Il 4 agosto il Garante ha reso noto di aver espresso parere favorevole sullo Schema di Linee guida, predisposto da ANAC, in materia di procedure per la presentazione e gestione delle segnalazioni cosiddette “esterne”, relativamente agli aspetti che riguardano la protezione dei dati personali delle persone che segnalano violazioni del diritto dell’Unione e delle disposizioni normative nazionali.

Sono “esterne” le segnalazioni che vengono effettuate direttamente all’Autorità Anticorruzione quando la segnalazione cosiddetta “interna” all’Ente ove il dipendente presta servizio non è presentabile e non è gestibile attraverso il canale di segnalazione interna dell’Ente medesimo.

Affinché la segnalazione di un illecito (“whistleblowing”) all’interno dell’Ente risulti presentabile e gestibile, si richiede:

-l'istituzione di un adeguato ed efficace canale di segnalazione in possesso delle caratteristiche tecniche indicate dall’ANAC;
-la predisposizione di specifiche garanzie di riservatezza e di sicurezza;
-l’affidabilità nel sistema di misure poste in essere dall’Ente per evitare ritorsioni nei confronti del segnalante.

L’assenza ovvero l’inefficacia del canale di segnalazione interna dell’Ente o il timore di ritorsione o, infine, la presenza di rischi per l’interesse pubblico consentono al dipendente di avvalersi di una delle innovazioni più importanti introdotte dalla riforma della disciplina del whistleblowing (D. Lgs. 24/2023):

-inviare la segnalazione direttamente all’Autorità Nazionale Anticorruzione (segnalazioni “esterne”).

Le segnalazioni “esterne”

L'ANAC può acquisire le violazioni in modalità digitale, tramite la specifica piattaforma online a tal fine realizzata, ovvero tramite i canali tradizionali (ad es. servizio telefonico, incontro in presenza). Le segnalazioni esterne devono riguardare illeciti circostanziati o che il segnalante ritiene potrebbero essere commessi sulla base di elementi concreti. L’ANAC, a fronte del ricevimento di una segnalazione esterna, può provvedere a inoltrare alle competenti autorità amministrative la segnalazione esterna avente ad oggetto informazioni sulle violazioni che non rientrano nella propria competenza.

I dipendenti vanno informati e formati dall'Ente sui presupposti e sull’oggetto delle segnalazioni esterne.

Specifica regolamentazione delle segnalazioni esterne

Serve una specifica regolamentazione affinché il segnalante possa presentare una segnalazione esterna e, al riguardo, l'ANAC ha predisposto apposite Linee guida il cui Schema è stato sottoposto al Garante per l'acquisizione del parere in ordine all’adeguatezza della regolamentazione sotto il profilo del trattamento e della protezione dei dati personali.

Lo Schema di Linee guida dell'ANAC, relativo alla presentazione e gestione delle segnalazioni esterne, è stato assentito dal Garante in quanto garantisce il necessario bilanciamento tra l’esigenza di riservatezza della segnalazione esterna, la necessità di accertamento degli illeciti e il diritto di difesa e di contraddittorio della persona segnalata.

Garantisce, nel contempo, anche il rispetto della protezione dei dati delle persone coinvolte in tutto il processo di gestione della segnalazione, con particolare riguardo:

-alla riservatezza dell’identità del segnalante e del contenuto della segnalazione stessa, anche mediante il ricorso alla crittografia

In particolare, con riferimento all’esigenza di riservatezza, va tenuto presente che anche l’acquisizione e gestione delle segnalazioni esterne, come l’acquisizione e gestione delle segnalazioni interne, dà luogo a:

-trattamenti di dati personali, anche appartenenti a particolari categorie di dati e relativi a condanne penali e reati, laddove gli stessi siano contenuti nella segnalazione e in atti e documenti ad essa allegati, riferiti a interessati (persone fisiche identificate o identificabili) e, in particolare, ai segnalanti o alle persone indicate come possibili responsabili delle condotte illecite o a quelle a vario titolo coinvolte nei fatti segnalati.

La base giuridica dei trattamenti relativi alle segnalazioni

La base giuridica dei trattamenti di dati personali posti in essere da ANAC, nell’ambito della acquisizione e gestione della segnalazione esterna attraverso il canale di segnalazione esterno e dei trattamenti che sono posti in essere dalle autorità amministrative a cui ANAC può trasmettere, per competenza, la segnalazione esterna alla luce dell’oggetto della segnalazione medesima, è la seguente:

-i trattamenti sono necessari per dare attuazione agli obblighi di legge e ai compiti d’interesse pubblico previsti dalla disciplina di settore, la cui osservanza è condizione di liceità del trattamento.

La medesima base giuridica va identificata anche per le segnalazioni esterne e i trattamenti di dati personali effettuati dagli enti pubblici obbligati a istituire canali di segnalazioni interna.

L’obbligo di garantire la riservatezza

Come avviene per le segnalazioni interne, anche per le segnalazioni esterne, al fine di prevenire misure discriminatorie e ritorsive nei confronti del segnalante e degli altri soggetti indicati dalla legge, l’ANAC deve garantire, anche tramite il ricorso a strumenti di crittografia la riservatezza:

-dell'identità della persona segnalante;
-della persona coinvolta;
-della persona comunque menzionata nella segnalazione;
-del contenuto della segnalazione;
-della relativa documentazione.

A tale scopo, lo Schema di Linee guida dell'ANAC includono una serie di GARANZIE.

Le principali garanzie a tutela della riservatezza

-Trasmissione a cura dell’ RPCT

Fatte salve le diverse scelte organizzative dell’Ente, la trasmissione ad ANAC della segnalazione mediante la piattaforma da questa istituita per la ricezione e gestione delle segnalazioni esterne può avvenire ad opera del RPCT. Quest’ultimo può accedere utilizzando lo stesso account già accreditato presso ANAC.

In alternativa, diverse scelte organizzative possono prevedere la possibilità di delegare l'inserimento della segnalazione sulla piattaforma di ANAC a un altro soggetto autorizzato all’interno dell’organizzazione del titolare.

-Ruolo di titolare

Il ruolo dell’Ente, in relazione ai trattamenti connessi al ricevimento e alla gestione delle segnalazioni, è di: titolare del trattamento.

-Ruolo di contitolari

Sussiste la possibilità, per i titolari del trattamento, di condividere le risorse per il ricevimento e la gestione delle segnalazioni, a condizione di determinare in maniera trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi in materia di protezione dei dati personali, agendo in qualità di contitolari del trattamento. Ne consegue che qualora più Enti, di dimensioni minori, condividano il canale di segnalazione interna e la relativa gestione gli stessi, in qualità di contitolari del trattamento, gli stessi sono tenuti a stipulare un accordo interno ai sensi dell’art. 26 del Regolamento e che, anche qualora gli stessi affidino ad uno stesso soggetto esterno la gestione delle segnalazioni, è necessario adottare misure tecniche e organizzative per garantire che ciascun Ente abbia accesso solo alle segnalazioni di propria competenza.

-Modello di ricevimento e gestione delle segnalazioni interne

L’Ente, titolare del trattamento, è tenuto a definire il “il proprio modello di ricevimento e gestione delle segnalazioni […] sulla base di una valutazione d’impatto sulla protezione dei dati”, in conformità ai principi della “protezione dei dati fin dalla progettazione” e della “protezione per impostazione predefinita”. A tal fine, deve individuare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base di una valutazione d'impatto sulla protezione dei dati, e disciplinando il rapporto con eventuali fornitori esterni che, in qualità di responsabili del trattamento, trattano dati personali per loro conto tenuto conto anche delle osservazioni presentate al riguardo dal responsabile della protezione dei dati (RPD) ove presente.

-Inadeguatezza della posta elettronica ordinaria e certificata

Posto che il ricorso alla posta elettronica ordinaria e certificata non è di per sé adeguato a garantire la riservatezza, ne consegue che, quando si utilizzano canali e tecniche tradizionali, occorre adottare e indicare al segnalante gli strumenti previsti per garantire la riservatezza richiesta dalla normativa, assicurando la protocollazione riservata, ad esempio mediante il meccanismo delle due buste chiuse.

-Rispetto dei princìpi generali

Va assicurato il rispetto dei princìpi generali in materia di protezione dei dati.

-Informativa

Sussiste la necessità di adottare misure appropriate a tutela dei diritti e delle libertà degli interessati, fornendo, altresì, l’informativa sul trattamento dei dati personali agli stessi.

I titolari del trattamento devono rendere ex ante l’informativa sul trattamento dei dati personali ai possibili interessati (segnalanti, segnalati, persone interessate dalla segnalazione, facilitatori, ecc.) mediante la pubblicazione di documenti informativi (ad esempio tramite sito web o piattaforma informatica) o per mezzo di informative brevi in occasione dell’utilizzo degli altri canali previsti dal decreto, non dovendo, invece, fornire agli specifici interessati direttamente coinvolti menzionati da una segnalazione informative su base individuale.

Nel caso di utilizzo del servizio telefonico con operatore, predisposto da ANAC, per presentare una segnalazione esterna o in occasione di un incontro diretto con un operatore di ANAC sono previste apposite modalità con le quali fornire l’informativa sul trattamento dei dati personali ai segnalanti.

-Limitazione del periodo di conservazione

Va definito l’arco temporale durante il quale occorre garantire la riservatezza del segnalante e degli altri interessati, con particolare riguardo alla circostanza che, stante l’obbligo di conservare la segnalazione non oltre cinque anni a decorrere dalla data dell’esito finale della procedura di segnalazione, la riservatezza dovrà essere sempre garantita durante tale periodo (fatte salve le ipotesi previste dall’art. 12, commi 3-5, del Decreto), e che, decorso tale periodo, dovendo la segnalazione essere cancellata, verrebbe comunque meno la possibilità di risalire all’identità del segnalante.

-Segnalazioni prive di dati anagrafici

Anche in caso di segnalazioni prive di dati anagrafici del segnalante, tuttavia, nelle circostanze previste dalle Linee guida, il segnalante può essere identificabile da elementi di contesto, al fine di non considerare tali segnalazioni “anonime” in senso tecnico e, quindi, sprovviste delle garanzie previste dalla legge

-Personale espressamente autorizzato

I dati devono essere trattati soltanto da personale espressamente autorizzato ai sensi degli articoli 29 e 32, par. 4, del Regolamento e dell'articolo 2-quaterdecies del Codice, a tutela dell’identità del segnalante e della riservatezza degli interessati.

Vanno considerati quali soggetti autorizzati al trattamento soltanto le persone che, in base alle scelte organizzative del titolare del trattamento, siano competenti a ricevere o a dare seguito alle segnalazioni e siano adeguatamente istruiti al riguardo

-Sottrazione all’accesso

La segnalazione deve essere sottratta all'accesso previsto dagli artt. 22 e ss. della l. 7 agosto 1990, n. 241, e dagli artt. 5 e ss. del d.lgs. 14 marzo 2013, n. 33 (art. 12).

-Casi in cui il segnalato può essere informato dell’esistenza di una segnalazione

Vanno previsti i casi in cui il segnalato può essere informato dell’esistenza di una segnalazione che lo riguarda, tenuto conto che, nell’ambito dei procedimenti, anche disciplinari, conseguenti alla segnalazione, la contestazione potrebbe essere “fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa”.

Le principali garanzie a tutela della sicurezza del trattamento

Con riferimento ai profili relativi alla sicurezza del trattamento, nell’ambito dell’acquisizione e gestione delle segnalazioni le Linee guida prevedono:

- misure tecniche e organizzative tali da garantire un'adeguata sicurezza del trattamento dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali, con obbligo di riesaminare e aggiornare tali misure periodicamente;

- il ricorso a strumenti di crittografia nell’ambito dei canali interni e del canale esterno di segnalazione quale una misura adeguata a dare attuazione, fin dalla progettazione e per impostazione predefinita, al principio di integrità e riservatezza;

- la non tracciabilità del segnalante, nel caso in cui l’accesso ai canali interni e esterni di segnalazione avvenga dalla rete dati interna del soggetto obbligato, nel momento in cui viene stabilita la connessione a tali canali, sia sulle piattaforme informatiche che negli apparati (es. firewall o proxy) eventualmente coinvolti nella trasmissione delle comunicazioni del segnalante;

- il tracciamento delle operazioni svolte dal personale autorizzato alla gestione delle segnalazioni, nel caso delle segnalazioni tramite piattaforma informatica, a tutela della sicurezza del trattamento e nel rispetto delle garanzie previste dalla disciplina di settore in materia di controlli a distanza

- l’accesso alla piattaforma informatica di ANAC, da parte delle diverse tipologie di utenti autorizzati alla gestione delle segnalazioni esterne, al trasferimento di segnalazioni esterne presentate erroneamente ad un soggetto diverso dall’ANAC, o alla trasmissione delle segnalazioni esterne alle autorità competenti, deve avvenire attraverso una procedura di autenticazione informatica a più fattori.