Qualche settimana fa abbiamo discusso del fenomeno del Whistleblowing, focalizzandoci sulla necessità di implementare una scrupolosa valutazione dei canali di segnalazione adottati in conformità con le disposizioni della Direttiva NIS2 e in previsione dell'imminente recepimento della normativa attraverso il Decreto Legislativo n. 138 del 2024.
Read the full post
Oggi, invece, vorremmo parlarvi dello "Schema di Linee guida in materia di Whistleblowing sui canali interni di segnalazione", pubblicato dall'Autorità Nazionale Anticorruzione lo scorso 7 novembre 2024. In pratica, a completamento e ad integrazione delle indicazioni già fornite dall’ANAC con la delibera del 12 luglio 2023 n. 311, l’Autorità ha adottato lo schema di nuove Linee Guida volte a fornire indicazioni sulle modalità di gestione dei canali interni di segnalazione. L’obiettivo è garantire un’applicazione uniforme ed efficace della normativa sul Whistleblowing e indirizzare ulteriormente i soggetti tenuti a dare attuazione alla stessa.
Ricordiamo ai nostri lettori che tali Linee Guida non sono ancora cogenti in quanto sono in fase di consultazione pubblica fino al 9 dicembre 2024. Se sei un ente pubblico o una società privata puoi partecipare al processo di consultazione mediante la compilazione di un questionario on line scaricabile dalla pagina dell'ANAC: link qui
La dicotomia delle modalità di segnalazione: forma scritta vs orale
Nel contesto dell’attuazione delle disposizioni normative sul whistleblowing, recentemente l’Autorità Nazionale Anticorruzione (ANAC) ha proposto di aggiornare le proprie linee guida, ponendo l’accento sull’importanza di garantire modalità diversificate e adeguate per la segnalazione di illeciti, in conformità al D.Lgs. n. 24 del 2023. Tali indicazioni si dimostrano di fondamentale rilevanza per le organizzazioni, siano esse pubbliche o private, che sono tenute a implementare adeguate misure per la raccolta e la gestione delle segnalazioni.
L’ANAC, nella sua funzione di vigilanza e di prevenzione della corruzione in tutti gli ambiti dell'attività amministrativa, ha ribadito che i soggetti destinatari della normativa devono garantire una pluralità di modalità di comunicazione al segnalante, contemplando sia le forme scritte che quelle orali. In particolare, risulta essenziale che le organizzazioni che si trovano ad attivare canali di segnalazione assicurino la possibilità di inviare segnalazioni in modo riservato e sicuro. L’Autorità ha nuovamente richiamato l'attenzione sulla necessità di implementare un’apposita piattaforma informatica, da ritenere preferibile per la gestione delle segnalazioni. Questa scelta è giustificata dalla capacità di tali strumenti digitali di garantire livelli superiori di sicurezza informatica e di protezione dei dati personali, sia nella fase di acquisizione delle segnalazioni, sia in quella di gestione.
Passi indietro nel percorso di digitalizzazione globale?
Lo schema di Linee Guida proposto dall'ANAC pone, ancora una volta, un interrogativo cruciale: sebbene si enfatizzi l’utilizzo delle piattaforme digitali, perché insistere sulla necessità di mantenere altre modalità di segnalazione, quali linee telefoniche dedicate o incontri di persona? Questa apparente contraddizione solleva preoccupazioni relative alla coerenza della strategia di digitalizzazione in atto. Il ricorso a linee telefoniche gratuite, gestite da operatori autorizzati, e a sistemi di messaggistica vocale, pur presentando vantaggi in termini di immediatezza, tendono a compromettere la riservatezza del segnalante. La questione solleva quindi una riflessione critica su come tali approcci possano davvero garantire la protezione delle informazioni e la riservatezza dell'identità del segnalante, elementi cardini della normativa sul Whistleblowing.
Consenso: la base giuridica legittimante per registrare una telefonata
Nell’ambito del D. Lgs. 24/2023 uno dei principi fondamentali rimane quello della riservatezza del segnalante. Tuttavia, è legittimo interrogarsi sull’efficacia delle modalità di segnalazione alternative – come le comunicazioni telefoniche e i messaggi vocali – nel garantire effettivamente tale riservatezza. L’articolato approccio dell’ANAC richiede che il consenso del segnalante sia espresso prima della registrazione delle segnalazioni, portando all'emergere di questioni relative alla natura di tale consenso (ex art. 6 GDPR). Ci si potrebbe domandare come plurimi canali di comunicazione possano assicurare un consenso libero, specifico e informato; e se, nel caso di segnalazioni via telefono, l’incaricato alla raccolta delle informazioni sia tenuto a informare il segnalante riguardo alla registrazione prima di dar seguito alla sua segnalazione. Nel caso in cui l'interessato non fornisca un consenso espresso, ci si interroga su quale debba essere il comportamento del designato whistleblowing. È lecito concludere che egli dovrebbe rifiutarsi di raccogliere la segnalazione, operando così in modo da non compromettere un diritto legalmente riconosciuto?
Doppio consenso: registrazione e condivisione della segnalazione
Nel presente contesto, lo schema di linee guida dell'ANAC pare affermare che il consenso dell'interessato costituisce la base giuridica per il trattamento dei dati, specificamente per la registrazione della telefonata tramite cui viene effettuata la segnalazione. È opportuno sottolineare un aspetto di rilevante importanza: il designato whistleblowing non solo è tenuto a richiedere il previo consenso del segnalante per l'eventuale registrazione della stessa; è altresì tenuto a richiedere al segnalante di fornire il proprio consenso in merito alla comunicazione delle informazioni a soggetti diversi da quelli competenti per la ricezione e la gestione della segnalazione.
La normativa vigente chiarisce esplicitamente che l'identità del segnalante e qualsiasi altra informazione che consenta di dedurre, sia direttamente sia indirettamente, la sua identità, non possono essere divulgate senza il consenso espresso del segnalante stesso a terzi non autorizzati a ricevere o a dare seguito alle segnalazioni. Questo imperativo normativo mira a garantire la massima protezione e riservatezza per chi decide di segnalare irregolarità, preservando dettagli personali e sensibili connessi all’identità dell'interessato.
Esempio: Nel contesto di un ente pubblico, consideriamo il caso del Sig. Bianchi, un dipendente che decide di contattare il canale di whistleblowing per segnalare un presunto comportamento illecito da parte di un altro dipendente. Quando il Sig. Bianchi chiama, il designato per il whistleblowing, il Dott. Verdi, lo informa che la conversazione verrà registrata al fine di garantire una corretta gestione della segnalazione. Prima di procedere, il Dott. Verdi chiede esplicitamente al Sig. Bianchi se acconsente a questa registrazione. Solo dopo aver ricevuto il consenso orale del Sig. Bianchi, il Dott. Verdi avvia la registrazione della chiamata. Successivamente, il Dott. Verdi chiarisce al Sig. Bianchi che le informazioni fornite potrebbero essere condivise con persone diverse da quelle incaricate della gestione della segnalazione, come ad esempio il personale legale o la direzione. Prima di procedere, il Dott. Verdi richiede un ulteriore consenso al Sig. Bianchi, informandolo sui possibili destinatari delle informazioni. Solo dopo aver ricevuto un consenso chiaro e informato, il Dott. Verdi registra questa informazione. Alla fine della chiamata, è importante sottolineare che, ai sensi della normativa vigente, l'identità del Sig. Bianchi e qualsiasi informazione che possa permettere di identificarlo non possono essere divulgate a terzi non autorizzati senza il suo consenso espresso.
Conservazione delle segnalazioni
Le tempistiche di conservazione delle registrazioni richiedono un chiarimento che trascenda la semplice indicazione normativa relativa alla conservazione per cinque anni (art. 14 del D. Lgs. 24/2023). È lecito interrogarsi se esistano tempistiche specifiche per la conservazione delle registrazioni, dato che il principio che guida l'azione del Titolare del trattamento dovrebbe essere la finalità del trattamento medesimo ovvero l'obbligo normativo. È evidente che, qualora il designato whistleblowing effettui la verbalizzazione e/o la protocollazione della segnalazione, l'organizzazione potrebbe decidere di procedere con la cancellazione della registrazione. Ciò si giustificherebbe, in quanto un ulteriore trattamento dei dati registrati potrebbe risultare eccedente e non conforme ai principi di liceità, necessità e proporzionalità previsti dal GDPR.
Esempio: Immaginiamo che un dipendente di un ente pubblico, il Sig. Rossi, decida di segnalare un presunto abuso di potere da parte di un suo superiore attraverso una telefonata al canale di whistleblowing dell'organizzazione, dove la chiamata viene registrata dal designato per il whistleblowing. Durante la chiamata, previo consenso, il Sig. Rossi fornisce dettagli sulla situazione problematica, e il designato annota anche altre informazioni necessarie per la gestione della segnalazione. Il designato per il whistleblowing, dopo aver concluso la conversazione telefonica, procede a verbalizzare la segnalazione, creando un documento ufficiale che riporta i contenuti dell'informativa ricevuta. Questo documento viene quindi formalmente protocollato in conformità con le procedure amministrative dell'ente. Riconoscendo che il contenuto della telefonata è stato adeguatamente trascritto e documentato, l'organizzazione decide di cancellare la registrazione della chiamata. Questo atto si giustifica in quanto il trattamento aggiuntivo dei dati registrati non è più necessario per le finalità per le quali i dati erano stati inizialmente raccolti, ovvero la gestione della segnalazione.
Noreply: la Tua segnalazione è stata presa in carico!
Un tema di particolare rilevanza riguarda l'onere probatorio gravante sull'organizzazione. L'impiego di canali interni digitalizzati semplifica la registrazione delle segnalazioni, poiché consente di generare un codice univoco capace di identificare la segnalazione, nonché la data e l'orario in cui essa è stata effettuata e, se del caso, presa in carico. Tuttavia, la gestione delle segnalazioni comunicate oralmente può dare luogo a interpretazioni ambigue. Si ritiene, pertanto, che la responsabilità della corretta presa in carico delle segnalazioni debba ricadere sull'organizzazione stessa, la quale è tenuta a rendere esplicito il proprio impegno attraverso atti organizzativi interni.
Le linee guida sembrano perpetuare un errore attribuendo la responsabilità esclusivamente al gestore della segnalazione, il quale si limita a prendere in carico e gestire la segnalazione. Questa figura agisce sotto l'autorità dell'organizzazione, in qualità di soggetto autorizzato (ex art. 29 GDPR), oppure per conto della medesima nel caso di soggetti terzi che operano per conto (ex art. 28 GDPR). La responsabilità della presa in carico è, infatti, di natura istituzionale; è l'organizzazione che deve garantire l'accoglimento della segnalazione, formalizzare le modalità della presa in carico nell'atto organizzativo interno, governare l'intero processo di segnalazione e verificare, assiduamente, che i soggetti deputati alla gestione delle segnalazioni abbiano dato seguito alla presa in carico e gestito le segnalazioni pervenute tramite i canali interni istituiti.
In questo senso, la garanzia di riservatezza nella verbalizzazione degli incontri è un punto fondamentale. Le modalità di presa in carico meritano di essere definite - nello schema di Linee Guida - con maggior precisione per evitare ambiguità operative. Ci chiediamo, poi, con quali strumenti dovrà un designato whistleblowing verbalizzare l'incontro tenutosi con il segnalante "di persona": dovrà prendere appunti su un quaderno oppure potrà aprire un file word e salvare tutto sul pc che porta con se? Queste modalità garantiscono, la punto di vista della Data Protection, un completo adeguamento alla normativa applicabile?
In una cornice legislativa in continua evoluzione e, di fronte a tali modalità di raccolta delle segnalazioni, si ravvisa la necessità di stabilire un metodo chiaro e sistematico per la presa in carico delle segnalazioni di illeciti. L’accertamento della responsabilità dell’organizzazione e la garanzia della riservatezza del segnalante non possono prescindere dall'adozione di procedure interne chiare e trasparenti. La normativa impone non solo l'utilizzo di strumenti adeguati, ma anche la creazione di un contesto organizzativo che favorisca un ambiente di fiducia, in cui i segnalanti possano operare senza timore di ritorsioni.
Nelle linee guida dell’ANAC si enunciano obblighi espliciti per le organizzazioni, ma permane una lacuna riguardo alle specifiche modalità operative da attuare per garantire una corretta gestione delle segnalazioni. In particolare, qualora le segnalazioni siano inviate in forma scritta tramite busta chiusa e destinate al Responsabile della Prevenzione della Corruzione e della Trasparenza (RPCT) – soprattutto in situazioni di assenza per ferie o malattia del destinatario – il rischio di un'inefficace gestione della segnalazione è palpabile. L’Autorità ha chiarito che l’avviso di ricevimento deve essere comunicato secondo le modalità espresse dal segnalante; tuttavia, ciò solleva interrogativi sulla prassi da seguire in assenza di indicazioni specifiche da parte del segnalante. La questione dell'invio della comunicazione di presa in carico si rivela di notevole importanza. Resta da chiarire se la forma di comunicazione tramite e-mail possa considerarsi lecita e valida nel rispetto delle disposizioni riguardo la riservatezza e la protezione dei dati in assenza di un recapito specificato nell’atto di segnalazione. Tale omissione potrebbe dare origine a problematiche logistiche e di validità della segnalazione e/o sulle garanzie del processo, esponendo l'organizzazione a possibili contestazioni.
+Consapevolezza +Sensibilità +Formazione
In questo contesto, appare fondamentale che le organizzazioni investano in formazione e consapevolezza sulle tematiche del whistleblowing per garantire che tutti gli attori coinvolti, dal personale agli incaricati della gestione delle segnalazioni, comprendano pienamente le loro responsabilità e i diritti dei segnalanti. L’implementazione di un sistema strutturato e tempestivo di feedback e comunicazione è essenziale per consolidare la fiducia del whistleblower nell'efficacia delle misure di protezione e gestione delle segnalazioni.
Alla luce di quanto esposto, una riflessione approfondita sulle linee guida proposte dall'ANAC risulta necessaria non solo per comprendere le implicazioni pratiche della normativa sul whistleblowing, ma anche per valutare l'impatto delle scelte normative sulle organizzazioni e sulle loro dinamiche interne. La futura attuazione delle stesse richiede un'analisi che vada oltre la mera conformità legislativa, mirando piuttosto a integrare un sistema reale di protezione e incoraggiamento dei segnalanti.
Il futuro delle politiche di whistleblowing in Italia dovrà necessariamente concentrarsi sull’elaborazione di strategie efficaci e sull'adozione di strumenti che garantiscano la sicurezza e la riservatezza dei segnalanti, affiancati da una formazione adeguata e da una comunicazione aperta e trasparente. Una vera cultura del whistleblowing, in grado di promuovere la legalità e la trasparenza, può prosperare solo in un ambiente che riconosce e valorizza il coraggio di chi sceglie di segnalare irregolarità, tutelandone i diritti e assicurando un trattamento equo e rispettoso delle normative in vigore.
In conclusione, lo schema di linee guida fornite dall’ANAC, sebbene rappresenti un passo significativo verso la protezione dei whistleblower e uno strumento operativo molto valido per i destinatari del D. Lgs. 24/2023, necessitano di un'applicazione dettagliata e di una riflessione approfondita per affinare le modalità attuative e garantire che esse rispondano veramente alle esigenze di riservatezza e sicurezza per chi, compiendo un "atto di coraggio", decide di segnalare situazioni di illecità all'interno della propria organizzazione. Solo attraverso un investimento concreto e mirato in questi aspetti si potrà realmente promuovere un ambiente favorevole alla trasparenza e alla responsabilità.