatamente e di ogni altro elemento dal quale egli possa essere identificato;
  • deve essere prevista la possibilità di conoscere l’identità del segnalante solo a favore del “custode” e conseguentemente deve essere eliminata la possibilità di consentire l’accesso anche all’istruttore della pratica nel caso in cui il custode lo autorizzi in tal senso;
  • deve essere previsto che il custode dell’identità del segnalante opera come soggetto “autorizzato” al trattamento;
  • analogamente deve essere previsto che anche il personale dell’amministrazione che si occupa della manutenzione e della gestione dei sistemi informatici opera come soggetto autorizzato al trattamento e non come responsabile;
  • nel caso in cui vengano ricevute delle segnalazioni con modalità diverse da quella informatica, esse dovranno essere protocollate in un apposito registro riservato;
  • deve essere vietato inviare alla casella di posta elettronica individuale del dipendente della pubblica amministrazione che ha effettuato la segnalazione, qualsiasi comunicazione relativa al procedimento (ciò al fine di garantire la segretezza dell’identità di tale soggetto);
  • nel caso in cui vengano inviati messaggi sulla casella di posta elettronica del custode dell’identità, detti messaggi non dovranno contenere riferimenti all’identità del soggetto che ha effettuato una segnalazione o all’oggetto della segnalazione stessa;
  • sulla piattaforma dove sono contenute e gestite le segnalazioni, deve essere garantito l’accesso selettivo ai dati delle segnalazioni da parte dei soggetti che sono autorizzati al trattamento;
  • deve, inoltre, essere prevista la tracciabilità delle attività che vengono compiute dai soggetti autorizzati al trattamento sulla piattaforma dove sono contenute e gestite le segnalazioni, ma non quelle che sono compiute dal soggetto che ha effettuato la segnalazione;
  • i titolari del trattamento dovranno valutare ed individuare, caso per caso a seconda della tipologia di trattamento, dei sistemi autenticazione per poter accedere alla piattaforma informatica, che siano basati anche su tecniche di strong autenticathion;
  • per l’accesso alla piattaforma da parte degli utenti, dovranno essere previsti dei sistemi di protocollo di trasporto dati che siano sicuri (tipo protocollo https), sia dal punto di vista della riservatezza che dal punto di vista dell’integrità dei dati relativi all’identità del soggetto che ha effettuato la segnalazione e al contenuto della segnalazione stessa.

Il Garante ha, quindi, reso parere favorevole allo schema di linee guida con le osservazioni di cui sopra.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  25.60 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento