Il Garante della privacy ha fornito un nuovo parere su due proposte di delibera dell’ANAC in materia di whistleblowing.
In particolare il parere ha a oggetto due schemi di delibera trasmessi da ANAC, a seguito di preliminari interlocuzioni con l’Ufficio del Garante: si tratta di uno schema di delibera di approvazione delle “Linee guida in materia di whistleblowing sui canali interni di segnalazione”, redatto anche sulla base dei contributi pervenuti nel quadro della consultazione pubblica avviata a novembre 2024 (si veda “Nuove Linee guida sul whistleblowing in consultazione fino al 9 dicembre” del 9 novembre 2024) e di uno schema di delibera di modifica e integrazione delle Linee guida per le segnalazioni esterne.

Il Garante della privacy nel parere in esame evidenzia come lo schema di Linee guida sui canali interni tenga conto delle indicazioni fornite nel corso dell’attività istruttoria e delle interlocuzioni informali intercorse tra l’Ufficio del Garante e i rappresentanti di ANAC volte ad assicurare la specifica tutela della riservatezza dell’identità del segnalante e della segnalazione ma anche, al tempo stesso, a garantire il necessario bilanciamento tra l’esigenza di riservatezza della segnalazione, la necessità di accertamento degli illeciti e il diritto di difesa e di contraddittorio del segnalato.

In particolare, alla luce delle predette interlocuzioni, lo schema di Linee guida sui canali interni recepisce alcuni punti chiave, tra cui, a titolo esemplificativo, la necessità che sia svolta una previa valutazione di impatto sulla protezione dei dati, anche con l’eventuale supporto dei fornitori di tecnologia, che sia comunque assicurata la riservatezza del segnalante anche qualora manchino i requisiti per poter qualificare la segnalazione effettuata come segnalazione rilevante ai fini della nuova normativa in materia di whistleblowing e che, definita la gestione della segnalazione, il gestore cancelli sia la segnalazione sia la relativa documentazione una volta decorsi non più di cinque anni dalla data della comunicazione dell’esito finale della procedura di segnalazione alla persona segnalante, con conservazione, nei termini di legge, degli atti e dei documenti che afferiscono ai procedimenti avviati e alle iniziative assunte dal datore di lavoro che abbiano avuto origine in tutto o in parte dalla segnalazione.

Per quanto concerne i profili più delicati, con riferimento all’acquisizione e alla gestione delle segnalazioni scritte, nel parere si rileva che il predetto schema di Linee guida sui canali interni prevede l’inadeguatezza, di per sé, del ricorso alla posta elettronica (ordinaria o certificata) per garantire la riservatezza dell’identità della persona segnalante, “se non accompagnato da specifiche contromisure opportunamente giustificate, quali misure di mitigazione del rischio individuate in sede di definizione della valutazione di impatto sulla protezione dei dati”.

Con riferimento all’accesso ai canali interni di segnalazione dalla rete dati interna del soggetto obbligato/datore di lavoro, si prevede che debba essere assicurata la non tracciabilità del segnalante nel momento in cui viene stabilita la connessione a tali canali, sia sulle piattaforme informatiche che negli apparati (ad es. firewall o proxy) eventualmente coinvolti nella trasmissione delle comunicazioni della persona segnalante.