Whistleblowing: pubblicate le nuove linee guida Anac

Reading Time: 9 minutes

Whistleblowing. Ne hai mai sentito parlare? Se ti senti curioso, continua a leggere!

Di recente, infatti, il Consiglio di ANAC ha approvato le linee guida per il whistleblowing.

1. Whistleblowing: Che cosa si intende?

Se guardiamo alla forma originale, il composto inglese è parafrasabile letteralmente come ‘chi soffia (blower) nel fischietto (whistle)’, ed è riferita all’azione dell’arbitro nel segnalare un fallo o a quella di un poliziotto che tenta di fermare un’azione illegale.

Si tratta di una parola che in italiano neppure esiste. Ma non solo manca la parola: all’interno del contesto socio-culturale italiano il termine whistleblower, ha assunto perfino una connotazione negativa. Basti pensare che sulle pagine dei quotidiani italiani, il termine è stato tradotto con parole come spiadelatoretalpainformatore o anche spifferatore,soffiatore… termini che non garantiscono l’equivalenza né denotativa né connotativa con whistleblower, perché veicolano connotazioni negative di segretezza e anonimato legati a slealtà, al tradimento di un patto di fiducia siglato con qualcuno.

Questi termini, è superfluo sottolinearlo, non consentano di associare la condotta del whistleblower a un comportamento etico, virtuoso o una qualche manifestazione di senso civico.

In verità, qualche equivalente in Italia esiste. Con la legge 190 del (6 novembre 2012), c.d. legge “anticorruzione”, la normativa italiana utilizza l’espressione segnalatore o segnalante d’illeciti. Questo è il termine utilizzato per definire colui che denuncia pubblicamente o riferisce alle autorità, attività illecite o fraudolente all’interno di un’organizzazione. Il segnalante spesso é un dipendente ma può anche essere una terza parte, per esempio un fornitore o un cliente.

2. Whistleblowing: riferimenti normativi

Ricordiamo che in Italia l’istituto giuridico del Whistleblowing è stato introdotto dalla suddetta legge n. 190/2012, che ha modificato il d.lgs. 30 marzo 2001 n. 165, inserendo l’art. 54-bis rubricato “Tutela del dipendente pubblico che segnala illeciti”. Tale norma prevede un regime di tutela del dipendente pubblico che segnala condotte illecite di cui sia venuto a conoscenza, in ragione del rapporto di lavoro.

L’ultima riforma dell’istituto si deve alla legge 30 novembre 2017 n. 179, «Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato», entrata in vigore il 29 dicembre 2017.

Suddetta legge, oltre a potenziare la tutela del whistleblower impiegato nel settore pubblico, ha esteso la disciplina del whistleblowing anche al settore privato.

Di recente l’ANAC, con delibera resa nota in data 25/06/2021, ha approvato le nuove linee guida per il whistleblowing, rivolgendosi alle pubbliche amministrazioni e agli altri enti indicati dalla legge tenuti a prevedere misure di tutela per il dipendente che segnala condotte illecite che attengono all’amministrazione di appartenenza.

L’obiettivo? fornire indicazioni sull’applicazione della normativa, anche per i possibili “segnalanti”.

Attenzione! Nella predisposizione delle Linee guida, l’Autorità ha considerato i principi espressi in sede europea dalla Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e dovrà essere recepita entro due anni. Per tale ragione, le linee guida presentano un carattere transitorio nei limiti in cui potranno essere successivamente adeguate rispetto al recepimento della citata Direttiva.

3. Whistleblowing: le linee guida

Le Linee guida sono suddivise in tre parti:

  • La prima parte riguarda l’ambito di applicazione. Tenendo conto dei principali cambiamenti intervenuti sull’ambito soggettivo di applicazione dell’istituto, con riferimento sia ai soggetti tenuti a dare attuazione alla normativa, sia ai c.d. whistleblowers beneficiari del regime di tutela.

Ricordiamo che con la nuova formulazione dell’art. 54-bis viene ampliata la platea dei soggetti destinatari (il previgente art. 54-bis, si riferiva genericamente ai “dipendenti pubblici”)

La nuova formulazione dell’art. 54-bis include espressamente, al comma 2, nella nozione di dipendente pubblico le seguenti tipologie di lavoratori:

– i dipendenti delle amministrazioni pubbliche di cui all’art. 1, comma 2 del d.lgs. n. 165 del 2001 ivi compreso il dipendente di cui all’art. 3;

– i dipendenti degli enti pubblici economici;

– i dipendenti di enti diritto privato sottoposti a controllo pubblico ai sensi dell’articolo 2359 del codice civile;

– i lavoratori e collaboratori delle imprese fornitrici di beni o servizi e che realizzano opere in favore dell’amministrazione pubblica.

Sempre nella prima parte, vengono fornite indicazioni sulle caratteristiche e sull’oggetto della segnalazione e le comunicazioni di misure ritorsive. Infine, vengono indicate le modalità e i tempi di tutela, nonché le condizioni che impediscono di beneficiare della stessa.

  • Nella seconda parte vengono enunciati i principi di carattere generale che riguardano le modalità di gestione della segnalazione preferibilmente in via informatizzata. Si definisce il ruolo fondamentale svolto dai responsabili della prevenzione della corruzione e della trasparenza (RPCT) e si forniscono indicazioni operative sulle procedure da seguire per la trattazione delle segnalazioni.
  • La terza parte affronta le procedure gestite da ANAC cui è attribuito uno specifico potere sanzionatorio ai sensi del comma 6 dell’art. 54-bis. Nello specifico:

– Le modalità di presentazione delle segnalazioni e delle comunicazioni

– La gestione delle segnalazioni

– La gestione delle comunicazioni di misure ritorsive o discriminatorie

– La perdita di tutela nel corso del procedimento anac

4. Whistleblowing: la tutela della riservatezza e la protezione dei dati personali

Poiché l’acquisizione e gestione della segnalazione dà luogo al “trattamento” di dati personali riferiti:

  • a “interessati”, ovvero alle persone fisiche (identificate o identificabili) che inoltrano una segnalazione
  • a soggetti indicati come possibili responsabili delle condotte illecite o a vario titolo coinvolti nelle vicende segnalate

è necessario tenere in considerazione le responsabilità e gli adempimenti previsti dalla normativa in materia di protezione dei dati personali.

Nella premessa, infatti, le linee guida specificano che uno degli obiettivi perseguiti è proprio quello di consentire alle amministrazioni e agli altri soggetti destinatari delle stesse di adempiere correttamente agli obblighi derivanti dalla disciplina di protezione dei dati personali.

Innanzitutto, al fine di evitare l’esposizione del segnalante a misure ritorsive che potrebbero essere adottate a seguito della segnalazione all’interno dell’ente, Il co. 3 dell’art. 54-bis impone all’amministrazione, che riceve e tratta le segnalazioni, di garantire la riservatezza dell’identità del segnalante. Di conseguenza la segnalazione è espressamente sottratta all’accesso previsto dalla legge n. 241/1990, e successive modificazioni.

Attenzione! Anche la normativa italiana sulla protezione dei dati prevede una specifica disposizione a tutela della riservatezza dell’identità del segnalante. Si tratta dell’art. 2-undecies nel d.lgs. 30 giugno 2003, n. 196 (come modificato dal dlgs n.101/2018). La norma richiamata stabilisce che, nell’ambito di una segnalazione whistleblowing, il soggetto segnalato, presunto autore dell’illecito, con riferimento ai propri dati personali trattati dall’Amministrazione, non può esercitare i diritti previsti dagli articoli da 15 a 22 del Regolamento(UE) 679/2016 poiché dall’esercizio di tali diritti potrebbe derivare un pregiudizio alla tutela della riservatezza dell’identità del segnalante.

5. Whistleblowing: gestione delle segnalazioni

Sul piano operativo ANAC, con la Delibera n. 6 del 2015, aveva individuato, quale strada prioritaria per tutelare la riservatezza del segnalante, la gestione in via informatizzata delle segnalazioni.

Tuttavia, sarà l’amministrazione a disciplinare, in conformità alle presenti Linee guida, le modalità per la ricezione e la gestione delle segnalazioni, definendo, e tra l’altro, i tempi e i soggetti responsabili.

L’amministrazione che non ha automatizzato il processo di gestione delle segnalazioni, a causa di specifiche difficoltà organizzative da motivare adeguatamente, può, in via residuale, utilizzare canali e tecniche tradizionali da disciplinare nel Piano Anticorruzione PTPCT o nell’atto organizzativo indicando, in aggiunta, gli strumenti previsti per garantire la riservatezza dell’identità del segnalante, del contenuto delle segnalazioni e della relativa documentazione, in conformità a quanto previsto dalla legge. Ad esempio, può essere prevista la trasmissione cartacea della segnalazione in busta chiusa indirizzata al RPCT con la dicitura “riservata/personale”.

Con riguardo alle segnalazioni pervenute mediante canali diversi dalla procedura informatica, si ritiene opportuno che queste siano protocollate in apposito registro riservato

Vediamo nel presente paragrafo cosa dovrà fare l’amministrazione nel caso in cui decida di adottare un sistema applicativo informatico di gestione delle segnalazioni.

Innanzitutto, ci dicono le linee guida, dovrà darne notizia nella home page del proprio sito istituzionale in modo chiaro e visibile.

Tuttavia, anche al fine di evitare usi impropri del sistema, l’indirizzo web della piattaforma, sebbene raggiungibile da Internet, potrà non essere reso pubblico sul sito istituzionale dell’amministrazione. In tal caso, esso potrà essere reso noto ai soggetti interessati esterni all’amministrazione (lavoratori e collaboratori delle imprese che realizzano opere in favore della p.a.) per altre vie (ad es. mediante comunicazione diretta del link al momento della sottoscrizione del contratto).

Vediamo adesso la definizione dei ruoli con riferimento alla protezione dei dati perdonali:

  • il personale dell’amministrazione con mansioni di manutenzione e conduzione applicativa del sistema, opera in qualità di “autorizzato” al trattamento, non già come responsabile ai sensi dell’art. 28 del Regolamento.
  • I fornitori dei servizi informatici che, trattando i dati personali per conto del titolare (sia nel caso in cui la procedura informatica di acquisizione e gestione delle segnalazioni risieda presso il titolare sia nel caso in cui venga fornita in modalità “software as a service”), agiscono quali responsabili del trattamento (art. 28 del Regolamento);

6. Whistleblowing: Misure tecniche e organizzative

Vediamo adesso le misure tecniche e organizzative idonee a garantire la tutela dell’identità del segnalante. La procedura di gestione delle segnalazioni utilizzata deve:

  • prevedere l’accesso sicuro e protetto all’applicazione per tutti gli utenti mediante l’adozione di sistemi di autenticazione e autorizzazione opportuni. Le modalità di accesso alla piattaforma possono prevedere sistemi di autenticazione informatica basati su tecniche di strong authentication, sulla base di valutazioni effettuate caso per caso anche in ragione delle specificità del contesto tecnologico, della dimensione dell’ente titolare, del numero di utenti e della ricorrenza di specifiche situazioni di criticità ambientali
  • adottare accorgimenti per anonimizzare la segnalazione e la documentazione allegata al fine di evitare che dalle informazioni e dai fatti ivi descritti sia possibile risalire all’identità del segnalante; Ad esempio: disaccoppiamento dei dati del segnalante rispetto alle informazioni relative alla segnalazione, crittografia dei dati e dei documenti allegati.
  • Nel caso in cui l’accesso all’applicazione sia mediato da dispositivi firewall o proxy, l’amministrazione deve garantire la non tracciabilità del segnalante nel momento in cui viene stabilita la connessione anche mediante l’impiego di strumenti di anonimizzazione dei dati di navigazione (ad es. tramite protocollo di trasporto https e accesso mediato dalla rete TOR);
  • tracciare l’attività degli utenti del sistema nel rispetto delle garanzie a tutela del segnalante, al fine di evitare l’uso improprio di dati relativi alla segnalazione. I relativi log devono essere adeguatamente protetti da accessi non autorizzati e devono essere conservati per un termine congruo rispetto alle finalità di tracciamento. Deve essere evitato il tracciamento di qualunque informazione che possa ricondurre all’identità o all’attività del segnalante. Il tracciamento può essere effettuato esclusivamente al fine di garantire la correttezza e la sicurezza del trattamento dei dati;
  • consentire in qualsiasi momento, tramite l’applicazione, la fruibilità della documentazione custodita, ad es. al fine di evitare il download o, soprattutto, la stampa della stessa;

Sempre al fine di garantire la sicurezza e la riservatezza delle informazioni raccolte occorre altresì effettuare idonee scelte relativamente a:

  • modalità di conservazione dei dati (fisico, logico, ibrido);
  • politiche di accesso ai dati (funzionari abilitati all’accesso, amministratori del sistema informatico);
  • politiche di sicurezza (ad es. modifica periodica delle password);
  • tempo di conservazione (durata di conservazione di dati e documenti);

L’amministrazione è obbligata all’ attivazione di suddette procedure?

Si, lo è! La mancata attivazione di procedure, così come l’adozione di procedure non conformi a quelle indicate nelle presenti Linee guida per l’inoltro e la gestione delle segnalazioni, è sanzionabile da parte dell’Autorità.

Nelle linee guida viene infatti raccomandata l’adozione di un idoneo modello organizzativo che definisca le responsabilità in tutte le fasi del processo di gestione delle segnalazioni, con particolare riguardo agli aspetti di sicurezza e di trattamento delle informazioni. Tali misure trovano specifica applicazione in relazione alle caratteristiche del sistema informatico realizzato e, tipicamente, si inseriscono nell’ambito dei presidi di sicurezza delle informazioni di carattere tecnico ed organizzativo predisposti dall’amministrazione nella gestione dei sistemi informativi.

Chi è il soggetto legittimato, per legge, a trattare i dati personali del segnalante e, eventualmente, a conoscerne l’identità?

Le linee guida nella seconda parte, ci dicono che è Il RPCT, il quale può coincidere con il custode dell’identità. Chi è il custode dell’identità? E’ il soggetto individuato dall’amministrazione che, su esplicita e motivata richiesta, consente al RPCT di accedere all’identità del segnalante. Bisogna sottolineare che l’identità del segnalante non è nota al custode, il quale non è coinvolto nel trattamento dati personali presenti nella segnalazione. Tuttavia, tale ruolo può anche coincidere con quello di RPCT.

Attenzione, In ogni caso, è opportuno che la scelta del soggetto individuato quale custode dell’identità, ricada su un dipendente dell’amministrazione dotato di requisiti di imparzialità e indipendenza. Resta fermo che, sebbene quest’ultimo non tratti direttamente i dati relativi al segnalante e quelli contenuti nella segnalazione, lo stesso opera in qualità di “autorizzato” al trattamento.

Qual è la base giuridica?

In questo ambito, i trattamenti di dati personali effettuati dai soggetti obbligati possono essere considerati necessari per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento e con riguardo a categorie particolari di dati o a dati relativi a condanne penali e reati, possono, altresì, essere considerati necessari per l’esecuzione di un compito di interesse pubblico contemplato dall’ordinamento.

Quali sono gli obblighi del titolare?

Il titolare del trattamento è comunque tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

E l’informativa?

Inoltre, il titolare ha l’obbligo di fornire agli interessati l’informativa sul trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento. Le linee guida evidenziano che, eventualmente, l’amministrazione può acquisire, già in fase di segnalazione, il consenso del segnalante a rivelare l’identità all’ufficio di disciplina.

Come deve essere l’informativa? L’informativa, può essere, ad esempio, inclusa nell’atto organizzativo adottato dall’amministrazione per la gestione delle segnalazioni ovvero pubblicata in un’apposita sezione dell’applicativo informatico utilizzato per l’acquisizione e gestione delle segnalazioni.