Tali Linee guida sostituiscono le precedenti adottate con Determinazione n. 6 del 28 aprile 2015 e sono frutto dell’esercizio della prerogativa riconosciuta in capo all’ANAC dall’art. 54-bis, comma 5, del D.Lgs. 30 marzo 2001, n. 165, recante “Norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche”, per come modificato dalla L. 30 novembre 2017, n. 179, recante “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”.
Assumendo a riferimento la disciplina in materia di whistleblowing così come ampiamente incisa dalla L. n. 179 del 2017, esse forniscono preziose indicazioni relativamente:
- all’ambito, soggettivo e oggettivo, di applicazione dell’art. 54-bis del D.Lgs. n. 165 del 2001;
- alle modalità di gestione delle segnalazioni nelle Amministrazioni pubbliche e negli enti obbligati ai sensi dell’art. 54-bis del D.Lgs. n. 165 del 2001;
- alle procedure della stessa ANAC concernenti la gestione delle segnalazioni di condotte illecite e delle comunicazioni di misure ritorsive.
Linee Guida ANAC per il settore privato
Le Linee guida dell’ANAC, sebbene intese a integrare le previsioni e a fornire chiarimenti relativamente al settore pubblico (Pubbliche Amministrazioni, enti in controllo pubblico, enti pubblici economici e, nella veste di possibili segnalanti, lavoratori e collaboratori delle imprese fornitrici di beni o servizi e che realizzano opere in favore dell’amministrazione pubblica), rivestono una forte valenza anche in relazione al settore privato, la cui normativa di riferimento in materia si connota, tendenzialmente, per un minor grado di dettaglio [cfr., in relazione ai vari comparti dell’ordinamento [art. 6, comma 2-bis, del D.Lgs. n. 231 del 2001; art. 48 del D.Lgs. n. 231 del 2007, come novellato dal D.Lgs. n. 90 del 2017; art. 4-undecies del D.Lgs. n. 58 del 1998 (“TUF”), inserito dall’art. 1 del D.Lgs. n. 129 del 2017; art. 52-bis del D.Lgs. 385 del 1993 (“TUB”), inserito dall’art. 1, comma 18, del D.Lgs. n. 72 del 2015].
Ciò risulta ancor più vero in relazione alla nuova versione delle Linee guida, le quali, a ragione dell’ispessita sensibilità dimostrata dall’ANAC in merito alla tutela dei dati personali e da ricollegare verosimilmente anche al precedente ruolo ricoperto dall’attuale Presidente dell’Autorità, fanno registrare una significativa attenzione per le implicazioni che la gestione delle segnalazioni di condotte illecite comporta sul fronte del trattamento di dati personali del segnalante, del segnalato e financo di soggetti terzi e che sono apprezzabili altresì relativamente al settore privato.
Anche quale benchmark per il settore privato, per esempio, le citate Linee guida avevano suscitato importanti perplessità nella parte in cui facevano riferimento alla qualificazione del fornitore del servizio quale “autorizzato” del trattamento anziché, correttamente, quale “responsabile” del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679, venendo dipoi emendate, nel successivo mese di luglio, di quell’errore materiale (cfr. Comunicato del Presidente dell’Autorità del 21 luglio 2021 – Delibera Anac n. 469 del 9 giugno 2021 – Errata corrige).
Le FAQ in materia anticorruzione e whistleblowing
Alla luce di tale ambivalente importanza, allora merita altresì segnalare che, in data 20 dicembre 2021, sono state pubblicate, sul sito dell’ANAC, le FAQ in materia di Anticorruzione – Whistleblowing intese a fornire risposte e chiarimenti circa le modalità di gestione di eventuali segnalazioni di condotte illecite e i connessi profili relativi al trattamento dei dati personali che ne possa scaturire.
Assumendo a principale fonte normativa di riferimento la Delibera dell’ANAC n. 469 del 9 giugno 2021, le FAQ forniscono ulteriori dettagli e/o precisano meglio la portata di quanto in essa affermato.
In generale, tra le FAQ si evidenziano, in particolare, quelle relative a:
- la non obbligatorietà dell’istituzione della figura del custode dell’identità per le piattaforme informatiche destinate alle segnalazioni di whistleblowing (FAQ n. 1.2);
- la necessaria autorizzazione al trattamento dei dati personali di tutti i soggetti che trattano dati (RPCT, componenti dell’eventuale gruppo di lavoro, custode dell’identità, personale degli altri uffici eventualmente coinvolti nella gestione della segnalazione di whistleblowing) (FAQ n. 1.4);
- l’ipotesi di avvicendamento di RPCT con un nuovo RPCT (FAQ n. 1.8).
- l’accesso alla segnalazione di whistleblowing e ai dati ivi contenuti nel caso in cui venga costituito un gruppo di lavoro a supporto del RPCT (FAQ n. 1.9);
- ai rapporti tra RPCT e componenti gruppo di lavoro a supporto del RPCT e azioni (non) consentite a questi ultimi (FAQ n. 1.13 e n. 1.14);
- ai termini di conservazione delle segnalazioni di whistleblowing (FAQ n. 1.16 e n. 1.17);
- alla possibilità di non rendere pubblico, tramite pubblicazione sul sito istituzionale dell’amministrazione o dell’ente, l’indirizzo web della piattaforma per le segnalazioni di whistleblowing (FAQ n. 1.18);
- ai possibili mezzi tecnici cui ricorrere per garantire la non tracciabilità del segnalante nell’ipotesi in cui l’accesso alla piattaforma informatica sia mediato da dispositivi firewall o proxy (FAQ n. 1.21);
- al tracciamento dell’attività degli utenti del sistema e al divieto di tracciamento di qualunque informazione che possa ricondurre all’identità o all’attività del segnalante (FAQ n. 1.22).
Guida all’implementazione di un sistema di whistleblowing
Come implementare un efficace sistema di whistleblowing nella tua azienda.
La conservazione delle segnalazioni
Una rapida considerazione a prima lettura delle FAQ dell’ANAC riguarda il tema dei termini di conservazione delle segnalazioni, in relazione al quale, tra l’altro, si afferma che «Le LLGG n. 469/2021 non prevedono, quindi, un termine di conservazione delle segnalazioni che sia vincolante per tutte le amministrazioni. Spetta, infatti, a ciascuna di esse, in base alle esigenze specifiche, definire nel PTPCT o nell’atto organizzativo cui il Piano rinvia, modalità e termini di conservazione dei dati, appropriati e proporzionati ai fini della procedura di whistleblowing. Per le segnalazioni ricevute da ANAC, alla luce delle specifiche esigenze e competenze dell’Autorità, è stato previsto un termine minimo di conservazione delle segnalazioni, pari almeno a 10 anni. Nel caso in cui sia instaurato un giudizio, tale termine si prolunga fino alla conclusione del giudizio stesso».
Il rischio che si intravede nel termine previsto dall’ANAC, ancorché relativamente alle sole segnalazioni dalla stessa ricevute, quale termine unico e minimo di conservazione è che esso possa essere acriticamente assunto come tertium comparationis anche da altre amministrazioni o enti, laddove le concordati indicazioni provenienti dall’ex WP29 (Parere 1/2006 relativo all´applicazione della normativa UE sulla protezione dei dati alle procedure interne per la denuncia delle irregolarità riguardanti la tenuta della contabilità, i controlli contabili interni, la revisione contabile, la lotta contro la corruzione, la criminalità bancaria e finanziaria 1 febbraio 2006 – WP 117) e dell’EDPS (Guidelines on processing personal information within a whistleblowing procedure del dicembre 2019) così come di Autorità garanti per la protezione dei dati personali di altri Paesi (CNIL, Délibération 2019-139 du 18 juillet 2019 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles della Commission nationale de l’informatique et des libertés) sarebbero nel senso di declinare le tempistiche di conservazione delle segnalazioni e della documentazione alle stesse relativa in maniera diversificata, a seconda, a titolo di esempio, che alla segnalazione segua o meno una investigazione.
Nello specifico, secondo la declinazione “tripartita” delle tempistiche di conservazione dei dati relativi a segnalazioni di condotte illecite rinvenibile nelle fonti citate in precedenza, si dovrebbe infatti procedere alla:
- distruzione o anonimizzazione immediata dei dati personali relativi ad una segnalazione giudicata non rientrante nel perimetro del sistema di whistleblowing implementato;
- distruzione o anonimizzazione entro due mesi dal compimento delle operazioni di verifica in ordine ai fatti segnalati, ove tali operazioni non abbiamo avuto ulteriore seguito, nell’ipotesi di dati personali relativi ad una segnalazione giudicata rientrante nel perimetro del sistema di whistleblowing implementato;
- conservazione fino alla conclusione del procedimento e allo spirare dei termini di impugnazione per come previsti dalla legislazione nazionale di riferimento, nel caso che alla segnalazione abbia fatto seguito un’azione giudiziaria o disciplinare nei confronti del soggetto segnalato o segnalante.
In linea con tale impostazione, d’altronde, la presa di posizione dell’Autorità Nazionale Anticorruzione francese. Essa, nel recente (dicembre 2020) Avis relatif aux recommandations de l’Agence française anticorruption destinées à aider les personnes morales de droit pubblic et de droit privé à prevenir et à decter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêts, de détournement de fonds publics et de favoritisme dell’Agence Française Anticorruption (AFA), in cui, a proposito di “Archivage des alertes et de leur traitement” (nn. 281-284), si afferma con nettezza che «La durée de conservation et d’archivage des données personnelles relatives à une alerte va différer suivant que l’alerte est ou non suivie d’effets», per poi proseguire precisando che «Si le responsable du traitement décide de donner suite à une alerte, ou qu’une action disciplinaire ou contentieuse est engagée, l’ensemble des données à caractère personnel collectées à l’occasion de l’instruction peuvent être conservées jusqu’au terme de la procédure, jusqu’à acquisition de la prescription (six ans) ou épuisement des voies de recours. Dans le cas où l’instruction de l’alerte ne débouche sur aucune suite, les données à caractère personnel doivent être détruites ou anonymisées dans les deux mois suivants la clôture de l’instruction. Pour les alertes recueillies par le biais d’un dispositif technique unique de recueil, et ne concernant pas des faits susceptibles d’être qualifiés de corruption, les durées de conservation sont encadrées, par le décret n° 2017-564 du 19 avril 2017 relatif aux procédures de recueil des signalements émis par les lanceurs d’alerte au sein des personnes morales de droit public ou de droit privé ou des administrations de l’Etat».
Prospettive future
Sarà interessante vedere se si registreranno evoluzioni sul punto, magari nel corso dell’iter di recepimento della Direttiva Whistleblowing (UE) 2019/1937 del Parlamento Europeo e del Consiglio del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione, iter ripreso di recente con l’approvazione, ad opera della Camera, del Disegno di legge, recante “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti normativi dell’Unione europea – Legge di delegazione europea 2021″, attualmente all’attenzione delle Commissioni del Senato.
