g-docweb-display Portlet

Parere sullo schema di "Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)" - 4 dicembre 2019 [9215763]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE Newsletter del 20 dicembre 2019

 

[doc. web n. 9215763]

Parere sullo schema di "Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)" - 4 dicembre 2019

Registro dei provvedimenti
n. 215 del 4 dicembre 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito “Regolamento”;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, di seguito “Codice”;

Vista la legge 30 novembre 2017, n. 179 (in G. U. 14.12.2017, n. 291) recante Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato;

Visto l’art. 54-bis, e in particolare il comma 1, del decreto legislativo 30 marzo 2001, n. 165 (“Tutela del dipendente pubblico che segnala illeciti”), come modificato dall’art. 1, comma 2, della l. n. 179/2017, in base al quale: “Il pubblico dipendente che, nell'interesse dell'integrità della pubblica amministrazione, segnala al responsabile della prevenzione della corruzione e della trasparenza di cui all'articolo 1, comma 7, della legge 6 novembre 2012, n. 190, ovvero all'Autorità nazionale anticorruzione (ANAC), o denuncia all'autorità giudiziaria ordinaria o a quella contabile, condotte illecite di cui è venuto a conoscenza in ragione del proprio rapporto di lavoro non può essere sanzionato, demansionato, licenziato, trasferito, o sottoposto ad altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro determinata dalla segnalazione. L'adozione di misure ritenute ritorsive, di cui al primo periodo, nei confronti del segnalante è comunicata in ogni caso all'ANAC dall'interessato o dalle organizzazioni sindacali maggiormente rappresentative nell'amministrazione nella quale le stesse sono state poste in essere. L'ANAC informa il Dipartimento della funzione pubblica della Presidenza del Consiglio dei ministri o gli altri organismi di garanzia o di disciplina per le attività e gli eventuali provvedimenti di competenza”;

Visto, in particolare, il comma 5 del citato articolo, come modificato dall’art. 1, comma 2, della l. n. 179/2017, che prevede che “L'ANAC, sentito il Garante per la protezione dei dati personali, adotta apposite linee guida relative alle procedure per la presentazione e la gestione delle segnalazioni” e che “Le linee guida prevedono l'utilizzo di modalità anche informatiche e promuovono il ricorso a strumenti di crittografia per garantire la riservatezza dell'identità del segnalante e per il contenuto delle segnalazioni e della relativa documentazione”, nonché il successivo comma 6 che attribuisce uno specifico potere sanzionatorio in capo ad Anac, tra l’altro, quando “venga accertata l'assenza di procedure per l'inoltro e la gestione delle segnalazioni ovvero l'adozione di procedure non conformi a quelle di cui al comma 5”;

Vista la richiesta di parere di Anac del 6 novembre 2019 sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001, (c.d. whistleblowing)”, relativamente al testo che tiene conto degli esiti della consultazione pubblica a cui il documento è stato sottoposto, dal 24 luglio al 15 settembre 2019, e che, in particolare, individua le modalità per la presentazione e la gestione delle segnalazioni effettuate in ambito pubblico (art. 54-bis, cit.);

Considerato che il predetto schema di linee guida sostituirà la Determinazione n. 6 del 28 aprile 2015, recante Linee guida in materia di tutela del dipendente pubblico che segnala illeciti (c.d. whistleblowing);

Rilevato, in particolare, che il predetto schema di linee guida, intende fornire indicazioni in merito ai necessari accorgimenti tecnici che le pubbliche amministrazioni e gli altri enti contemplati dalla legge devono adottare per dare effettiva attuazione alla disciplina di settore, prevedendo, tra l’altro, specifiche modalità per la presentazione delle segnalazioni da parte di particolari categorie di segnalanti, quali, ad esempio, i lavoratori e i collaboratori delle imprese fornitrici di beni o servizi e che realizzano opere in favore dell’amministrazione pubblica (cui il nuovo quadro normativo garantisce il medesimo livello di tutela del dipendente pubblico; v. art. 54-bis, comma 2, cit.), ovvero da parte dei soggetti appartenenti alle magistratura ordinaria, amministrativa, contabile e tributaria (tenuto conto della rilevanza costituzione del ruolo ad essi riconosciuto dall’ordinamento; v. art. 101 Cost.);

Rilevato che il predetto schema di linee guida si articola in tre sezioni aventi ad oggetto rispettivamente:

- la ricostruzione del quadro normativo in materia, le principali novità intervenute sull’ambito soggettivo di applicazione dell’istituto e il rafforzato regime di tutela; le indicazioni sull’oggetto della segnalazione, sulle modalità di inoltro della stessa, sulle caratteristiche essenziali che il procedimento per la gestione delle segnalazioni deve avere presso tutte le amministrazioni tenute a tale obbligo (parte I);

- le indicazioni in merito alle modalità di gestione della segnalazione, con specifico riguardo alla trattazione in via informatizzata; le novità che riguardano il ruolo e i compiti del Responsabile della prevenzione della corruzione e della trasparenza (di seguito, “RPCT”) (parte II);

- la descrizione delle procedure gestite da Anac con riferimento sia alle segnalazioni di condotte illecite (effettuate da propri dipendenti o da dipendenti di altre amministrazioni o altri enti tenuti all’osservanza della normativa), sia a quelle relative alle misure ritorsive eventualmente poste in essere nei confronti dei segnalanti (parte III);

Considerato che l’acquisizione e gestione delle segnalazioni dà luogo a “trattamenti” di dati personali, anche appartenenti a particolari categorie di dati e relativi a condanne penali e reati, eventualmente contenuti nella segnalazione e in atti e documenti ad essa allegati, riferiti a “interessati”, ovvero alle persone fisiche (identificate o identificabili) che inoltrano una segnalazione o a quelle indicate come possibili responsabili delle condotte illecite o a quelle a vario titolo coinvolte nelle vicende segnalate (art. 4, par. 1, nn. 1) e 2), del Regolamento);

Considerato che i dati personali del soggetto che trasmette una segnalazione relativa a possibili condotte illecite di cui sia venuto a conoscenza in ragione del proprio servizio sono assistiti da un regime di garanzie particolarmente stringente allo scopo di prevenire l’adozione di misure discriminatorie nei confronti dello stesso (“l’identità del segnalante non può essere rivelata”; v. art. 54-bis, comma 3, cit., anche con riguardo alle eccezioni previste nell’ambito del procedimento penale, contabile e disciplinare) e che la segnalazione è comunque espressamente sottratta all'accesso previsto dagli articoli 22 e seguenti della legge 7 agosto 1990, n. 241, e successive modificazioni (v. art. 54-bis, comma 4, cit.);

Rilevato che i trattamenti di dati personali effettuati dalle amministrazioni e dagli altri enti tenuti all’applicazione della normativa di settore sono necessari per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (artt. 6, par. 1, lett. c), 9, par. 2, lett. b), e 10 del Regolamento in relazione all’art. 54-bis, cit.), nonché per l’esecuzione di un compito di interesse pubblico contemplato dall’ordinamento (artt. 6, par. 1, lett. e), e 9, par. 2, lett. g), del Regolamento);

Rilevato che la disciplina in materia di tutela del dipendente pubblico che segnala illeciti deve essere considerata come una delle “norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”, il cui rispetto è condizione di liceità del trattamento (art. 88 del Regolamento);

Considerato che lo schema di linee guida in esame è stato predisposto tenendo conto delle indicazioni fornite dall’Ufficio nel corso di alcuni incontri tenutisi con i rappresentanti di Anac, al fine di assicurare il corretto adempimento degli obblighi derivanti dal quadro normativo in materia e il rispetto della disciplina di protezione dei dati personali da parte dei titolari nell’ambito dalle procedure di acquisizione e gestione delle segnalazioni di presunti illeciti;

Considerato in particolare che lo schema delle linee guida individua alcune misure tecniche e organizzative di base che i titolari del trattamento devono adottare per garantire l’osservanza dei principi di protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (“privacy by design” e “by default”) nell’ambito delle procedure informatiche per l’acquisizione e gestione delle segnalazioni e nella definizione del proprio modello di gestione delle segnalazioni, ferma restando, in base al principio di responsabilizzazione, l’adozione di ogni altra misura idonea a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti posti in essere, da specificarsi nel Piano triennale di prevenzione della corruzione e della trasparenza (PTPCT) o in altro atto organizzativo (artt. 5, parr. 1, lett. f), e 2, 24, 25 e 32 del Regolamento);

Ritenuto che lo schema di linee guida in esame tiene conto di larga parte delle indicazioni fornite nel corso delle predette interlocuzioni con l’Ufficio, volte ad assicurare il rispetto della normativa in materia di protezione dei dati personali, tra le quali, in particolare:

- le misure atte a garantire la liceità, la correttezza e la trasparenza del trattamento (art. 5, par. 1, lett. a) e b), e 6, par. 3, lett. b) del Regolamento), nonché, in generale, il rispetto dei principi di protezione dei dati (art. 5 del Regolamento);

- il ruolo dell’RPCT, il quale è legittimato, dalla normativa di settore, a trattare i dati personali del segnalante e a conoscerne l’identità, e il ruolo dei soggetti che all’interno dell’organizzazione dell’ente trattano i dati personali contenuti nella segnalazione (artt. 4, par. 1, n. 10), 29, 32, par. 4, del Regolamento; v. art. 2-quaterdecies del Codice);

- il ruolo dei fornitori dei servizi informatici che, trattando i dati personali per conto del titolare (sia nel caso in cui la procedura informatica di acquisizione e gestione delle segnalazioni risieda presso il titolare sia nel caso in cui venga fornita in modalità “software as a service”), agiscono quali responsabili del trattamento (art. 28 del Regolamento);

- le misure tecniche e organizzative di base idonee a garantire la tutela dell’identità del segnalante, quali, tra le altre, gli accorgimenti per anonimizzare la segnalazione e la documentazione allegata al fine di evitare che dalle informazioni e dai fatti ivi descritti sia possibile risalire all’identità del segnalante; le cautele volte a garantire la non tracciabilità delle connessioni del segnalante alla procedura informatica (artt. 5, par. 1, lett. f), 24, 25 e 32 del Regolamento);

- l’introduzione del riferimento all’art. 2-undecies del Codice, quale specifica disposizione a tutela della riservatezza dell’identità del segnalante;

- il richiamo ai principali adempimenti previsti dalla normativa in materia di protezione dei dati personali (artt. 13, 14, 30, 35 e 36 del Regolamento), anche tenuto conto degli specifici rischi per i diritti e le libertà degli interessati nel contesto lavorativo;

- il richiamo alle disposizioni che prevedono le responsabilità, anche sul piano penale, derivanti dalla violazione della disciplina di protezione dei dati (artt. 58, par. 2, 82, 83 e 84 del Regolamento e 166 e ss. del Codice);

Rilevato, in via prioritaria, l’esigenza di modellare le indicazioni rinvenibili nello schema di linee guida sul dettato letterale della disciplina di settore, nelle parti in cui hanno una ricaduta diretta anche sulla tutela delle informazioni personali. In particolare:

1. il riferimento a “casi in cui si configurano condotte, situazioni, condizioni organizzative e individuali che potrebbero essere prodromiche, ovvero costituire un ambiente favorevole alla commissione di fatto corruttivi in senso proprio” (parte I, par. 2.2. dello schema di linee guida) non risulta pienamente aderente al tenore letterale dell’art. 54-bis del d.lgs. n. 165/2001, che si riferisce invece a “condotte illecite”. L’estensione dell’ambito oggettivo dell’istituto, in tali termini, prefigurando la possibile acquisizione e gestione di segnalazioni riferite anche a circostanze generiche riconducibili ad una fase antecedente all’eventuale commissione di possibili illeciti, rischia di comportare trattamenti di dati personali non pienamente riconducibili all’ambito di trattamento previsto dalla disciplina di settore;

2. occorre chiarire che al soggetto segnalato, presunto autore dell’illecito, non è, preclusa in termini assoluti la possibilità di esercitare i diritti previsti dagli artt. da 15 a 22 del Regolamento (UE) 2016/679. L’art. 2-undecies del Codice, infatti, stabilisce al suo comma 3, in relazione alle specifiche limitazioni ai diritti dell’interessato dallo stesso previste al comma 1 proprio con riferimento all’istituto del whistleblowing, che in tale ipotesi i diritti in questione possono essere esercitate per il tramite del Garante con le modalità di cui all’art. 160 del Codice medesimo. Il Garante informa l’interessato di avere eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale. È altresì previsto che il titolare del trattamento informi l’interessato di tale facoltà. Pertanto, si ritiene opportuno che le linee guida facciano espressa e chiara menzione di tale particolare strumento di tutela posto a garanzia sia del segnalante, sia del segnalato (parte I, par. 3.1, p.16);

3. la tabella recante, benché “a titolo meramente semplificativo, una elencazione minuziosa delle attività che potrebbero configurare le “condotte illecite” suscettibili di denuncia ai sensi dell’art. 54-bis del d.lgs. n. 165/2001 (parte I, par. 2.2, pag. 12), rischia di indurre gli enti tenuti a garantire la tutela dei segnalanti ad effettuare un trattamento di dati personale eccedente rispetto a quelli previsti dalla normativa; pertanto, si ritiene che la tabella dovrebbe esser rivista al fine di ricomprendere ipotesi di carattere più generale;

Ritenuto che nello schema di linee guida si rinvengono ancora alcuni ulteriori profili che richiedono un perfezionamento con riguardo alla protezione dai dati personali:

4. i soggetti terzi, espressamente indicati dall’art. 54-bis del d.lgs. n. 165/2001, a cui i dati relativi alla segnalazione possono essere comunicati (ovvero l’autorità giudiziaria e la Corte dei conti) trattano i dati nello svolgimento di propri compiti istituzionali e, dunque, in qualità di titolari del trattamento. Conseguentemente, si ritiene debba essere espunto il riferimento al fatto che essi siano “responsabili del trattamento dei dati personali” (parte I, par. 3.1, p.17);

5. le linee guida devono essere modificate prevedendo che, qualora le esigenze istruttorie richiedano che altri uffici, all’interno dell’amministrazione, debbano essere messi a conoscenza del contenuto della segnalazione o della documentazione ad essa allegata, non debba essere rivelata l’identità del segnalante, provvedendo ad espungere i dati identificativi del segnalante e ogni altro elemento che possa, anche indirettamente, consentire l’identificazione dello stesso (parte I, par. 3.1.); resta fermo che, anche in questi casi, poiché nella documentazione trasmessa potrebbero essere presenti dati personali di altri interessati (es. soggetto cui sono imputabili le possibili condotte illecite), i soggetti che trattano i dati devono comunque essere “autorizzati” al riguardo (artt. 4, par. 1, n. 10), 29, 32, par. 4, del Regolamento e 2-quaterdecies del Codice); tali soggetti non sono, peraltro, direttamente “responsabili anche in caso di violazione della disciplina sul trattamento dei dati personali”, atteso che tali violazioni sono imputabili al titolare del trattamento ovvero, in tale caso, all’amministrazione o all’ente in quanto persona giuridica (art. 4, par. 7) del Regolamento);

6. sebbene sia stato recepito il suggerimento dell’Ufficio in merito all’opportunità di acquisire, sin dal momento della presentazione della segnalazione, l’eventuale consenso del segnalante ai fini della rivelazione della propria identità quando ricorrano le condizioni richieste dalla legge (cfr. art. 54-bis, comma 3, cit. che ammette tale possibilità esclusivamente “ai fini del procedimento disciplinare” e nel caso in cui la contestazione “sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità del segnalante sia indispensabile per la difesa dell'incolpato”), tuttavia, nel testo delle linee guida, tale consenso è stato erroneamente riferito, anziché alla rivelazione dell’identità all’ufficio competente a trattare procedimenti disciplinari, alla “trasmissione dell’identità ai soggetti esterni all’amministrazione previsti dalla legge”(parte II, par. 2.2);

7. in conformità a quanto previsto dall’art. 54-bis del d.lgs. n. 165/2001, la possibilità di associare la segnalazione all’identità del segnalante deve essere unicamente riservata all’RPCT, espungendo nel testo il riferimento alla possibilità di “consentire l’accesso dell’istruttore all’identità del segnalante esclusivamente dietro espresso consenso del custode dell’identità” (parte II, par. 2.2);

8. con riguardo alla figura del custode dell’identità del segnalante, qualora sia soggetto diverso dall’RPCT, occorre precisare che, sebbene tale soggetto non tratti direttamente i dati relativi al segnalante e quelli contenuti nella segnalazione, lo stesso opera in qualità di “autorizzato” al trattamento (artt. 4, par. 1, n. 10), 29, 32, par. 4, del Regolamento e 2-quaterdecies del Codice); non potendosi escludere che nella motivazione addotta dall’RPCT al fine di poter conoscere l’identità del segnalante siano presenti elementi dai quali sia possibile identificare gli interessati (parte II, par. 2.2);

9. il personale dell’amministrazione con mansioni di manutenzione e conduzione applicativa del sistema, opera in qualità di “autorizzato” al trattamento (artt. 4, par. 1, n. 10), 29, 32, par. 4, del Regolamento e 2-quaterdecies del Codice), non già come responsabile ai sensi dell’art. 28 del Regolamento (parte II, par. 2.2);

10. con riguardo alle segnalazioni pervenute mediante gli eventuali canali diversi dalla procedura informatica (es. posta elettronica certificata o posta ordinaria), indicati dal titolare nel PTPCT o in altro atto organizzativo, si ritiene opportuno che queste siano protocollate in un apposito registro riservato;

Ritenuto, altresì, che con riferimento ai profili relativi alla sicurezza del trattamento, nell’ambito dell’acquisizione e gestione delle segnalazioni tramite procedure informatiche (parte II, par. 2.2), sia necessario che le linee guida vengano integrate o modificate nei termini di seguito rappresentati:

11. al fine di tutelare più efficacemente l’identità del segnalante, la piattaforma per l’acquisizione e gestione delle segnalazioni non deve inviare alcun messaggio di notifica (es. in caso di variazione dello stato di avanzamento dell’istruttoria, richiesta di integrazione, richiesta del consenso a rivelare l’identità nell’ambito di un procedimento disciplinare, ecc.) sulla casella di posta elettronica individuale che l’amministrazione o l’ente ha assegnato al dipendente/segnalante;

12. qualora la piattaforma per l’acquisizione e gestione delle segnalazioni invii messaggi (es. in caso di variazione dello stato di avanzamento dell’istruttoria, riscontro del segnalante a una richiesta di integrazione, riscontro del segnalante a una richiesta di consenso a rivelare la propria identità nell’ambito di un procedimento disciplinare, ecc.) sulla casella di posta elettronica individuale che l’amministrazione o l’ente ha assegnato all’RPCT, all’istruttore o al custode dell’identità, tali messaggi non devono contenere riferimenti all’identità del segnalante o all’oggetto della segnalazione;

13. la piattaforma per l’acquisizione e gestione delle segnalazioni deve assicurare l’accesso selettivo ai dati delle segnalazioni, da parte dei diversi soggetti autorizzati al trattamento, prevedendo, ad esempio, una procedura per l’assegnazione, da parte dell’RPCT, della trattazione di specifiche segnalazioni all’eventuale personale di supporto;

14. la piattaforma per l’acquisizione e gestione delle segnalazioni deve tracciare le attività (accessi e operazioni) effettuate unicamente dall’RPCT e dagli altri soggetti autorizzati al trattamento (inclusi quelli che gestiscono le utenze del sistema e attribuiscono loro i relativi profili di autorizzazione), e non anche quelle effettuate dal segnalante; deve, inoltre, essere precisato che tale tracciamento deve essere effettuato esclusivamente al fine di garantire la correttezza e la sicurezza del trattamento;

15. con riferimento alle scelte che lo schema di linee guida rimette alla valutazione dei titolari al fine di garantire la sicurezza e la riservatezza delle informazioni raccolte,  deve essere incluso anche il riferimento alle modalità di accesso alla piattaforma, che potranno prevedere sistemi di autenticazione informatica basati su tecniche di strong authentication; tale valutazione dovrà essere effettuata caso per caso anche in ragione delle specificità del contesto del trattamento (art. 32, par. 1, del Regolamento), quali, ad esempio, la dimensione del titolare, il numero dei dipendenti e la ricorrenza di specifiche situazioni di criticità ambientali;

16. con riferimento alle modalità di “accesso sicuro e protetto all’applicazione per tutti gli utenti”, la procedura informatica deve prevedere l’utilizzo esclusivo di protocolli sicuri di trasporto dei dati (quali, il protocollo https) al fine di garantire una comunicazione sicura sia in termini di riservatezza e integrità dei dati relativi all’identità del segnalante e al contenuto della segnalazione, che di autenticità delle pagine web utilizzato dalla procedura informatica per l’acquisizione e la gestione delle segnalazioni;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO

ai sensi dell’art. 36, par. 4, del Regolamento esprime parere favorevole sullo schema di Linee guida di cui all’art. 54-bis, comma 5, del d.lgs. n. 165/2001 con le condizioni di cui ai punti da 1) a 3), nonché le osservazioni di cui ai restanti punti da 4) a 16).

Roma, 4 dicembre 2019

IL PRESIDENTE
SORO

IL RELATORE
IANNINI

IL SEGRETARIO GENERALE
BUSIA