Whistleblowing e privacy: ecco le nuove Linee guida dell’ANAC

L’ANAC ha approvato nuove linee guida per il whistleblowing rivolte alle pubbliche amministrazioni ed altri enti locali.

L’Autorità nazionale anticorruzione (ANAC) ha approvato le linee guida per il whistleblowing rivolte alla pubblica amministrazione e altri enti locali tenuti ad adottare misure di protezione per il dipendente che segnali reati o irregolarità che attengono all’amministrazione di appartenenza. Sebbene siano applicabili solo ai soggetti pubblici, rappresentano una buona indicazione circa le aspettative da parte delle autorità italiane rispetto a sistemi di whistleblowing.

Le Linee Guida pongono particolare attenzione alla tutela della privacy del whistleblower, del segnalato ed allo svolgimento di attività di formazione in seno alla PA preordinate a mitigare il rischio di violazione della normativa applicabile in materia di privacy.

La deliberazione ANAC datata 9 giugno 2021, n. 469 recante “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis, del D.Lgs. 165/2001 (c.d. whistleblowing)” sancisce l’adozione delle nuove Linee Guida in materia di whistleblowing, che recepiscono i principi della Direttiva UE 2019/137.

Le Linee Guida sono, inoltre, volte a consentire alle amministrazioni e agli altri soggetti destinatari delle stesse di adempiere correttamente agli obblighi derivanti dalla disciplina di protezione dei dati personali (Regolamento (UE) 2016/679), adeguato alle disposizioni del GDPR tramite il D.Lgs. 10 agosto 2018, n. 101.

Le Linee Guida sono suddivise in tre parti:

  • la prima parte introduce i principali cambiamenti sull’ambito di applicazione soggettiva del whistleblowing, con riferimento sia ai soggetti (pubbliche amministrazioni e altri enti) tenuti a dare attuazione alla normativa, che ai soggetti beneficiari della stessa (i.e., i whistleblowers). Vengono fornite, inoltre, indicazioni sulle caratteristiche e sull’oggetto della segnalazione, sui margini, tempistiche e limiti delle tutele garantite ai segnalatori. Nella prima sezione, le Linee Guida dedicano ampio spazio all’offerta di ogni possibile garanzia al whistleblower, per evitare che il timore di un’insufficiente garanzia o di misure ritorsive possa dissuadere un segnalatore dall’attivarsi;
  • nella seconda parte sono delineati i principi generali in materia di gestione della segnalazione, prestando particolare attenzione alle misure tecniche ed organizzative utilizzate nelle procedure di whistleblowing informatizzate. In particolare, nel caso in cui l’applicativo utilizzato per acquisire e gestire le segnalazioni sia fornito da un soggetto terzo che offra anche altri servizi quali la manutenzione o la conduzione applicativa, o altri servizi informatici che comportano il trattamento di dati per conto dell’amministrazione, o nel caso in cui l’amministrazione si doti di un sistema offerto in Cloud o in modalità SaaS (Software as a Service), le Linee Guida prescrivono che tale soggetto terzo si inquadrato quale “autorizzato” al trattamento. Quest’ultima previsione non tarderà a sollevare numerose perplessità. Analogamente, opera in qualità di “autorizzato” al trattamento il personale dell’amministrazione con mansioni di manutenzione e conduzione applicativa del sistema. La seconda parte delle Linee Guida è, inoltre, focalizzata sul ruolo e le responsabilità del Responsabile prevenzione corruzione e trasparenza (RPCT).
  • nella terza parte è definito l’ambito procedurale inerente l’esercizio del potere sanzionatorio dell’ANAC; in particolare con riferimento alle modalità con cui è possibile mitigare il rischio di misure ritorsive, che potrebbero mortificare la ratio dell’intera infrastruttura di whistleblowing.

Le Linee Guida pongono particolare attenzione alla protezione dell’anonimato del whistleblower ed all’adozione di misure di mitigazione del rischio di ritorsioni.

A tal riguardo, l’ANAC prevede lo svolgimento di apposite attività di formazione cui destinare l’RPCT e i componenti del gruppo di lavoro per le segnalazioni, di modo che il trattamento dei dati inerente alla procedura di whistleblowing sia condotto in ogni caso nel rispetto della normativa in materia di privacy. In tal senso, in caso di violazioni della normativa privacy applicabile la responsabilità dell’illecito sarà sempre riferibile al titolare del trattamento, quindi la PA o l’ente.

Per quanto concerne la segnalazione di misure ritorsive, il documento prevede una specifica comunicazione all’ANAC, che dovrà accertare se la misura ritorsiva sia conseguente alla condotta del dipendente: qualora sia questo il caso, l’Autorità commina la sanzione prevista. Al fine di rafforzare le misure a tutela della riservatezza di cui sopra, le Linee Guida suggeriscono l’introduzione nei codici di comportamento, adottati ai sensi dell’art. 54, co. 5, del D.Lgs. 165/2001, di forme di responsabilità specifica in capo al RPCT che riceve e gestisce le segnalazioni, nonché in capo a tutti gli altri soggetti che nell’amministrazione possano conoscere la segnalazione, con i dati e le informazioni in essa contenuti.

Come precedentemente indicato, le Linee Guida accordano una tutela anche ai soggetti interessati, in linea con il GDPR. Tenuto conto della specificità del contesto lavorativo, il titolare del trattamento dovrà, in ogni caso, adottare cautele particolari al fine di evitare la indebita circolazione di informazioni personali, non solo verso l’esterno, ma anche all’interno degli uffici dell’amministrazione in capo a soggetti non autorizzati al trattamento dei dati, anche mediante una corretta configurazione dei sistemi di protocollo informatico.

Su un argomento simile potrebbe essere interessante l’articolo “Il Tribunale di Roma si pronuncia sulla responsabilità delle piattaforme di video sharing”.