Lo scorso 20 dicembre l’Autorità Nazionale Anticorruzione ha pubblicato una nuova raccolta di FAQ in materia di whistleblowing. Il documento contiene chiarimenti utili sulla disciplina relativa alla segnalazione degli illeciti all’interno delle organizzazioni, sia dal punto di vista del profilo organizzativo, sia da quello delle concrete modalità di gestione delle segnalazioni. Rilievo particolare assumono gli aspetti relativi al trattamento dei dati personali.

Contesto

Il 31 dicembre 2021 è scaduto il termine di adeguamento alla Direttiva UE 2019/1937 in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione. Il Parlamento italiano, lo scorso aprile, aveva approvato la Legge delega n. 53/2021, attribuendo al Governo il compito di recepire la Direttiva. Compito che, però, non ha avuto seguito.

Nelle more del recepimento della normativa comunitaria, l’ANAC, con delibera del 9 giugno 2021, ha pubblicato le nuove linee guida sul whistleblowing che, nel contesto attuale, costituiscono il punto di riferimento principale per tutte le organizzazioni che debbano dotarsi di un adeguato sistema di gestione delle segnalazioni degli illeciti. Con tale provvedimento, unitamente alle FAQ in commento, si concretizza un coordinamento tra le norme in materiavi whistleblowing e il nuovo quadro normativo di trattamento dei dati personali.

Whistleblowing e protezione dei dati personali

Centralità nella normativa materia di segnalazioni degli illeciti riveste la tutela della riservatezza del segnalante, del contenuto delle segnalazioni e degli eventuali allegati, nonché dei soggetti segnalati.

L’ANAC raccomanda l’adozione di appositi e adeguati software per la gestione delle segnalazioni al fine di tutelare la riservatezza del segnalante e consentire, così, l’interazione sicura tra questi e il responsabile per la prevenzione della corruzione. Per fare ciò è indispensabile, ad avviso dell’Autorità e del Garante privacy, che il software disponga di misure di sicurezza adeguate al rischio e che consenta la pseudonimizzazione dei dati identificativi del segnalante e la trasmissione dei dati mediante protocolli di trasmissione sicuri (come HTTPS).

Sempre al fine di tutelare la riservatezza dell’identità del segnalante, è necessario che qualora l’accesso alla piattaforma informatica avvenga mediante dispositivi firewall o proxy, l’ente garantisca la non tracciabilità del segnalante nel momento in cui viene stabilita la connessione.

Un’altra misura, che persegue il medesimo fine, riguarda il tracciamento degli accessi alla piattaforma di segnalazione. È necessario gestire due diverse esigenze: da un lato, la tutela della riservatezza e, dall’altro, la corretta gestione degli strumenti informatici e la difesa dell’ente da potenziali minacce informatiche. L’ANAC, a tal uopo, raccomanda di procedere alla raccolta dei blog della piattaforma con l’adozione di misure di sicurezza idonee a prevenire accessi non autorizzati.

Quanto al tempo di conservazione delle segnalazioni, elemento centrale con riferimento al trattamento dei dati personali, l’ANAC e il Garante privacy hanno stabilito che non deve eccedere l’arco di tempo necessario al conseguimento delle finalità per le quali sono trattati ex art. 5, par. 1, lett. e), del GDPR.

Le informazioni fornite dall’ANAC sono utili ad orientare l’operato dei titolari del trattamento nella gestione dei dati personali e delle informazioni acquisite nell’ambito del whistleblowing, in attesa del recepimento della direttiva comunitaria, ove necessariamente il legislatore dovrà tenere conto delle disposizioni vigenti in ambito privacy.

en_GB