Il 4 dicembre 2019 il Garante per la protezione dei dati personali, con il provvedimento n. 215, si è pronunciato sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)” che sostituirà la Determinazione n. 6 del 28 aprile 2015. Premesso che il predetto schema di linee guida, intende fornire indicazioni in merito ai necessari accorgimenti tecnici che le pubbliche amministrazioni e gli altri enti contemplati dalla legge devono adottare per dare effettiva attuazione alla disciplina di settore, prevedendo, tra l’altro, specifiche modalità per la presentazione delle segnalazioni da parte di particolari categorie di segnalanti, quali, ad esempio, i lavoratori e i collaboratori delle imprese fornitrici di beni o servizi e che realizzano opere in favore dell’amministrazione pubblica (cui il nuovo quadro normativo garantisce il medesimo livello di tutela del dipendente pubblico; v. art. 54-bis, comma 2, cit.), ovvero da parte dei soggetti appartenenti alle magistratura ordinaria, amministrativa, contabile e tributaria (tenuto conto della rilevanza costituzione del ruolo ad essi riconosciuto dall’ordinamento; v. art. 101 Cost.), tale schema si articola in tre sezioni aventi ad oggetto rispettivamente: – la ricostruzione del quadro normativo in materia, con le principali novità intervenute sull’ambito soggettivo di applicazione dell’istituto e il rafforzato regime di tutela; le indicazioni sull’oggetto della segnalazione, sulle modalità di inoltro della stessa, sulle caratteristiche essenziali che il procedimento per la gestione delle segnalazioni deve avere presso tutte le amministrazioni tenute a tale obbligo (parte I); – le indicazioni in merito alle modalità di gestione della segnalazione, con specifico riguardo alla trattazione in via informatizzata; le novità che riguardano il ruolo e i compiti del Responsabile della prevenzione della corruzione e della trasparenza (di seguito, “RPCT”) (parte II); – la descrizione delle procedure gestite da ANAC con riferimento sia alle segnalazioni di condotte illecite (effettuate da propri dipendenti o da dipendenti di altre amministrazioni o altri enti tenuti all’osservanza della normativa), sia a quelle relative alle misure ritorsive eventualmente poste in essere nei confronti dei segnalanti (parte III). L’acquisizione e gestione delle segnalazioni dà luogo a “trattamenti” di dati personali, anche appartenenti a particolari categorie di dati e relativi a condanne penali e reati, eventualmente contenuti nella segnalazione e in atti e documenti ad essa allegati, riferiti a “interessati”, ovvero alle persone fisiche (identificate o identificabili) che inoltrano una segnalazione o a quelle indicate come possibili responsabili delle condotte illecite o a quelle a vario titolo coinvolte nelle vicende segnalate (art. 4, par. 1, nn. 1) e 2), del Regolamento). Il Garante per la protezione dei dati personali, in considerazione della circostanza che l’ANAC nella predisposizione di tali Linee Guida, ha tenuto in debita considerazione gran parte delle indicazioni fornite nella precedenti interlocuzioni con l’Ufficio, volte ad assicurare il rispetto della normativa in materia di protezione dei dati personali e precisato che vi sono delle parti che richiedono un ulteriore perfezionamento, esprime parere favorevole sullo schema di Linee guida di cui all’art. 54-bis, comma 5, del d.lgs. n. 165/2001 con alcune considerazioni ed osservazioni. In particolare, con riferimento ai profili relativi alla sicurezza del trattamento, nell’ambito dell’acquisizione e gestione delle segnalazioni tramite procedure informatiche (parte II, par. 2.2), per il Garante è necessario che le linee guida vengano integrate o modificate nei termini di seguito rappresentati: al fine di tutelare più efficacemente l’identità del segnalante, la piattaforma per l’acquisizione e gestione delle segnalazioni non deve inviare alcun messaggio di notifica (es. in caso di variazione dello stato di avanzamento dell’istruttoria, richiesta di integrazione, richiesta del consenso a rivelare l’identità nell’ambito di un procedimento disciplinare, ecc.) sulla casella di posta elettronica individuale che l’amministrazione o l’ente ha assegnato al dipendente/segnalante; qualora la piattaforma per l’acquisizione e gestione delle segnalazioni invii messaggi (es. in caso di variazione dello stato di avanzamento dell’istruttoria, riscontro del segnalante a una richiesta di integrazione, riscontro del segnalante a una richiesta di consenso a rivelare la propria identità nell’ambito di un procedimento disciplinare, ecc.) sulla casella di posta elettronica individuale che l’amministrazione o l’ente ha assegnato all’RPCT, all’istruttore o al custode dell’identità, tali messaggi non devono contenere riferimenti all’identità del segnalante o all’oggetto della segnalazione; la piattaforma per l’acquisizione e gestione delle segnalazioni deve assicurare l’accesso selettivo ai dati delle segnalazioni, da parte dei diversi soggetti autorizzati al trattamento, prevedendo, ad esempio, una procedura per l’assegnazione, da parte dell’RPCT, della trattazione di specifiche segnalazioni all’eventuale personale di supporto; la piattaforma per l’acquisizione e gestione delle segnalazioni deve tracciare le attività (accessi e operazioni) effettuate unicamente dall’RPCT e dagli altri soggetti autorizzati al trattamento (inclusi quelli che gestiscono le utenze del sistema e attribuiscono loro i relativi profili di autorizzazione), e non anche quelle effettuate dal segnalante; deve, inoltre, essere precisato che tale tracciamento deve essere effettuato esclusivamente al fine di garantire la correttezza e la sicurezza del trattamento; con riferimento alle scelte che lo schema di linee guida rimette alla valutazione dei titolari al fine di garantire la sicurezza e la riservatezza delle informazioni raccolte, deve essere incluso anche il riferimento alle modalità di accesso alla piattaforma, che potranno prevedere sistemi di autenticazione informatica basati su tecniche di strong authentication; tale valutazione dovrà essere effettuata caso per caso anche in ragione delle specificità del contesto del trattamento (art. 32, par. 1, del Regolamento), quali, ad esempio, la dimensione del titolare, il numero dei dipendenti e la ricorrenza di specifiche situazioni di criticità ambientali; con riferimento alle modalità di “accesso sicuro e protetto all’applicazione per tutti gli utenti”, la procedura informatica deve prevedere l’utilizzo esclusivo di protocolli sicuri di trasporto dei dati (quali, il protocollo https) al fine di garantire una comunicazione sicura sia in termini di riservatezza e integrità dei dati relativi all’identità del segnalante e al contenuto della segnalazione, che di autenticità delle pagine web utilizzato dalla procedura informatica per l’acquisizione e la gestione delle segnalazioni. (di Mariacarmela LOSPINUSO Avvocato e Consulente Legale)
PROVVEDIMENTO DEL GARANTE SUL WHISTLEBLOWING NEL SETTORE PUBBLICO
