***
Premessa
La verifica in ordine al rispetto della tutela della riservatezza è un aspetto fondamentale per determinare se un sistema di segnalazioni whistleblowing possa ritenersi o meno efficace e dunque idoneo. Infatti, l’obiettivo cui l’intera disciplina tende a perseguire è la creazione, da parte delle aziende, di una struttura organizzativa che consenta l’emersione di eventuali fenomeni illeciti che possono essere perpetrati all’interno dell’azienda stessa. Perché ciò possa avvenire, tuttavia, è necessario che, anche al fine di incentivare l’effettuazione delle segnalazioni, il sistema garantisca la tutela dell’identità di colui che effettua la segnalazione; tutela che deve essere necessariamente perseguita, tra le altre cose, garantendone la sua riservatezza.
La tutela della riservatezza secondo l’interpretazione del Garante
Così nel corso degli anni, fin dal 2017 quando è entrata per la prima volta in vigore in Italia la disciplina sul whistleblowing, il Garante ha ricordato l’importanza della “realizzare un congruo bilanciamento tra l’esigenza di riservatezza della segnalazione- funzionale alla tutela del segnalante -, la necessità di accertamento degli illeciti e il diritto di difesa e al contraddittorio del segnalato” (cfr., Audizione del Garante sul d.d.l. di delegazione europea 2021, Senato della Repubblica-14esima Commissione parlamentare dell’Unione europea, 8 marzo 2022, doc. web n. 9751458).
L’obiettivo richiesto dal legislatore può essere perseguito solo valutando attentamente le misure di sicurezza – tecniche e organizzative – da applicare e applicate sul sistema di segnalazione. La valutazione dovrà essere fatta in concreto alla luce dei livelli di rischio che presenta il trattamento in esame (gestione e analisi della segnalazione) e della tipologia di dati trattati (dati del segnalante e del soggetto oggetto di segnalazione, nonché quelli contenuti nella segnalazione), analizzata mediante lo svolgimento di una valutazione d’impatto (cfr. art. 13, comma 6, D.lgs. 24/2023).
A ben vedere, la norma non deve ritenersi una novità nel panorama legislativo, in quanto rappresenta il recepimento degli orientamenti espressi già a più riprese dall’Autorità per la protezione dei dati personali (di seguito “Garante”) che, con i propri provvedimenti, ha chiarito alcuni aspetti essenziali di tale ambito. In particolare, dapprima il Garante ha sanzionato l’Aeroporto di Bologna in quanto la società non aveva adottato misure di sicurezza idonee a tutelare la riservatezza dell’identità dei segnalanti. Secondo il Garante, infatti, poiché la piattaforma tracciava i log degli accessi effettuati alla piattaforma tramite la rete aziendale, in ragione anche del numero limitato di segnalazioni pervenute, era possibile risalire a chi aveva utilizzato la piattaforma per la gestione delle segnalazioni whistleblowing, minando così la garanzia di riservatezza cui deve tendere l’intero sistema. Successivamente, nello stesso senso, con il provvedimento emesso ai danni dell’Ospedale di Perugia, il Garante ha rilevato che: “Ciò posto, si rileva che la registrazione e la conservazione, nei log degli apparati firewall, delle informazioni relative alle connessioni all’applicativo in questione consente la tracciabilità dei soggetti che utilizzano tale applicativo, tra i quali i segnalanti. Ciò, considerato anche l’esiguo numero di connessioni all’applicativo in questione, rende inefficaci le altre misure adottate per tutelare la riservatezza dell’identità dei segnalanti. Per tali ragioni, la registrazione e la conservazione, all’interno dei log degli apparati firewall, di informazioni direttamente identificative degli utenti dell’applicativo in questione non risulta conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32 del Regolamento”.
La tutela riservatezza nel contesto del nuovo d.lgs. 24/2023
Anche l’attuale nuova disciplina sul whistleblowing pone particolare attenzione alla tutela della riservatezza, in quanto l’art. 12 del d.lgs. 24/2023 è interamente dedicato alla tutela della riservatezza dell’identità del segnalante. Riservatezza che deve essere perseguita:
- garantendo che l’identità del segnalante non sia rivelata salvo il consenso di quest’ultimo e nelle ipotesi ivi previste (procedimento penale, procedimento disciplinare, procedimento contabile);
- prevedendo che la disciplina in esame sia sottratta dalla possibilità di effettuare l’accesso amministrativo (nonché limitando anche l’esercizio dei diritti privacy ai sensi dell’art. 2 quaterdecies d.lgs. 196/2003, secondo la costante interpretazione fornita dall’Autorità su questo tema[1], nonché delle Linee guida dell’EDPB 10/2020 e 1/2022);
- fornendo debite autorizzazioni in capo ai soggetti che ricevono le segnalazioni e che li vincolino a rigidi obblighi di riservatezza (cfr. art. 12, comma 2, d.lgs. 24/2023).
Come visto, dunque, la protezione della identità del segnalante passa attraverso la predisposizione di misure di sicurezza adeguate. Sul punto, meritano un cenno le recentissime Linee guida ANAC (di seguito “Linee guida ANAC”) che chiariscono come, nel caso di piattaforme informatiche, sia auspicabile il ricorso a strumenti di crittografia e che l’uso di canali di segnalazione come la posta elettronica ordinaria e la PEC non si siano strumenti adeguati a garantire la riservatezza. Ciò, a ben vedere, deve valere anche qualora si utilizzino canali e tecniche tradizionali, da prevedersi nella procedura. Anche in caso di ricorso a canali non informatici, infatti, è opportuno indicare misure organizzative idonee garantire la tutela della riservatezza richiesta dalla normativa. Ad esempio, a tal fine, le Linee guida ANAC sopra citate suggeriscono:
- di indicare nella procedura di inserire la segnalazione in due buste chiuse di cui, la prima, con i dati identificativi del segnalante unitamente alla fotocopia del documento di riconoscimento e, la seconda, con la segnalazione, in modo da separare i dati identificativi del segnalante dalla segnalazione;
- di far inserire le buste in una terza busta che rechi all’esterno la dicitura “riservata” e che sia indirizzata al ricevente la segnalazione;
- di far protocollare la segnalazione come “riservata”, prevedendo un autonomo registro che sia manutenuto dal ricevente la segnalazione.
Conclusioni
Con l’entrata in vigore del D.lgs. 24/2023, le Società di medie e grandi dimensioni si sono trovate a dover implementare o aggiornare i processi interni per la gestione delle segnalazioni whistleblowing. Un aspetto di cui tenere in debita considerazione, per la verifica dell’efficacia dell’intero sistema, che potrà dunque essere oggetto di valutazione sia da parte dell’ANAC (depositaria della funzione di controllo e sanzione) che da parte del Garante, sarà quello di verificare che l’impianto garantisca effettivamente la tutela della riservatezza dell’identità del segnalante, prestando così estrema attenzione all’implementazione di misure tecniche ed organizzative adeguate.
