Il Garante Privacy ha espresso il proprio parere sugli schemi di “Linee guida in materia di whistleblowing sui canali interni di segnalazione” e sulle modifiche alle linee guida sul canale esterno di segnalazione.
Le Linee guida ANAC sui canali interni di segnalazione
Il Garante esprime un giudizio complessivamente favorevole sullo schema di Linee guida dedicate ai canali interni di whistleblowing, evidenziando tuttavia una serie di precisazioni necessarie per garantire piena conformità al GDPR, al D. Lgs. 24/2023 e ai principi di riservatezza.
Le Linee guida chiariscono che gli enti pubblici e privati obbligati devono attivare canali interni altamente sicuri, prevedendo misure tecniche e organizzative idonee a salvaguardare l’identità del segnalante, del segnalato e dei terzi coinvolti.
Il Garante apprezza l’enfasi posta sull’utilizzo di piattaforme informatiche dedicate, idonee a garantire cifratura dei dati, anonimato della connessione e tracciamento selettivo: sottolinea che il ricorso alla semplice posta elettronica – ordinaria o PEC – non è adeguato senza specifiche misure di mitigazione, poiché i log e i metadati possono rivelare l’identità del segnalante.
Viene valorizzato il riferimento alla necessità per gli enti di effettuare una valutazione di impatto (DPIA), ai sensi dell’art. 35 GDPR, anche acquisendo elementi dai fornitori.
Il Garante valuta positivamente le previsioni sulla gestione del canale interno, sulla possibilità di esternalizzare la piattaforma (con ruolo di responsabile del trattamento ex art. 28 GDPR) e sulla condivisione del canale tra più enti, purché sia garantito un accesso strettamente selettivo ai soli casi di competenza.
Apprezza la previsione che impone la cancellazione dei dati entro cinque anni dalla comunicazione dell’esito, con possibilità di conservare solo gli atti connessi ai procedimenti avviati.
Sono inoltre apprezzate le previsioni relative a:
- formazione specifica del personale autorizzato
- tutela della riservatezza anche per le segnalazioni non rilevanti
- obbligo di protezione anche quando la segnalazione pervenga tramite canali “impropri”
- disciplina dei gruppi societari, dove la capogruppo deve essere considerata responsabile del trattamento, non contitolare.
Il Garante chiede piccole rettifiche per eliminare incoerenze residue (es. nel paragrafo sulla “condivisione” nei gruppi), ribadendo la centralità del principio di protezione dei dati by design e by default.
Le modifiche alle linee guida ANAC sul canale esterno
Per quanto riguarda la delibera che modifica le Linee guida ANAC sul canale esterno di segnalazione, il Garante valuta positivamente l’adeguamento delle regole alle osservazioni già formulate nel 2023 e la coerenza con il nuovo documento sui canali interni.
Le modifiche riguardano soprattutto l’allineamento delle misure di sicurezza e delle modalità tecniche di gestione delle segnalazioni.
Il Garante apprezza:
- l’introduzione dell’obbligo di adottare misure di mitigazione del rischio quando si utilizza la posta elettronica come canale esterno
- le garanzie per gli enti che condividono la gestione delle segnalazioni tramite un unico soggetto esterno, con obbligo di accesso selettivo e mitigazione del rischio di commistione dei dati
- la chiara attribuzione di responsabilità quando enti di piccole dimensioni condividono canale e risorse
- il rafforzamento della tutela della riservatezza anche negli incontri diretti con il personale autorizzato
- l’introduzione di misure rafforzate per l’autenticazione informatica degli utenti esterni che usano la piattaforma ANAC (es. OTP per accessi SPID o CNS non precedentemente utilizzati), al fine di prevenire furti di identità digitale.
Il Garante valuta con favore la previsione di un sistema di trasmissione sicuro delle segnalazioni tra ANAC e altre autorità competenti, l’adozione di misure aggiornabili e la necessità di garantire l’integrità dei dati trattati.
Nel complesso, il parere conferma la necessità di un elevato livello di protezione dei dati, equilibrio tra riservatezza, esigenze istruttorie e tutela del contraddittorio, ribadendo che il trattamento dei dati connesso alle segnalazioni deve essere necessario, proporzionato e conforme al GDPR, garantendo la sicurezza operativa e il rispetto della normativa whistleblowing.
