Il recente parere del Garante Privacy sugli schemi di Linee guida Anac in materia di whistleblowing – sia per i canali interni (messe in consultazione a fine 2024) sia per la modifica e integrazione delle Linee guida sul whistleblowing emanate nel 2023 – segna un ulteriore consolidamento dell’intero sistema italiano di gestione delle segnalazioni.

Ecco cosa conferma il documento.

Garante Privacy sulle indicazioni Anac per il whistleblowing: i criteri per i canali interni

Il documento conferma la sostanziale coerenza tra le due Linee Guida e la disciplina del D.lgs. 24/2023 e le garanzie richieste dal GDPR, il Regolamento generale sulla protezione dei dati, con alcuni fine tuning a cui è utile porre attenzione sin d’ora per gli aspetti privacy, essendo voce dell’Authority competente.

Il Garante valuta positivamente l’impostazione generale delle Linee guida Anac sui canali interni, riconoscendo che:

• l’impianto normativo è correttamente ricostruito;
• la disciplina di dettaglio è pienamente compatibile con gli obblighi privacy;
• le misure tecniche e organizzative richieste sono definite in modo molto concreto.

Dal parere emerge l’esigenza che i canali interni devono essere progettati secondo criteri di sicurezza avanzata: cifratura, anonimato della connessione, assenza di log identificativi, accessi strettamente selettivi. La piattaforma dedicata resta lo strumento preferenziale.

Un tagliando manutentivo

Il parere permette agli enti di avviare già ora un opportuno tagliando manutentivo, con riguardo alla tutela dei dati personali, dei sistemi di segnalazione già attivi per misurarne l’adeguatezza della loro impostazione, delle piattaforme informatiche, dei flussi procedurali e dei rapporti con eventuali fornitori.

Ecco i principali aspetti sistematizzati con interlocuzioni informali con l’Anac, su cui su cui si è soffermato il Garante:

• centralità della valutazione di impatto (DPIA);
• conservazione limitata e cancellazione;
• gestione delle segnalazioni e formazione;
• ruoli chiari nelle esternalizzazioni e nelle condivisioni;
• limiti della posta elettronica e di quella cartacea;
• sicurezza tecnica dei canali interni;
• enti del terzo settore;
• la valutazione della previsione di forme più robuste di identificazione;
• la riservatezza del segnalante.

Centralità della valutazione di impatto (DPIA)

La DPIA è obbligatoria e deve essere svolta dal titolare del trattamento anche acquisendo, con riguardo alla soluzione tecnologica adottata, informazioni e documentazione dal fornitore tecnologico (a cui non può essere delegato questo adempimento, ma del cui supporto possono avvalersi).

In sostanza, possiamo ricavarne, la DPIA non è un atto “accessorio”, statico, ma un vero presidio tecnico-normativo da mantenere aggiornato.

Conservazione limitata e cancellazione

La documentazione deve essere cancellata entro cinque anni dall’esito finale della procedura, salvo gli atti necessari ai procedimenti avviati.

Gestione delle segnalazioni e formazione

Il personale che gestisce il canale deve essere specificamente autorizzato e formato, non solo sulle procedure whistleblowing, ma anche sui profili di protezione dei dati personali.

Ruoli chiari nelle esternalizzazioni e nelle condivisioni

Quando la gestione del canale o della piattaforma è affidata all’esterno, il soggetto incaricato opera come responsabile del trattamento e quindi va impostato un rapporto coerente con l’art. 28 del GDPR.

Per gli enti soggetti alla legge sulla responsabilità amministrativa (D.lgs. 231/2001) l’esigenza di definire in un apposito atto organizzativo/MOG 231, i compiti e i poteri del soggetto destinatario delle segnalazioni, le modalità per il loro ricevimento e il processo di gestione delle stesse.

Per i gruppi societari viene definitivamente chiarito che la capogruppo non può essere considerata contitolare, ma responsabile del trattamento nel caso di canale interno unico per il gruppo.

Con riguardo alla condivisione del canale di segnalazione, possibile per gli enti di minori dimensione, gli stessi debbano stipulare un apposito accordo, ai sensi dell’art. 26 del GDPR e definire misure tecnico-organizzative adeguate per segmentare l’accesso solo alle segnalazioni di pertinenza di ciascun ente.

Limiti della posta elettronica e di quella cartacea

L’utilizzo di email – ordinaria o PEC – non è considerato adeguato a garantire la riservatezza del segnalante, perché i sistemi di posta generano e conservano metadati e log che possono rendere identificabile il segnalante.

L’email può quindi essere usata solo con misure di mitigazione ben documentate e valutate nell’ambito della DPIA. Viene inoltre rammentata l’esigenza di particolari cautele (per esempio, doppia busta con protocollazione riservata) per le segnalazioni cartacee.

Su tale questione sarebbe auspicabile un chiarimento, nelle Linee guida anche d’intesa con l’AgID, se tali segnalazioni debbano confluire anche nel sistema di gestione documentale di cui al Codice dell’Amministrazione digitale.

Sicurezza tecnica dei canali interni

Si sottolinea la preferenza per l’utilizzo di piattaforme informatiche, dal momento che consentono di adottare stringenti misure di sicurezza e assicurare un maggiore livello di protezione dei dati personali tanto nella fase di acquisizione delle segnalazioni quanto in quella di gestione delle stesse, nonché, ove adeguatamente progettate e configurate, di assicurare la cifratura dei dati a riposo e di mantenere un’interlocuzione riservata con la persona segnalante.

Inoltre, si deve garantire la non tracciabilità della persona segnalante anche allorché la segnalazione avvenga tramite la rete interna (anche con riguardo a firewall e proxy).

Peraltro, nel caso il segnalante preferisca la forma orale per la segnalazione, sarebbe utile chiarire se, nel caso di verbalizzazione, sussista l’obbligo per il segnalante di sottoscrivere la stessa o meno (nelle versione messa in consultazione delle Linee guida viene detto che nel caso non si possa procedere alla registrazione si dovrà “redigere un verbale che dovrà essere sottoscritto anche dalla persona segnalante”, sottoscrizione non specificata obbligatoriamente nelle norme europea e italiana).

Gli enti del terzo settore

Ffra i punti trattati, se richiama quello afferente gli enti del terzo settore, deputati a fornire misure di sostegno: per tali enti, a cui le Linee guida da emanare dedicano uno dei tre approfondimenti (gli altri due riguardano: il rapporto tra disciplina whistleblowing e modello organizzativo 231; la gestione del canale nei gruppi societari) , si dice che devono “prestare servizi nei limiti previsti dalla normativa nazionale ed eurounitaria”.

La valutazione della previsione di forme più robuste di identificazione

Con specifico riguardo alle Linee guida del 2023, fra gli aspetti menzionati nel parere del Garante vi è la valutazione positiva della previsione di forme più robuste di identificazione (con sistemi OTP per SPID o CNS non precedentemente utilizzati), nell’accesso alla piattaforma da parte di altre autorità competenti o altri enti.

La riservatezza del segnalante

Importante è la nuova indicazione che riguarda il caso in cui le segnalazioni non abbiano i requisiti per essere considerata ai fini del whistleblowing.

In tal caso il Garante indica che “sia comunque assicurata la riservatezza del segnalante, in ragione della ragionevole aspettativa di riservatezza e tutela della persona” che ha effettuato la segnalazione reputando di poter beneficiare delle previsioni del D.lgs. 24/2023.

Su tale aspetto, peraltro, sarebbe opportuno un chiarimento da parte dell’ANAC e del Garante, poiché la disciplina della riservatezza dell’art. 12 D.lgs. 24/2023 non risulta applicabile alle segnalazioni improprie.

Il whistleblower può ricorrere al canale di segnalazione esterno

Sebbene il parere del Garante non affronti direttamente il tema delle segnalazioni whistleblowing alle Istituzioni Ue, appare utile un approfondimento (nelle predette Linee guida o anche nel Regolamento dell’Anac sulla gestione del canale esterno ed esercizio del potere sanzionatorio) con riguardo alle possibilità per il whistleblower di ricorrere al canale di segnalazione esterno, atteso che:

• la normativa europea e nazionale consente il ricorso a tale canale al ricorrere di specifiche circostanze (canale interno non attivato o mancato seguito dato alla segnalazione, timore di che non venga dato seguito efficace o, anche, quando il segnalante reputi che la violazione possa costituire un pericolo imminente o palese per l’interesse pubblico), lasciando al whistleblower di poter ricorrere, in alternativa al canale esterno nazionale (per l’Italia quello dell’Anac) a quello delle competenti Istituzioni UE, fruendo comunque delle tutele previste per i segnalanti (cfr art. 6 della Direttiva UE e artt. 6 e 16 del D. Lgs. che lo regola in Italia);
• aumentano le fattispecie (l’ultima per l’AI Act) per le quali la Commissione UE ha attivato un proprio canale per le segnalazioni esterne.

Quantomeno, a beneficio dei segnalanti e del sistema nazionale, sarebbe utile che su ciò venisse fatta apposita divulgazione e (d’intesa con l’UE) fornire istruzioni univoche su quando sia più appropriato il ricorso canale esterno Ue rispetto a quello nazionale e su come poter chiedere, anche segnalando la questione all’Ue, la protezione da eventuali misure di ritorsione.

Si consolida il sistema italiano di whistleblowing

Il parere del Garante si colloca in un momento cruciale del consolidamento del sistema italiano di whistleblowing e offre agli enti un’occasione per riallineare modelli organizzativi, infrastrutture tecnologiche e presidi privacy.

Le indicazioni dell’Autorità non si limitano a chiarire la coerenza normativa tra GDPR, d.lgs. 24/2023 e Linee guida Anac, ma definiscono un vero standard operativo per la progettazione dei canali interni ed esterni e per il loro governo quotidiano.

Ne emerge un approccio fondato su accountability, sicurezza “by design” e netta tracciabilità dei ruoli, dove la DPIA diventa lo strumento di governo del rischio, la piattaforma informatica – quando adeguatamente configurata – costituisce il canale privilegiato, e i processi interni devono garantire una tutela effettiva, anche nei casi di segnalazioni improprie.

Per gli enti pubblici e privati questo significa poter dimostrare, con criteri esigibili e documentabili, l’adeguatezza del sistema e l’efficacia delle misure implementate, riducendo rischi sanzionatori e rafforzando la protezione delle persone coinvolte.

A guidare questo percorso può essere considerata, con il coinvolgimento ove nominato del DPO, la seguente check-list, pensata per tradurre le previsioni del parere in controlli concreti e immediatamente utilizzabili.

Infine, nel caso emergesse l’esigenza di aggiornare la procedura e l’assetto del canale interno per aspetti rilevanti, andrebbe vagliato e comunque appare opportuno – anche per una partecipata condivisione di questo strumento – un nuovo coinvolgimento delle organizzazioni sindacali, come previsto in sede di impianto del canale ai sensi dell’art. 4 del D.lgs. 24/2023.

Check-list operativa per il tagliando dei sistemi whistleblowing

Ecco la checklist:

• DPIA: È stata svolta una DPIA specifica sul canale? Valuta log, anonimato, cifratura, gestione email, accessi, retention, esternalizzazioni?
• Piattaforma tecnologica: Garantisce la non tracciabilità del segnalante? Prevede cifratura dei dati in transito e a riposo? Limita i log ai soli dati indispensabili? Consente dialogo riservato con il segnalante? Nel caso di condivisione del canale: rientra nella fattispecie ammessa? È stato definito un accordo di contitolarità? La piattaforma, nel caso sia utilizzabile da più enti, gestisce accessi segregati?
• Uso della posta elettronica: È usata come canale? In quali casi? Sono definite e documentate le misure di mitigazione necessarie? Il personale è istruito a evitare l’utilizzo di caselle istituzionali per la segnalazione?
• Ruoli e responsabilità: I rapporti con eventuali fornitori sono aggiornati (art. 28 GDPR)? Nei gruppi societari la capogruppo è configurata come responsabile del trattamento? Nelle gestioni condivise, possibili solo per… esiste un accordo di contitolarità (art. 26)? Tutto il personale è stato autorizzato formalmente?
• Accessi e governance: Gli autorizzati vedono solo ciò che compete all’ente? Sono attivi audit periodici sugli accessi? Sono documentate le procedure interne?
• Gestione delle segnalazioni improprie: Esistono procedure per garantire riservatezza anche in caso di segnalazioni errate o non pertinenti?
• Conservazione e cancellazione: La retention è impostata a massimo cinque anni dall’esito? Sono previsti processi automatizzati o controllati di cancellazione? Gli atti relativi ai procedimenti avviati sono gestiti separatamente?
• Formazione e sensibilizzazione: Il personale coinvolto ha ricevuto formazione specifica che viene periodicamente aggiornata? La formazione include anche la materia della privacy?
• MOG 231 e informativa: Il modello 231 recepisce correttamente ruoli, flussi e misure privacy? L’informativa sul whistleblowing è aggiornata e facilmente accessibile? Considera anche di menzionare quanto di interesse per la persona segnalata?