Whistleblowing: nuovo parere Garante privacy sulle Linee guida ANAC
Il Garante per la protezione dei dati personali ha espresso un importante parere sui due schemi di delibera dell'Autorità Nazionale Anticorruzione (ANAC) in materia di whistleblowing, segnando un ulteriore passo avanti nella definizione del quadro normativo per la protezione dei segnalanti.
Il primo schema riguarda l'approvazione delle Linee guida in materia di whistleblowing sui canali interni di segnalazione, elaborate da ANAC per garantire un'applicazione uniforme ed efficace della normativa introdotta dal decreto legislativo 10 marzo 2023, n. 24, che ha recepito la direttiva europea 2019/1937.
Le Linee guida forniscono indicazioni dettagliate sui canali di segnalazione che enti pubblici e privati devono attivare internamente, privilegiando l'impiego di piattaforme informatiche per garantire maggiori livelli di sicurezza e protezione dei dati personali. Un aspetto cruciale evidenziato dal Garante riguarda i rischi derivanti dall'utilizzo della posta elettronica come canale di segnalazione: i sistemi di gestione email generano infatti log che potrebbero compromettere l'anonimato del segnalante, specialmente quando si utilizza la casella aziendale.
Il secondo schema prevede la modifica e integrazione della precedente Delibera ANAC n. 311 del 12 luglio 2023 relativa alle segnalazioni esterne, per assicurare coerenza con le nuove disposizioni sui canali interni e superare alcune criticità applicative segnalate dai soggetti obbligati.
Il parere del Garante evidenzia diversi aspetti fondamentali per la tutela della privacy nel contesto del whistleblowing:
a) Valutazione di impatto obbligatoria
È necessario che gli enti soggetti alla normativa svolgano una valutazione di impatto sulla protezione dei dati ai sensi dell'articolo 35 del GDPR, potendo eventualmente avvalersi del supporto dei fornitori di tecnologia.
b) Conservazione dei dati
Le Linee guida chiariscono che, una volta concluse le attività di gestione della segnalazione, il gestore deve cancellare sia la segnalazione sia la relativa documentazione al più tardi decorsi cinque anni dalla comunicazione dell'esito finale della procedura, in linea con quanto previsto dall'articolo 14 del decreto legislativo n. 24/2023.
c) Condivisione dei canali
Quando più enti condividano il canale di segnalazione, come consentito per i comuni non capoluogo di provincia e per le piccole imprese, devono essere adottate misure tecniche e organizzative per garantire che ciascun ente acceda solo alle segnalazioni di propria competenza, configurandosi come contitolari del trattamento ai sensi dell'articolo 26 del GDPR.
Il documento sottolinea l'importanza che i soggetti addetti alla gestione delle segnalazioni ricevano una formazione specifica anche in materia di protezione dei dati personali, elemento essenziale per garantire il rispetto della normativa privacy.
Particolare attenzione è dedicata alle misure tecniche per impedire la tracciabilità del segnalante. Quando l'accesso ai canali interni avvenga dalla rete dati interna dell'organizzazione, deve essere garantita la non tracciabilità della persona segnalante sia sulle piattaforme informatiche che negli apparati di rete (firewall, proxy) coinvolti nella trasmissione.
Il parere evidenzia come le Linee guida tengano conto delle interlocuzioni intercorse con l'Ufficio del Garante, assicurando il pieno coordinamento tra la disciplina sui canali interni e quella sui canali esterni, nella prospettiva di garantire la tutela della riservatezza dell'identità del segnalante e la protezione dei dati di tutti gli interessati.