Parere favorevole del Garante Privacy sulle due proposte di delibera dell’ ANAC relative a nuovi schemi di Linee Guida per le segnalazioni interne ed esterne dei whistleblower.
Si tratta di un passaggio importante, perché riguarda la revisione complessiva, e senza stravolgimenti, delle regole che disciplinano la protezione di chi decide di segnalare comportamenti illeciti nelle organizzazioni ( cd. Whistleblowing ). L’obiettivo è quello di rendere i sistemi di segnalazione più affidabili e rispettosi della riservatezza dei segnalanti.
Dall’esame delle relazioni annuali presentate dall’ANAC emerge, del resto, un quadro statistico che conferma la centralità crescente dell'istituto e la necessità di un intervento regolatorio.
Il 2024 è stato l'anno in cui le nuove regole per la protezione dei segnalanti sono entrate pienamente in vigore, sia nel settore pubblico che privato, portando a un aumento considerevole delle segnalazioni e delle richieste di chiarimenti all'Autorità.
I dati hanno evidenziano un trend delle segnalazioni in costante ascesa, con una netta prevalenza del settore pubblico rispetto a quello privato e una marcata preferenza dei segnalanti per il canale esterno gestito direttamente dall’Autorità, che nell'ultimo anno ha raccolto oltre 1.300 istanze. Significativo è il ricorso massiccio alle piattaforme informatiche, percepite come più sicure rispetto ai canali analogici; un elemento che, incrociato con le criticità operative spesso rilevate nei monitoraggi sui sistemi interni, ribadisce l'urgenza di quell'uniformità procedurale oggi perseguita dalle nuove linee guida.
Quest’ultime, redatte sulla base dei contributi pervenuti nel quadro della consultazione pubblica avviata da ANAC nel novembre del 2024, sono state sottoposte al vaglio dell’ Autorità il 21 agosto che si è espressa solo al termine del mese scorso con un giudizio complessivamente positivo, pur evidenziando la necessità di alcune modifiche. A più riprese – si legge nel parere - viene ribadita la necessità che la riservatezza del segnalante vada assicurata anche quando, all’esito dell’istruttoria, la segnalazione risulti infondata.
Posta elettronica come canala di segnalazione - L’attenzione è stata rivolta soprattutto ai rischi che possono emergere quando la segnalazione avviene tramite posta elettronica ordinaria o certificata, un canale molto utilizzato ma non sempre adeguato a garantire l’anonimato o la sicurezza dei dati. I sistemi informatici di gestione della posta elettronica generano, raccolgono e conservano, in modo preventivo e generalizzato, i log relativi all’invio e alla ricezione dei messaggi, generano così il rischio che si possa risalire, anche indirettamente, all’identità della persona segnalante, specialmente nel caso in cui quest’ultima utilizzi la casella di posta elettronica fornita dal datore di lavoro. Proprio per questo viene richiesto di specificare idonee misure di mitigazione del rischio in sede di svolgimento della valutazione di impatto ( DPIA ), ai sensi dell’art. 35 GDPR sulla protezione dei dati.
Il supporto delle piattaforme informatiche – Tra le misure di mitigazione del rischio, il Garante privilegia l’utilizzo di piattaforme informatiche specialistiche perché idonee a garantire un maggior livello di riservatezza mediante la cifratura dei dati.
Esternalizzazione della piattaforma - Rispetto alle prime linee guida del 2023, viene considerata l’ipotesi di casi in cui la fornitura dell’ infrastruttura informatica sia affidata ad un fornitore che tratta i dati in qualità di responsabile del trattamento ex art. 28 GDPR. Viene, inoltre, considerata la possibilità di condivisione del canale tra più soggetti co-titolari del trattamento ai sensi dell’ art. 26 GDPR , purché siano adottate misure tecniche e organizzative capaci di garantire che ciascun soggetto possa visualizzare esclusivamente le segnalazioni di propria competenza. Le nuove linee guida forniranno, dunque, indicazioni utili a riguardo.
Gruppi societari – Relativamente alle società che affidano la gestione del canale alla capo gruppo, il Garante chiede uno sforzo ulteriore per eliminare le persistenti ambiguità già rilevate nella precedente versione delle linee guida.
Tempi di conservazione – Le nuove linee guida rispondono anche all’esigenza di definire tempi certi, al più tardi decorsi cinque anni, per la conservazione delle segnalazioni e della documentazione collegata ( ad es. procedimento disciplinare e trasmissione degli atti alle autorità competenti ) .
In linea con gli orientamenti già espressi negli ultimi anni, il Garante sottolinea che le nuove Linee guida rappresentano un riferimento utile per tutti i datori di lavoro, pubblici e privati, chiamati ad attivare o aggiornare i propri canali di whistleblowing in un apposito atto organizzativo/ MOG231. L’approccio richiesto è quello dell’accountability: non basta rispettare formalmente la normativa, ma occorre adottare misure tecniche e organizzative adeguate e proporzionate ai rischi del trattamento. Tra queste rientrano, ad esempio, soluzioni che evitino la tracciabilità della persona che effettua la segnalazione quando accede ai canali informatici interni dell’organizzazione, così da prevenire qualsiasi forma di identificazione indiretta tramite dati inferenti
L’intervento congiunto di ANAC e Garante va quindi nella direzione di un sistema più maturo, capace di proteggere davvero chi decide di segnalare un illecito. Una maggiore chiarezza normativa e una più attenta gestione dei dati rappresentano un passo concreto verso un whistleblowing più sicuro, efficace e rispettoso dei diritti di tutte le persone coinvolte.
WST Law & Tax