VEDI ANCHE Newsletter del 4 agosto 2023

[doc. web n. 9912239 ]

Parere sullo Schema di Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali – procedure per la presentazione e gestione delle segnalazioni esterne - 6 luglio 2023

Registro dei provvedimenti
n.  304 del 6 luglio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l'avv. Guido Scorza, componente e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTA la direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione (c.d. “whistleblowing”) (di seguito, Direttiva);

VISTO il parere del Garante sullo schema di decreto legislativo recante attuazione della Direttiva, adottato con provvedimento dell’11 gennaio 2023, n. 1 (doc. web n. 9844945);

VISTO il d.lgs. 10 marzo 2023, n. 24 (Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali  - di seguito, Decreto), con il quale la Direttiva è stata recepita nell’ordinamento interno e le cui disposizioni hanno effetto a decorrere dal 15 luglio 2023, fatte salve talune eccezioni (ossia la decorrenza dal 17 dicembre 2023 per i soli soggetti del settore privato che hanno impiegato nell'ultimo anno una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a duecentoquarantanove; v. art. 24, commi 1 e 2, del Decreto);

CONSIDERATO che il Decreto assicura nell’ordinamento interno la protezione delle persone che segnalano violazioni di disposizioni normative nazionali o dell'Unione europea che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell'ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato (art. 1, comma 1, del Decreto);

CONSIDERATO, altresì, che le condotte o le omissioni oggetto di segnalazione possono consistere, in particolare, in violazioni del diritto nazionale (illeciti civili, illeciti amministrativi, illeciti penali, illeciti contabili, condotte illecite rilevanti ai sensi del d.lgs. n. 231/2001, violazioni dei modelli di organizzazione e gestione previsti nel d.lgs. n. 231/2001), nonché in violazioni della normativa dell’Unione europea indicata nell’Allegato 1 al Decreto e di tutte le disposizioni nazionali che ne danno attuazione e che, in tale ambito, sono indicate anche le disposizioni a “tutela della vita privata e dei dati personali e sicurezza delle reti e dei sistemi informativi”, (art. 2, comma 1, lett. a), nn. 1-6, e lett. J) All. 1 del Decreto, con specifico riferimento al Regolamento e al Codice);

CONSIDERATO che la persona segnalante è, in base a tale disciplina di settore, la persona fisica che effettua la segnalazione o la divulgazione pubblica di informazioni sulle violazioni acquisite nell'ambito del proprio contesto lavorativo (art. 2, co. 1, lett. g), del Decreto), ovvero nel contesto delle attività lavorative o professionali, presenti o passate, nel cui ambito potrebbe rischiare di subire ritorsioni in caso di segnalazione o di divulgazione pubblica o di denuncia all'autorità giudiziaria o contabile (art. 2, comma 1, lett. i), del Decreto);

CONSIDERATO che la tutela approntata dal Decreto si applica non solo se la segnalazione, la denuncia o la divulgazione pubblica avvenga in costanza del rapporto di lavoro o di altro tipo di rapporto giuridico, ma anche anteriormente o successivamente alla costituzione del rapporto giuridico e, in particolare, se le informazioni sono state acquisite durante il processo di selezione o in altre fasi precontrattuali, o durante il periodo di prova, nonché successivamente allo scioglimento del rapporto giuridico se le informazioni sulle violazioni sono state acquisite nel corso dello stesso (art. 3, comma 4, del Decreto);

VISTO quanto disposto dal Decreto, con particolare riguardo a:

- l’ambito di applicazione soggettivo (art. 3);

- i soggetti del settore pubblico e privato obbligati ad attivare canali di segnalazione interna, i quali devono garantire, anche tramite il ricorso a strumenti di crittografia, la riservatezza dell'identità della persona segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione (art. 4);

- le condizioni per l'effettuazione di una segnalazione esterna all’Autorità Nazionale Anticorruzione (di seguito, ANAC) (art. 6);

- i canali di segnalazione esterna presso ANAC, da attivarsi anche tramite il ricorso a strumenti di crittografia, per garantire la riservatezza dell'identità della persona segnalante, della persona coinvolta e della persona menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione (art. 7);

- le attività che devono essere svolte da ANAC a fronte del ricevimento di una segnalazione esterna e quelle che devono essere svolte dalle competenti autorità amministrative nei casi in cui ANAC abbia provveduto a inoltrare alle stesse una segnalazione esterna avente ad oggetto informazioni sulle violazioni che non rientrano nella propria competenza (art. 8);

- le garanzie a tutela dell’identità del segnalante e della riservatezza degli interessati, anche con riguardo alla necessità che i dati siano trattati da personale espressamente autorizzato ai sensi degli articoli 29 e 32, par. 4, del Regolamento e dell' articolo 2-quaterdecies del Codice, nonché che la segnalazione sia sottratta all'accesso previsto dagli artt. 22 e ss. della l. 7 agosto 1990, n. 241, e dagli artt. 5 e ss. del d.lgs. 14 marzo 2013, n. 33 (art. 12);

- le specifiche garanzie in materia di trattamento dei dati personali, applicabili nell’ambito dell’acquisizione e gestione delle segnalazioni e, in particolare, la cancellazione dei dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione; la limitazione dei diritti di cui agli articoli da 15 a 22 del Regolamento, nei limiti di quanto previsto dall' articolo 2-undecies del Codice; il ruolo di titolari del trattamento dei soggetti pubblici e privati in relazione ai trattamenti connessi al ricevimento e alla gestione delle segnalazioni e la necessità di assicurare il rispetto dei princìpi generali in materia di protezione dei dati, nonché di adottare misure appropriate a tutela dei diritti e delle libertà degli interessati, fornendo, altresì, l’informativa sul trattamento dei dati personali agli stessi; la possibilità per i titolari del trattamento pubblici e privati di condividere le risorse per il ricevimento e la gestione delle segnalazioni, a condizione di determinare in maniera trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi in materia di protezione dei dati personali, agendo in qualità di contitolari del trattamento; la necessità che i titolari del trattamento pubblici e privati definiscano il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base di una valutazione d'impatto sulla protezione dei dati, e disciplinando il rapporto con eventuali fornitori esterni che, in qualità di responsabili del trattamento, trattano dati personali per loro conto (art. 13);

- il periodo di conservazione della documentazione inerente alle segnalazioni interne ed esterne per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione nonché le modalità anche informatiche di ricezione delle segnalazioni, ovvero oralmente anche attraverso una linea telefonica registrata, un sistema di messaggistica vocale registrato o nel corso di un incontro con il personale autorizzato (art. 14);

- le condizioni al ricorrere delle quali la persona segnalante che effettua una divulgazione pubblica beneficia della specifica protezione prevista dalla legge (art. 15);

- le condizioni al ricorrere delle quali le persone fisiche possono beneficiare delle misure di protezione previste dalla legge (art. 16);

- il divieto di atti ritorsivi nei confronti del segnalante e degli altri soggetti cui la legge ha esteso tale garanzia (quali, in particolare, facilitatori, persone legate al segnalante da stabile rapporto affettivo o di parentela, colleghi di lavoro) (art. 17) nonché gli specifici compiti istituzionali attribuiti ad ANAC al riguardo (art. 19);

- la limitazione della responsabilità del segnalante (art. 20) l’invalidità di rinunce e transazioni che hanno per oggetto i diritti riconosciuti dal Decreto (art. 22);

- il regime sanzionatorio derivante dalla violazione delle disposizioni del Decreto (art. 21);

- le norme transitorie e l’abrogazione delle disposizioni di cui all' articolo 54-bis del d.lgs. 30 marzo 2001 n. 65, l'art. 6, commi 2-ter e 2-quater, del d.lgs. 8 giugno 2001, n. 231 e l'art. 3 della l. 30 novembre 2017, n. 179 (art. 23 e 24);

VISTO l’art. 10, comma 1, del Decreto, ai sensi del quale “ANAC, sentito il Garante per la protezione dei dati personali, adotta, entro tre mesi dalla data di entrata in vigore del presente decreto, le linee guida relative alle procedure per la presentazione e la gestione delle segnalazioni esterne. Le linee guida prevedono l'utilizzo di modalità anche informatiche e promuovono il ricorso a strumenti di crittografia per garantire la riservatezza dell'identità della persona segnalante, della persona coinvolta o menzionata nella segnalazione, nonché del contenuto delle segnalazioni e della relativa documentazione”;

VISTA la nota del 1° giugno 2023 (prot. n. 42125) con la quale "ANAC, a seguito di preliminari interlocuzioni con l’Ufficio del Garante, ha trasmesso all’Autorità un primo “Schema di Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali – procedure per la presentazione e gestione delle segnalazioni esterne” – il quale è stato sottoposto al contempo a consultazione pubblica “in ragione degli stringenti termini fissati dalla legge per la loro adozione”;

VISTA la nota del 28 giugno 2023 (prot. n. 51088) con la quale, all’esito della consultazione pubblica e delle ulteriori interlocuzioni con l’Ufficio del Garante, è stato sottoposto all’Autorità un testo aggiornato del predetto schema di Linee guida ai fini di acquisire il prescritto parere, specificando in particolare la necessità di “poter giungere all’approvazione delle Linee guida nei termini di legge”;

CONSIDERATO che le Linee guida in questione sostituiranno le "Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)", adottate da ANAC con riguardo all’attuale quadro normativo in materia, vigente sino al 15 luglio 2023, in merito alle quali l’Autorità ha espresso il proprio parere con provvedimento del 4 dicembre 2019, n. 215 (doc. web. n. 9215763);

RILEVATO che il predetto schema di Linee guida si articola in una premessa, quattro parti (articolate in diversi paragrafi) e tre allegati, aventi ad oggetto rispettivamente:

- la ricostruzione del quadro normativo in materia e le principali novità intervenute per effetto della Direttiva e del Decreto (premessa);

- l’ambito di applicazione soggettivo del Decreto, con particolare riguardo agli enti del settore pubblico e privato tenuti a rispettare la disciplina, nonché ai segnalanti e agli altri soggetti che godono di protezione in caso di segnalazione, denuncia o divulgazione pubblica (parte I, par. 1);

- l’ambito di applicazione oggettivo del Decreto, con particolare riguardo a: l’oggetto della segnalazione (condotte segnalabili), i casi esclusi dall’applicazione della disciplina, l’attinenza al contesto lavorativo del segnalante o denunciante, l’irrilevanza dei motivi personali del segnalante o denunciante, gli elementi e le caratteristiche delle segnalazioni, le segnalazioni anonime e la loro trattazione, nonché le comunicazioni delle ritorsioni ad ANAC (parte I, par. 2);

- i canali di presentazione delle segnalazioni e le modalità di presentazione, con particolare riguardo a: i canali di segnalazione e le condizioni per accedervi, i canali interni, il canale esterno presso ANAC, la divulgazione pubblica, la denuncia all’Autorità giudiziaria, le tutele e le misure di sostegno, la tutela della riservatezza del segnalante e dell’identità delle persone segnalate (o coinvolte) e di altri soggetti, le garanzie per il trattamento dei dati personali, la tutela da eventuali ritorsioni, le limitazioni di responsabilità per il segnalante, nonché le misure di sostegno da parte di enti del terzo settore (parte I, par. 3);

- il canale esterno e il ruolo di ANAC nella gestione delle segnalazioni, con particolare riguardo alle modalità di presentazione e gestione delle segnalazioni (parte II, par. 1);

- le attività di ANAC in merito alle comunicazioni di ritorsioni (parte II, par. 2);

- la trasmissione delle informazioni alla Commissione europea (parte II, par. 3);

- le soluzioni tecnologiche della piattaforma informatica di ANAC (parte II, par. 4);

- la disciplina sanzionatoria (parte III);

- il regime transitorio (parte IV);

- l’elenco degli atti dell’Unione e delle disposizioni attuative nazionali cui i soggetti del settore privato indicati all’art. 2, co. 1, lett. q) n. 2 del Decreto devono far riferimento ai fini della loro inclusione nell’ambito soggettivo di applicazione del decreto (allegato 1);

- le modalità tecniche di trasmissione di una segnalazione da parte di ANAC nei casi previsti dall’art. 8, comma 2, del Decreto (allegato 2);

- la procedura di acquisizione di una segnalazione (allegato 3);

CONSIDERATO che l’acquisizione e gestione delle segnalazioni dà luogo a trattamenti di dati personali, anche appartenenti a particolari categorie di dati e relativi a condanne penali e reati, eventualmente contenuti nella segnalazione e in atti e documenti ad essa allegati, riferiti a interessati (persone fisiche identificate o identificabili) e, in particolare, i segnalanti o le persone indicate come possibili responsabili delle condotte illecite o quelle a vario titolo coinvolte nelle vicende segnalate (art. 4, par. 1, nn. 1) e 2), del Regolamento);

PRESO ATTO che, sebbene lo schema di Linee guida in questione abbia ad oggetto la presentazione e gestione delle segnalazioni inviate attraverso il c.d. canale esterno gestito da ANAC (art. 10 del Decreto), la stessa ha altresì ritenuto utile fornire taluni primi chiarimenti e principi di carattere generale che gli enti pubblici e privati, titolari del trattamento, potranno tenere in considerazione nell’ambito delle proprie scelte, sul piano organizzativo e tecnico, finalizzate all’istituzione e alla gestione dei propri canali di segnalazione interni, anche in coerenza con i principi di responsabilizzazione e di protezione dei dati fin dalla progettazione e per impostazione predefinita, nonché integrità e riservatezza dei dati (artt. 5, par. 1, lett. f), e par. 2 , 24, 25 e 32 del Regolamento; v. premessa allo schema di Linee guida);

RITENUTO che i trattamenti di dati personali posti in essere da ANAC, nell’ambito della gestione del canale di segnalazione esterno (non diversamente dai procedimenti amministrativi connessi alle competenze attribuitele dal Decreto) e quelli che, in tale ambito, sono posti in essere dalle autorità amministrative competenti alla luce dell’oggetto della segnalazione esterna nonché i trattamenti effettuati dai soggetti pubblici e privati obbligati a istituire canali di segnalazioni interni, sono necessari per dare attuazione agli obblighi di legge e ai compiti d’interesse pubblico previsti dalla disciplina di settore la cui osservanza è condizione di liceità del trattamento (artt. 6, par. 1, lett. c) ed e) e parr. 2 e 3, 9, par. 2, lett. b) e g), 10 e 88 del Regolamento, nonché 2-ter e 2-sexies del Codice);

RITENUTO, in ogni caso, che i predetti soggetti pubblici e privati sono tenuti a rispettare, in qualità di titolari del trattamento, non solo le richiamate diposizioni di settore che come detto costituiscono la base giuridica dei relativi trattamenti, ma anche i principi in materia di protezione dei dati (art. 5 del Regolamento) e che tali soggetti, nell’ambito della necessaria individuazione delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi per gli interessati nel delicato contesto in esame, devono definire il proprio modello di gestione delle segnalazioni in conformità ai principi della “protezione dei dati fin dalla progettazione” e della “protezione per impostazione predefinita”(artt. 5, par. 1, e par. 2 , 24, 25 e 32 del Regolamento) tenuto conto anche delle osservazioni presentate al riguardo dal responsabile della protezione dei dati (RPD) ove presente;

CONSIDERATO che ANAC attiverà, predisponendo una specifica piattaforma informatica, un canale per le segnalazioni esterne che garantisce, anche tramite il ricorso a strumenti di crittografia, la riservatezza dell’identità della persona segnalante, della persona coinvolta e della persona menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione (ferma restando la possibilità di presentare una segnalazione anche telefonicamente o nel corso di incontri in presenza con il personale autorizzato);

CONSIDERATO che lo schema di Linee guida sottoposto all’Autorità tiene conto delle indicazioni fornite, per i profili di competenza, nel corso dell’attività istruttoria e delle interlocuzioni informali aventi carattere di urgenza intercorse, anche in occasione di specifiche riunioni, tra l’Ufficio del Garante e i rappresentanti di ANAC al fine di assicurare che la specifica tutela della riservatezza dell’identità del segnalante e della segnalazione - allo scopo di prevenire misure discriminatorie e ritorsive nei confronti del segnalante e degli altri soggetti indicati dalla legge- avvenga nel pieno rispetto della normativa in materia di protezione dei dati personali, garantendo, in pari tempo, il necessario bilanciamento tra l’esigenza di riservatezza della segnalazione, la necessità di accertamento degli illeciti e il diritto di difesa e di contraddittorio del segnalato, considerati altresì i rischi per gli interessati nel delicato contesto lavorativo e professionale (cfr., audizione del Garante per la protezione dei dati personali sul ddl di delegazione europea 2021- Senato della Repubblica – 14° Commissione parlamentare dell’Unione europea, 8 marzo 2022, doc. web n. 9751458); in particolare, a seguito delle predette interlocuzioni, lo schema di Linee guida recepisce il contenuto delle interlocuzioni informali intercorse, con specifico riferimento a:

- la necessità di individuare con precisione l’ambito oggettivo delle segnalazioni, includendo tra le possibili condotte segnalabili le sole informazioni sulle violazioni commesse o non ancora commesse ma che il segnalante ragionevolmente ritiene potrebbero essere commesse sulla base di elementi concreti; ciò in quanto l’estensione dell’ambito oggettivo dell’istituto anche a segnalazioni riferite a circostanze generiche o riconducibili ad una fase antecedente all’eventuale commissione di possibili illeciti, ovvero frutto di mere indiscrezioni o vociferazioni scarsamente attendibili, nonché a ipotesi di tentativo di reato, potrebbe dar luogo a trattamenti di dati personali non pienamente riconducibili all’ambito di trattamento previsto dalla disciplina di settore (parte prima, par. 2.1; v. anche provv. 4 dicembre 2019, n. 215, doc. web. n. 9215763);

- la necessità di definire in maniera puntuale le ipotesi di esclusione dall’ambito di applicazione del Decreto, esplicitando, in particolare, che esulano dalle condotte segnalabili fatti oggetto di vertenze di lavoro, anche in fase precontenziosa, nonché discriminazioni tra colleghi, conflitti interpersonali tra la persona segnalante e un altro lavoratore o i superiori gerarchici, segnalazioni relative a trattamenti di dati effettuati nel contesto del rapporto individuale di lavoro in assenza di lesioni dell’interesse pubblico o dell’integrità dell’amministrazione pubblica o dell’ente privato (in riferimento alle ipotesi di cui art. 1, comma 2, lett. a), del Decreto); ciò anche al fine di evitare che possano aver luogo trattamenti di dati personali non riconducibili all’ambito di trattamento consentito dalla disciplina di settore, e tenuto conto che la tutela del soggetto segnalante, comportando anche deroghe e limitazioni all’esercizio di altri diritti previsti dall’ordinamento europeo e nazionale (segnatamente l’accesso ai documenti amministrativi, l’accesso civico e l’accesso ai dati personali, cfr. art. 12, comma 8, del Decreto, in riferimento agli artt. 22 e ss. della l. n. 241/1990 e all’art. 5 e ss. del d.lgs. 33/2013, nonché art. 13, comma 3, del Decreto, in riferimento agli artt. 15-22 del Regolamento e all’art. 2-undecies del Codice) deve essere assicurata nei soli casi previsti dalla disciplina di settore applicabile, che ne costituisce la base giuridica e presupposto di liceità (parte prima, par. 2.1.1);

- la necessità di assicurare il coordinamento con le altre norme di settore, anche di derivazione europea, che regolano attribuzioni, tempi e modi dei procedimenti delle autorità amministrative competenti che ricevono da ANAC la segnalazione esterna, qualora l’oggetto della stessa verta su materie di competenza delle predette autorità (v. art. 11, par. 2, lett. e), 3 e 4 nonché cons. 66 della Direttiva) precisando che, in tale contesto, la trattazione della segnalazione esterna sarà effettuata nel rispetto delle disposizioni nazionali ed europee applicabili, dando seguito alle segnalazioni ricevute al ricorrere dei presupposti ivi previsti (parte seconda, par. 1.1, lett. b));

CONSIDERATO, più nel dettaglio, che lo schema di Linee guida in esame tiene conto delle indicazioni fornite dall’Ufficio, avuto riguardo ai profili rilevanti per la protezione dei dati personali, nell’ambito delle predette interlocuzioni informali al fine di assicurare, in pari tempo, il corretto adempimento degli obblighi derivanti dalla disciplina di settore in merito all’attivazione dei canali di segnalazione, tanto esterna quanto interna, e il rispetto del Regolamento e del Codice, in coerenza con gli orientamenti dell’Autorità nel contesto in esame, in particolare, con riguardo a:

- la possibilità che, anche in caso di segnalazioni prive di dati anagrafici del segnalante, quest’ultimo possa essere, in talune circostanze, identificabile da elementi di contesto, con la conseguenza che tali segnalazioni non possono essere considerate anonime in senso tecnico e sprovviste delle garanzie previste dalla legge (parte prima, par. 2.2);

- la necessità di invitare i segnalanti a utilizzare esclusivamente i canali appositamente istituiti per presentare segnalazioni, considerato che tali canali offrono maggiori garanzie in termini di sicurezza e riservatezza, sebbene anche nell’eventualità in cui una segnalazione sia inviata per errore mediante canali alternativi, debba comunque essere assicurata la riservatezza dell’identità del segnalante e la protezione dei dati di tutti gli interessati (parte prima, par. 3.2; parte seconda par. 1);

- la necessità di chiarire che, nell’ambito delle valutazioni funzionali a garantire la scelta del segnalante in merito ai diversi canali di segnalazione (modalità informatiche o canali tradizionali), il ricorso alla posta elettronica ordinaria e certificata non è di per sé adeguato a garantire la riservatezza, e che, quando si utilizzino canali e tecniche tradizionali, occorre indicare gli strumenti previsti per garantire la riservatezza richiesta dalla normativa, assicurando la protocollazione riservata, ad esempio mediante il meccanismo delle due buste chiuse (v. parte prima, par. 3.2);

- la puntuale definizione di casi in cui il segnalato può - nel corso dei procedimenti eventualmente avviati nei suoi confronti a seguito della conclusione dell’attività di verifica e di analisi della segnalazione -, essere informato dell’esistenza di una segnalazione che lo riguarda; ciò in quanto nell’ambito dei procedimenti, anche disciplinari, conseguenti alla segnalazione, la contestazione potrebbe essere “fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa” (art. 12, comma 5, del Decreto), non essendo, pertanto, necessario che, fuori dei casi espressamente previsti dalla legge al predetto comma 5 (contestazione fondata in tutto o in parte sulla segnalazione; conoscenza dell’identità indispensabile per la difesa; consenso espresso del segnalante), il segnalato venga a conoscenza della circostanza che l’accertamento ha avuto origine da una segnalazione (parte prima, par. 4.1.2);

- l’opportunità di rammentare che, qualora enti di dimensioni minori condividano il canale di segnalazione interna e la relativa gestione, come previsto dall’art. 4, comma 4, del Decreto, gli stessi, in qualità di contitolari del trattamento, sono tenuti a stipulare un accordo interno ai sensi dell’art. 26 del Regolamento (parte prima, par. 3.2), e che, anche qualora gli stessi affidino ad uno stesso soggetto esterno la gestione delle segnalazioni, è necessario adottare misure tecniche e organizzative per garantire che ciascun ente abbia accesso solo alle segnalazioni di propria competenza (parte prima, par. 3.2);

- la necessità di considerare quali soggetti autorizzati al trattamento soltanto le persone che, in base alle scelte organizzative del titolare del trattamento, siano competenti a ricevere o a dare seguito alle segnalazioni e siano adeguatamente istruiti al riguardo (parte prima, par. 4.1.3);

- l’opportunità di chiarire che i titolari del trattamento devono rendere ex ante un’informativa sul trattamento dei dati personali ai possibili interessati (segnalanti, segnalati, persone interessate dalla segnalazione, facilitatori, ecc.) mediante la pubblicazione di documenti informativi (ad esempio tramite sito web o piattaforma informatica) o per mezzo di informative brevi in occasione dell’utilizzo degli altri canali previsti dal decreto, non dovendo, invece, fornire agli specifici interessati direttamente coinvolti menzionati da una segnalazione informative su base individuale (parte prima, par. 4.1.3); 

-   l’opportunità di chiarire che, considerato che il trattamento dei dati personali mediante i sistemi di acquisizione gestione delle segnalazioni presenta rischi specifici per i diritti e le libertà degli interessati – in ragione anche della particolare delicatezza delle informazioni potenzialmente trattate, della vulnerabilità degli interessati nel contesto lavorativo, nonché dello specifico regime di riservatezza dell’identità del segnalante previsto dalla normativa di settore – e come espressamente previsto dal Decreto (art. 13, co. 6), i titolari del trattamento devono definire “il proprio modello di ricevimento e gestione delle segnalazioni […] sulla base di una valutazione d’impatto sulla protezione dei dati” (parte prima, par. 4.1.3);

- l’arco temporale durante il quale occorre garantire la riservatezza del segnalante e degli altri interessati, con particolare riguardo alla circostanza che, stante l’obbligo di conservare la segnalazione non oltre cinque anni a decorrere dalla data dell’esito finale della procedura di segnalazione (art. 14, comma 1, del Decreto), la riservatezza dovrà essere sempre garantita durante tale periodo (fatte salve le ipotesi previste dall’art. 12, commi 3-5, del Decreto), e che, decorso tale periodo, dovendo la segnalazione essere cancellata, verrebbe comunque meno la possibilità di risalire all’identità del segnalante (parte prima, par. 4.1.3);

- l’opportunità di chiarire che, nell’ottica di privilegiare la volontà del segnalante, è sempre possibile per quest’ultimo ritirare la segnalazione mediante apposita comunicazione da trasmettere attraverso il canale originariamente prescelto per l’inoltro della stessa, specificando le conseguenze derivanti da tale scelta in merito alla prosecuzione o meno degli accertamenti eventualmente già avviati (parte seconda, par. 1);

- l’opportunità di chiarire, nel caso in cui sia palese l’assoluta irrilevanza rispetto alla vicenda segnalata di parti della segnalazione, che contengono dati personali, le modalità con le quali è possibile assicurare la cancellazione dei dati prevista dall’art. 13, comma 2, del Decreto (parte seconda, par. 4);

- la necessità di individuare le modalità con le quali fornire l’informativa sul trattamento dei dati personali ai segnalanti che decidano di utilizzare il servizio telefonico con operatore, predisposto da ANAC, per presentare una segnalazione esterna o in occasione di un incontro diretto con un operatore di ANAC (parte seconda, par. 4);

- l’opportunità di chiarire che, per le pubbliche amministrazioni, la trasmissione ad ANAC della segnalazione mediante la piattaforma da questa istituita per la ricezione e gestione delle segnalazioni esterne può avvenire ad opera del RPCT che può accedere utilizzando lo stesso account già accreditato presso ANAC, fatte salve le diverse scelte organizzative dell’amministrazione, che possono prevedere la possibilità di delegare l'inserimento della segnalazione sulla piattaforma di ANAC a un altro soggetto autorizzato all’interno dell’organizzazione del titolare (parte seconda, par. 4; v. anche allegato 3);

RITENUTO, altresì, che, con riferimento ai profili relativi alla sicurezza del trattamento, nell’ambito dell’acquisizione e gestione delle segnalazioni tramite piattaforme informatiche, lo schema di Linee guida tiene conto anche delle indicazioni fornite nel corso delle interlocuzioni informali intercorse tra i rappresentanti dell’ANAC e del Garante, in coerenza con gli orientamenti dell’Autorità nel contesto in esame, prevedendo, in particolare, che:

- siano adottate misure tecniche e organizzative tali da garantire un'adeguata sicurezza del trattamento dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali, fermo restando che tali misure devono, comunque, essere periodicamente riesaminate e aggiornate (parte prima, par. 4.1.3);

- nel contesto in esame, caratterizzato da elevati  rischi per i diritti e le libertà degli interessati, il ricorso a strumenti di crittografia nell’ambito dei canali interni e del canale esterno di segnalazione sia di regola da ritenersi una misura adeguata a dare attuazione, fin dalla progettazione e per impostazione predefinita, al principio di integrità e riservatezza, garantendo la tutela dei dati personali trattati nel processo di segnalazione, sia nella fase di trasmissione che di conservazione (parte prima, par. 4.1.3,  e parte seconda, par. 4);

- nel caso in cui l’accesso ai canali interni e esterni di segnalazione avvenga dalla rete dati interna del soggetto obbligato, sia garantita la non tracciabilità del segnalante nel momento in cui viene stabilita la connessione a tali canali, sia sulle piattaforme informatiche che negli apparati (es. firewall o proxy) eventualmente coinvolti nella trasmissione delle comunicazioni del segnalante (parte prima, par. 4.1.3);

- sia effettuato, ove possibile, il tracciamento delle operazioni svolte dal personale autorizzato alla gestione delle segnalazioni, nel rispetto delle garanzie a tutela del segnalante e degli altri soggetti menzionati, al fine di consentire la verifica della liceità e correttezza del trattamento e garantire la sicurezza del trattamento (parte prima, par. 4.1.3), nel rispetto delle garanzie previste dalla disciplina di settore in materia di controlli a distanza (art. 4 della l. n. 300/1970, nonché art. 114 del Codice; v. anche art. 88 del Regolamento);

- l’accesso alla piattaforma informatica di ANAC, da parte delle diverse tipologie di utenti autorizzati alla gestione delle segnalazioni esterne, al trasferimento di segnalazioni esterne presentate erroneamente ad un soggetto diverso dall’ANAC, o alla trasmissione delle segnalazioni esterne alle autorità competenti, avvenga attraverso una procedura di autenticazione informatica a più fattori (parte seconda, par. 4, e allegati 2 e 3);

RITENUTO di non dover formulare osservazioni sullo schema di Linee guida, da ultimo trasmesso il 28 giugno 2023, atteso che le indicazioni fornite con carattere d’urgenza dall’Ufficio del Garante sono state tenute in debita considerazione;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo Schema di Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali – procedure per la presentazione e gestione delle segnalazioni esterne predisposto da ANAC.

Roma, 6 luglio 2023                     

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei