Whistleblowing: le nuove linee guida ANAC

Lo scorso 12 luglio l’Anac ha rilasciato, dopo averle messe in consultazione, le ‘Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne[1]’ di recepimento del decreto legislativo 10 marzo 2023, n. 24 che a sua volta recepisce in Italia la Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione.

1. La prevenzione

Sin da una prima lettura delle Linee guida in argomento e dei documenti allegati, emerge l’intenzione del legislatore di incoraggiare le persone segnalanti a rivolgersi, innanzitutto, all’ente a cui sono “collegati”.
Ciò in quanto una più efficace prevenzione e accertamento delle violazioni passa attraverso l’acquisizione di informazioni pertinenti da parte dei soggetti più vicini all’origine delle violazioni stesse. Tale principio, inoltre, è volto, da un lato, “a favorire una cultura della buona comunicazione e della responsabilità sociale d’impresa all’interno delle organizzazioni”, dall’altro, a fare in modo che i segnalanti, facendo emergere atti, omissioni o condotte illecite, contribuiscano significativamente al miglioramento della propria organizzazione.
Di seguito, si illustrano brevemente alcuni profili relativi ai canali interni, segnalando che la trattazione più approfondita sarà oggetto di successive Linee guida.

2. Modalità di presentazione delle segnalazioni attraverso canali interni. Il Regolamento interno per il ricevimento delle segnalazioni e per la loro gestione

Per quanto concerne l’Istituzione dei canali di segnalazione, i soggetti del settore pubblico e del settore privato, sentite le rappresentanze o le organizzazioni sindacali, per acquisire eventuali osservazioni, definiscono in un apposito atto organizzativo (regolamento)[2] le procedure per il ricevimento delle segnalazioni e per la loro gestione, al fine di attivare al proprio interno appositi canali di segnalazione. Nell’atto organizzativo, adottato dall’organo di indirizzo, è opportuno che almeno vengano definiti:
– il ruolo e i compiti dei soggetti che gestiscono le segnalazioni;
– le modalità e i termini di conservazione dei dati, appropriati e proporzionati in relazione alla procedura di whistleblowing e alle disposizioni di legge.
Laddove gli enti privati adottino i modelli di organizzazione e gestione ai sensi del d.lgs. n. 231/2001, i canali interni di segnalazione vanno previsti all’interno di tali modelli o nell’atto organizzativo cui il MOG 231 espressamente rinvia.
I canali di segnalazione interna devono garantire la riservatezza, anche tramite il ricorso a strumenti di crittografia, ove siano utilizzati strumenti informatici della persona segnalante e di tutti i soggetti potenzialmente coinvolti in questa fase ossia: il facilitatore; la persona coinvolta o i soggetti menzionati nella segnalazione; il contenuto della segnalazione e della relativa documentazione.

3. Segnalazione in forma scritta o orale

Al fine di agevolare il segnalante, a quest’ultimo va garantita la scelta fra diverse modalità di segnalazione: in forma scritta, anche con modalità informatiche (piattaforma online). La posta elettronica ordinaria e la PEC si ritiene siano strumenti non adeguati a garantire la riservatezza. Qualora si utilizzino canali e tecniche tradizionali, da disciplinare nell’atto organizzativo, è opportuno indicare gli strumenti previsti per garantire la riservatezza richiesta dalla normativa. Ad esempio, a tal fine ed in vista della protocollazione riservata della segnalazione a cura del gestore, è necessario che la segnalazione venga inserita in due buste chiuse: la prima con i dati identificativi del segnalante unitamente alla fotocopia del documento di riconoscimento; la seconda con la segnalazione, in modo da separare i dati identificativi del segnalante dalla segnalazione. Entrambe dovranno poi essere inserite in una terza busta chiusa che rechi all’esterno la dicitura “riservata” al gestore della segnalazione (ad es. “riservata al RPCT”). La segnalazione è poi oggetto di protocollazione riservata, anche mediante autonomo registro, da parte del gestore.
La segnalazione può essere perfezionata, a scelta, anche in forma orale attraverso linee telefoniche, con sistemi di messaggistica vocale, ovvero, su richiesta della persona segnalante, mediante un incontro diretto fissato entro un termine ragionevole.

4. Soggetti cui va affidata la gestione delle segnalazioni e conseguenti ruoli privacy

La gestione dei canali di segnalazione può essere affidata o ad una persona interna all’amministrazione/ente; o ad un ufficio dell’amministrazione/ente con personale dedicato, anche se non in via esclusiva; o ad un soggetto esterno.
Precisa l’ANAC che nei soggetti del settore pubblico tenuti a nominare un Responsabile della prevenzione della corruzione e della trasparenza (RPCT), la gestione del canale interno è affidata a quest’ultimo.
Chi gestisce le segnalazioni è necessario possieda il requisito dell’autonomia, che, ad avviso di ANAC, va declinato come imparzialità e indipendenza. Pertanto le amministrazioni/enti del settore pubblico e privato nell’affidare tale incarico devono valutare se il soggetto abbia le caratteristiche indispensabili per svolgere l’attività richiesta.
Per quanto riguarda i ruoli privacy, Titolare del trattamento (art. 4 n. 7 Regolamento europeo 679/2016 “gdpr”) è il soggetto pubblico e privato che istituisce il canale interno. Nel caso in cui ai sensi dell’art. 4, co. 4, d.lgs. 24/2023 vi siano più Enti pubblici e privati che condividono il canale interno questi ultimi saranno Contitolari del trattamento dei dati ai sensi dell’art. 26 gdpr.
Nel caso in cui i soggetti deputati alla gestione delle segnalazioni siano interni all’organizzazione, vanno individuate persone espressamente autorizzate e previamente istruite dai titolari del trattamento (ai sensi degli artt. 29 e 32, par. 4 gdpr). Costoro si trovano ad operare sotto la direzione del titolare del trattamento eseguendo i compiti loro affidati. Non godono pertanto di apprezzabili margini di autonomia operativa nell’ambito dei trattamenti di dati personali che sono chiamati a svolgere. Resta fermo che le persone autorizzate sono comunque tenute a rispettare i principi fondamentali in materia di tutela dei dati personali.  
Occorre avere riguardo all’assetto organizzativo interno di ogni ente in modo da prevedere che le autorizzazioni al trattamento dei dati siano tali da ricomprendere tutte le persone che sono coinvolte nella gestione  delle  segnalazioni  (si  pensi  al  caso  in  cui  erroneamente  la  segnalazione  invece  di  pervenire attraverso il  canale  interno  pervenga  tramite  protocollo).  Tali soggetti  devono  inoltre  ricevere un’adeguata  e  specifica  formazione  professionale  volta  ad  accrescerne  le  competenze  specialistiche anche in materia di normativa sulla protezione dei dati personali, sicurezza dei dati e delle informazioni, nonché in tema di addestramento relativamente alle procedure predisposte.
Nel caso di soggetti esterni, questi devono essere nominati responsabili del trattamento, in base ad un contratto o altro atto giuridico stipulato con l’amministrazione/ente ai sensi dell’art. 28 gdpr.
Devono, come di regola, presentare  garanzie  sufficienti,  in  particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche  e  organizzative  che  garantiscano  il  rispetto  della  riservatezza,  protezione  dei  dati  e  segretezza.

Potrebbero interessarti anche:

• Novità Whistleblowing: cambiamenti modello organizzativo ai sensi del d.lgs. 231/2001
• Whistleblowing, approvato definitivamente il decreto
• PODCAST -Il Whistleblowing: fenomeno e disciplina

5. Art. 4, co. 4, d.lgs. 24/2023. Gestione condivisa delle segnalazioni

Al fine di ottimizzare e specializzare il lavoro sulle segnalazioni e anche in una logica di semplificazione degli adempimenti e di contenimento dei costi, il decreto consente ad enti di minori dimensioni di “condividere” il canale di segnalazione interna e la relativa gestione (ad esempio potrebbero essere stipulati accordi/convenzioni per la gestione in forma associata delle segnalazioni whistleblowing). Ciò, naturalmente, senza pregiudicare l’obbligo di garantire la riservatezza, di fornire un riscontro e di gestire la violazione segnalata.
La condivisione del canale è prevista, in particolare, per i Comuni diversi dai capoluoghi di provincia e per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratto di lavoro a tempo determinato o indeterminato, non superiore a duecentoquarantanove.
Ad avviso di ANAC, in una logica di semplificazione degli oneri e considerato che il whistleblowing rientra fra le misure di prevenzione della corruzione, si può ritenere che anche le pubbliche amministrazioni e gli enti pubblici di piccole dimensioni possano scegliere di condividere il canale interno di segnalazione e la relativa gestione. Per l’individuazione di tali enti appare ragionevole far riferimento alla soglia dimensionale di meno di cinquanta dipendenti indicata dal legislatore per l’adozione del Piano Integrato di Attività e Organizzazione (PIAO) semplificato.
Nell’ipotesi in cui gli enti (nella loro qualità di  contitolari del trattamento) affidino ad uno stesso soggetto (esterno) la gestione delle segnalazioni, è necessario garantire che ciascun ente acceda esclusivamente alle segnalazioni di propria spettanza tenuto anche conto della attribuzione della relativa responsabilità. Pertanto, dovranno essere adottate misure tecniche e organizzative per garantire che ciascun ente abbia accesso solo alle segnalazioni di propria competenza, come di dirà appresso.

6. Principi fondamentali da rispettare per il trattamento dei dati personali

L’intera costruzione dei flussi di dati per il ricevimento e la gestione delle segnalazioni deve essere pianificato, sulla base dei principi di privacy by design e by default[3] osservando i seguenti principi:

• «liceità, correttezza e trasparenza». Occorrerà trattare i  dati  in  modo  lecito,  corretto  e  trasparente  nei  confronti  dei  soggetti  interessati; 
• «limitazione  della  finalità». Il Titolare dovrà raccogliere i dati solo al fine di gestire e dare seguito alle segnalazioni, divulgazioni pubbliche o  denunce  effettuate  da  parte  dei  soggetti  tutelati  dal  d.lgs.  24/2023;
• «minimizzazione  dei  dati». È necessario garantire  che  i  dati  siano  adeguati,  pertinenti  e  limitati  a  quanto  necessario  rispetto  alle  finalità  per  le  quali  sono  trattati. A tal  riguardo,   il  decreto  precisa, infatti, che i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati senza indugio;
• «esattezza». Occorre assicurare che i dati siano esatti e, se necessario, aggiornati. Devono essere adottate tutte le misure  ragionevoli  per  cancellare  o  rettificare  tempestivamente  i  dati  inesatti  relativi  alla  specifica segnalazione, divulgazione pubblica o denuncia che viene gestita;
• «limitazione  della  conservazione». I dati devono essere conservati in una forma che consenta l’identificazione degli interessati per il tempo necessario al trattamento della specifica segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.   Per  ANAC,   tale  termine  decorre dalla  chiusura  del  fascicolo sulla segnalazione da parte dell’Ufficio per la vigilanza sulle segnalazioni dei whistleblowers;
• «integrità, disponibilità e riservatezza». Il Titolare dovrà effettuare  il  trattamento  in  maniera  da  garantire  un’adeguata  sicurezza  dei  dati  personali,  compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. Nel contesto in esame, caratterizzato da elevati rischi per i diritti e le libertà degli interessati, il ricorso a strumenti di crittografia nell’ambito dei canali interni e del canale esterno di segnalazione, è di regola da ritenersi una misura adeguata a dare attuazione, fin dalla progettazione e per impostazione predefinita, al predetto principio di  integrità  e  riservatezza.  Le  misure  di  sicurezza  adottate  devono,  comunque,  essere  periodicamente riesaminate e aggiornate;
• deve inoltre essere definito un modello di gestione delle segnalazioni in conformità ai principi di protezione dei dati personali. In particolare, tali misure devono fare in modo che non siano resi accessibili, in via automatica senza il tramite del titolare del trattamento o soggetto autorizzato, dati personali a un numero indefinito di soggetti;
• deve essere aggiornato il registro delle attività di trattamento (art. 30 gdpr), integrandolo con le informazioni connesse a quelle di acquisizione e gestione delle segnalazioni;
• deve essere garantito il divieto di tracciamento dei canali di segnalazione. Nel caso in cui l’accesso ai canali interni e al canale esterno di segnalazione avvenga dalla rete dati interna del soggetto obbligato  e  sia  mediato  da  dispositivi  firewall  o  proxy,  deve  essere  garantita  la  non  tracciabilità –  sia  sulla  piattaforma  informatica  che  negli  apparati  di  rete  eventualmente  coinvolti nella trasmissione o monitoraggio delle comunicazioni – del segnalante nel momento in cui viene stabilita la connessione a tali canali;
• deve essere garantito, ove possibile, il tracciamento dell’attività del personale autorizzato nel rispetto delle garanzie a tutela del segnalante, al fine di evitare l’uso improprio di dati relativi alla segnalazione. Deve  essere  evitato  il  tracciamento  di  qualunque  informazione  che  possa ricondurre  all’identità  o  all’attività  del  segnalante.   Spetta comunque  al  titolare  del  trattamento alla luce del principio di responsabilizzazione, individuare le misure di sicurezza idonee alla luce del rischio in concreto.

7. L’informativa sul trattamento dei dati ai sensi dell’art. 13 GDPR

Centrale appare la necessità di perseguire trasparenza delle informazioni attraverso la pubblicazione di un’informativa sul trattamento  dei  dati  personali che sia consultabile prima che i possibili interessati (ad es. segnalanti, segnalati, persone interessate dalla segnalazione,  facilitatori,  ecc.) decidano di effettuare la segnalazione.
Lo scopo può essere raggiunto anche mediante   la   pubblicazione   di   documenti   informativi tramite sito web, piattaforma, informative brevi in occasione dell’utilizzo degli altri canali previsti dal decreto.
Le caratteristiche che dovrà avere la detta informativa sul trattamento dei dati sono quelle elencate all’art. 13 gdpr ma per quanto concerne l’esercizio dei diritti, la  persona  coinvolta  o  la  persona  menzionata  nella  segnalazione,  con  riferimento  ai  propri  dati  personali  trattati  nell’ambito  della  segnalazione,  divulgazione  pubblica  o  denuncia,  non  possono  esercitare – per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata –  i diritti che normalmente il Regolamento (UE) 2016/679 riconosce agli interessati (il diritto di accesso ai dati personali, il diritto a rettificarli, il diritto di ottenerne la cancellazione o cosiddetto diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati personali e quello di opposizione al trattamento). Dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante.  In tali casi, dunque, al soggetto segnalato o alla persona menzionata nella segnalazione è preclusa anche la possibilità, laddove ritengano che il trattamento che li riguarda violi suddetti diritti, di rivolgersi al titolare del trattamento e, in assenza di risposta da parte di quest’ultimo, di proporre reclamo al Garante della protezione dei dati personali
Nella fase di acquisizione  della  segnalazione  e  della  eventuale  successiva  istruttoria  non  devono  invece  essere  fornite  informative  ad  hoc  ai  vari  soggetti  interessati  diversi  dal  segnalante. Laddove all’esito dell’istruttoria sulla segnalazione si avvii un procedimento nei confronti di uno specifico soggetto segnalato, a quest’ultimo va naturalmente resa un’informativa ad hoc.
Per quanto concerne la data retention, sono le stesse Linee guida che individuano come congruo il termine non superiore a cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione per la conservazione dei dati in una forma che consenta l’identificazione degli interessati per il tempo necessario al trattamento della specifica segnalazione.

8. La Valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR

Altro adempimento di cruciale importanza, che deve anch’esso essere effettuato prima dell’inizio del trattamento e quindi nella fase di progettazione del canale di segnalazione,  una  valutazione  d’impatto  sulla  protezione  dei  dati  al  fine  di  individuare ed applicare le necessarie misure tecniche per evitare tale rischio.
Per quelle pubbliche amministrazioni o società in controllo pubblico e private, che adottano la piattaforma informatica WhistleblowingPA, realizzata tramite il software GlobaLeaks, è possibile sul sito del produttore[4], reperire una serie di informazioni molto utili alla compilazione della valutazione di impatto (oltre che dell’informativa). Se si utilizza la piattaforma di whistleblowing sui propri sistemi informativi interni non occorrerà la nomina della società a responsabile del trattamento ai sensi dell’art. 28, che invece è necessaria se si sceglie di aderire a Whistleblowing PA.
A prescindere dai mezzi utilizzati per il trattamento, la valutazione di impatto, è adempimento obbligatorio che va ad aggiungersi a quelli tipizzati ed indicati all’interno dell’art. 35 del gdpr, del decreto trasparenza nonché del provvedimento del Garante nr. 467/2018[5]

9. Sanzioni

ANAC può applicare una sanzione amministrativa pecuniaria ove accerti che non siano stati istituiti canali interni di segnalazione, che non siano state adottate procedure per l’effettuazione e la gestione delle segnalazioni ovvero che l’adozione di tali procedure non sia conforme a quanto previsto dal decreto. La sanzione può essere irrogata da ANAC anche quando si accerti che non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute (cfr. Parte Terza) 13.12 Cfr. Delibera ANAC n. 1134/2017.13 Cfr. art. 21, co. 1, lett. b) d.lgs. 24/2023.

Vuoi restare aggiornato?

Con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!