Whistleblowing: pubblicate le nuove FAQ dell’ANAC in attesa del recepimento della Direttiva 2019/1937. Quali novità in materia di trattamento dei dati personali?

Lo scorso 20 dicembre l’Autorità Nazionale Anticorruzione (ANAC) ha pubblicato una nuova raccolta di FAQ in materia di whistleblowing. Il documento contiene chiarimenti utili sulla disciplina relativa alla segnalazione degli illeciti all’interno degli enti tanto sotto il profilo organizzativo quanto in riferimento alle concrete modalità di gestione delle segnalazioni. Tra i diversi punti di attenzione, rivestono un carattere di particolare importanza quelli attinenti gli aspetti relativi al trattamento dei dati personali.

Anzitutto deve sottolinearsi il contesto in cui le FAQ sono state pubblicate. Il 31 dicembre è scaduto il termine di adeguamento alla Direttiva europea 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione. Il Parlamento italiano lo scorso aprile aveva approvato la Legge delega 53/2021, attribuendo al Governo il compito di recepire le indicazioni del legislatore europeo, la quale tuttavia non ha avuto seguito.

Nelle more del recepimento della normativa eurocomunitaria l’Autorità Anticorruzione ha pubblicato, con delibera del 9 giugno 2021, le nuove linee guida sul whistleblowing che, allo stato, costituiscono il punto di riferimento principale e più avanzato per qualunque organizzazione che debba dotarsi di un adeguato sistema di segnalazione degli illeciti. Tale ultimo provvedimento, unitamente alle FAQ di recente pubblicazione, realizzano per la prima volta un coordinamento tra le norme in materia di whistleblowing e il nuovo quadro normativo in tema di trattamento dei dati personali.

Caposaldo della normativa in materia di segnalazione degli illeciti è la tutela della riservatezza del segnalante, del contenuto delle segnalazioni e degli eventuali allegati, nonché dei soggetti segnalati. Per questo motivo l’Autorità raccomanda l’adozione di appositi e adeguati software per la gestione delle segnalazioni, di modo da tutelare al meglio la riservatezza del segnalante e consentire l’interazione sicura tra questi e il responsabile per la prevenzione della corruzione (ed il suo team). Per fare ciò è indispensabile, ad avviso dell’ANAC e dal Garante privacy, che il software disponga di adeguate misure di sicurezza, che consenta la pseudonimizzazione dei dati identificativi del segnalante e la trasmissione dei dati mediante protocolli di trasmissione sicuri (ad es. HTTPS).

Inoltre, sempre al fine di tutelare la riservatezza dell’identità del whistleblower, è necessario che qualora l’accesso alla piattaforma informatica avvenga mediante dispositivi firewall o proxy, l’ente garantisca la non tracciabilità del segnalante nel momento in cui viene stabilita la connessione. Questo può avvenire attraverso l’utilizzo di strumenti di anonimizzazione dei dati di navigazione, come ad esempio la tecnologia TOR.

Un’altra misura individuata dall’ANAC per salvaguardare la riservatezza dell’identità del whistleblower è legata al tracciamento degli accessi alla piattaforma di segnalazione.

In questo caso è necessario trovare un punto di equilibrio tra due diverse esigenze: da un lato la tutela della riservatezza e, dall’altro, la corretta gestione degli strumenti informatici e la difesa dell’ente da potenziali minacce informatiche. Per garantire ciò, l’Autorità raccomanda di procedere alla raccolta dei log della piattaforma con l’adozione di adeguate misure di sicurezza idonee a prevenire eventuali accessi non autorizzati.

L’ultima tematica affrontata dall’ANAC in tema di trattamento dei dati personali nel contesto del whistleblowing è quella relativa al tempo di conservazione delle segnalazioni.

Tale periodo, valutato insieme al Garante privacy, non deve eccedere l’arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, in ossequio al principio di limitazione della conservazione di cui all’art. 5, par. 1 lett. e) del GDPR.

La previsione è alquanto generica e, di conseguenza, l’individuazione puntuale del periodo di retention è rimessa all’accountability del titolare. L’Autorità anticorruzione suggerisce, sulla base anche della propria esperienza, di prevedere un termine minimo di conservazione delle segnalazioni, pari almeno a 10 anni. Naturalmente, ove a seguito della segnalazione scaturisca un eventuale giudizio, il termine sarà prolungato fino alla conclusione del giudizio stesso.

Le informazioni fornite dall’ANAC costituiscono un importante elemento per orientare l’operato dei titolari del trattamento nella gestione dei dati personali e delle informazioni acquisite nell’ambito del whistleblowing, in attesa del recepimento della Direttiva Direttiva europea 2019/1937, ove necessariamente il legislatore dovrà operare un coordinamento a livello normativo, con le disposizioni in materia di privacy.

Di seguito un decalogo che riassume i principali adempimenti in materia di protezione dei dati personali connessi all’istituto del whistleblowing.

1. Il fornitore della piattaforma per il whistleblowing, dal momento che effettuerà dei trattamenti di dati personali per conto del titolare, deve sempre essere nominato responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 679/2016 (GDPR).

2. L’atto di nomina del responsabile deve contenere una puntuale indicazione delle misure di sicurezza necessarie a garantire la sicurezza, la riservatezza e l’integrità dei dati e delle informazioni relative alle segnalazioni;

3. Il responsabile per la prevenzione della corruzione e il suo team devono sempre essere nominati quali soggetti autorizzati al trattamento e debitamente istruiti in merito al trattamento dei dati personali (ai sensi dell’art. 4, par. 10, 29, 32, §. 4 del Regolamento (UE) 679/2016 e art. 2-quaterdecies del d.lgs. 196 del 2003);

4. Gli interessati (nello specifico il segnalante) devono ricevere idonea informativa ai sensi dell’art. 13 GDPR;

5. Il whisthleblowing deve essere inserito quale trattamento specifico all’interno del registro redatto ai sensi dell’art. 30, par.1, GDPR;

6. Le segnalazioni e gli allegati alla segnalazione devono essere sottratti al diritto di accesso e all’accesso civico generalizzato;

7. La piattaforma deve registrare e conservare in modo sicuro i log di accesso, mentre deve assolutamente essere evitato il tracciamento dei log del segnalante, anche nel caso in cui l’accesso sia mediato da un firewall o da un proxy server. In tali casi si può fare ricorso alla tecnologia TOR che garantisce l’anonimizzazione delle informazioni relative al traffico dati e all’indirizzo IP;

8. Le informazioni devono essere scambiate attraverso protocolli sicuri (HTTPS);

9. Il titolare deve adottare ogni idonea misura di sicurezza ai sensi dell’art. 32 GDPR;

10. Le segnalazioni devono essere conservate per un arco di tempo non superiore al conseguimento delle finalità per cui sono state trattate.

Andrea Pisano