Whistleblowing: aggiornato il vademecum ANAC

L’Autorità Nazionale Anticorruzione spiega come disciplinare la procedura di gestione delle segnalazioni di whistleblowing e per la protezione delle persone che segnalano illeciti

di Redazione tecnica - 22/12/2021
© Riproduzione riservata
Whistleblowing: aggiornato il vademecum ANAC

Anac aggiorna le faq sul whistleblowing, fornendo un vademecum completo per la gestione della procedura di segnalazione di illeciti e per la protezione delle persone che effettuano le segnalazioni. Nello specifico, sono 22 i quesiti a cui l’Autorità Nazionale Anticorruzione ha fornito risposta per disciplinare correttamente ogni passaggio.

Vademecum Anac sul whistleblowing: le FAQ

Queste le FAQ Anac sul whistleblowing, aggiornate allo scorso 17 dicembre:

  1. Come va disciplinata la procedura di gestione delle segnalazioni di whistleblowing?
  2. La funzione del custode dell’identità è obbligatoria per le piattaforme informatiche?
  3. Ci sono indicazioni sui profili professionali più adeguati per rivestire il ruolo di custode dell’identità?
  4. Il custode dell’identità deve essere autorizzato al trattamento dei dati personali?
  5. Il segnalante ha la possibilità di rivelare al Responsabile della prevenzione della corruzione e della trasparenza (RPCT) la propria identità?
  6. Quali sono le motivazioni che possono essere richieste dal Responsabile della prevenzione della corruzione e della trasparenza (RPCT) al custode dell’identità affinché venga sbloccata l’identità del segnalante?
  7. Laddove il Responsabile della prevenzione della corruzione e della trasparenza (RPCT) coincida con il custode dell’identità, quale soggetto è competente a richiedere lo sblocco dei dati identificativi del segnalante?
  8. Nell’ipotesi in di avvicendamento di RPCT, il nuovo RPCT può accedere alle segnalazioni di whistleblowing ricevute dal RPCT precedente?
  9. Laddove l’amministrazione o l’ente decida di costituire un gruppo di lavoro a supporto del Responsabile della prevenzione della corruzione e della trasparenza (RPCT) l’accesso alla segnalazione di whistleblowing e ai dati ivi contenuti è consentito solo ai componenti del gruppo previamente individuati nel PTPCT o nell’apposito atto organizzativo cui il Piano rinvia?
  10. I componenti del gruppo di lavoro individuati dall’amministrazione/ente nel PTPCT o nell’atto organizzativo possono richiedere al custode l’identità del segnalante?
  11. È configurabile una responsabilità in capo ai componenti del gruppo di lavoro?
  12. I componenti del gruppo di lavoro possono accedere alla Piattaforma informatica di gestione delle segnalazioni di whistleblowing in modo autonomo dal Responsabile della prevenzione della corruzione e della trasparenza (RPCT)?
  13. Il Responsabile della prevenzione della corruzione e della trasparenza (RPCT) assegna, di volta in volta, la segnalazione di whistleblowing ai componenti del gruppo di lavoro individuati dall’amministrazione?
  14. Il soggetto cui è stata assegnata una segnalazione di whistleblowing può riassegnarla a sua volta ad un collega/ufficio ritenuto più appropriato?
  15. L’assegnazione di una segnalazione di whistleblowing è revocabile?
  16. Quale è il termine di conservazione delle segnalazioni di whistleblowing?
  17. Il termine di conservazione delle segnalazioni di whistleblowing deve essere fissato per tutte le segnalazioni, qualsiasi sia il canale utilizzato dal segnalante?
  18. Con quale modalità l’amministrazione o l’ente deve rendere pubblico il sistema informatico di gestione delle segnalazioni di whistleblowing?
  19. L’indirizzo web della piattaforma deve essere pubblicato sul sito istituzionale dell’amministrazione?
  20. Esistono requisiti specifici che la Piattaforma informatica di gestione delle segnalazioni di whistleblowing deve prevedere per evitare che il segnalante fornisca dati identificativi falsi o non corretti (es. Mario o Maria Rossi)?
  21. L’Amministrazione, nei casi in cui l’accesso alla piattaforma informatica è mediato da dispositivi firewall o proxy, come può garantire la non tracciabilità del segnalante?
  22. La piattaforma deve registrare gli accessi dei diversi utenti?

Vediamo le risposte nel dettaglio.

Whistleblowing: il vademecum ANAC

Come disciplinare la procedura di gestione delle segnalazioni di whistleblowing

La tutela del whistleblower rientra a pieno titolo tra le misure generali di prevenzione della corruzione da introdurre nel PTPCT di ogni amministrazione. Il PTPCT può anche rinviare, per maggiori dettagli, ad uno apposito atto organizzativo adottato dall’Organo di indirizzo. In ogni caso, l’Amministrazione è tenuta a disciplinare, in conformità alle presenti Linee Guida, le modalità, preferibilmente informatiche, per la ricezione e la gestione delle segnalazioni di whistleblowing, definendo, e tra l’altro, i tempi e i soggetti responsabili.

Funzione del custode dell’identità: è obbligatoria per le piattaforme informatiche?

Le Linee Guida n. 469/2021 disciplinano la figura del custode dell’identità quale ulteriore garanzia per la tutela della riservatezza del segnalante. Tuttavia, la legge non impone alle amministrazioni o agli enti di dotarsi di tale figura. Pertanto, non si considera, “obbligatoria” l’istituzione della figura del “custode”.

Indicazioni sui profili professionali più adeguati per rivestire il ruolo di custode dell’identità

Le Linee Guida n. 469/2021 prevedono che il custode dell’identità possa coincidere con il RPCT, ma, laddove l’amministrazione o l’ente scelga di attribuire tale funzione ad un soggetto diverso dal RPCT, tale scelta dovrà ricadere su un soggetto che abbia gli stessi requisiti di terzietà ed imparzialità che la legge impone per nominare il RPCT. Fermi questi requisiti, la scelta è rimessa alla valutazione dell’amministrazione.

Custode dell’identità: autorizzazione al trattamento dati personali

Anac precisa che il custode dell’identità deve essere autorizzato al trattamento dei dati personali. Sul punto, le LINEE GUIDA n. 469/2021 chiariscono che tutti i soggetti che trattano i dati – RPCT, componenti dell’eventuale gruppo di lavoro, custode dell’identità e personale degli altri uffici eventualmente coinvolti nella gestione della segnalazione di whistleblowing - devono comunque essere autorizzati e debitamente istruiti in merito al trattamento dei dati personali (ai sensi dell’art. 4, par. 10, 29, 32, §. 4 del Regolamento UE 2016/679 e art. 2-quaterdecies del d.lgs. 196 del 2003). Ciò in quanto nella documentazione trasmessa potrebbero essere presenti dati personali di altri interessati (es. soggetto cui sono imputabili le possibili condotte illecite).

Segnalante: possibilità di rivelare al Responsabile della prevenzione della corruzione e della trasparenza (RPCT) la propria identità

Le Linee Guida n. 469/2021 precisano che il RPCT è il soggetto legittimato, per legge, a trattare i dati personali del segnalante e, eventualmente, a conoscerne l’identità. Pertanto ove il segnalante lo ritenga opportuno, può svelare la propria identità al RPCT.

Motivazioni che il RPCT può chiedere al custode dell’identità per sbloccare l’identità del segnalante

Le Linee Guida n. 469/2021 chiariscono che si può consentire l’accesso del RPCT all’identità del segnalante esclusivamente dietro espresso consenso del custode dell’identità. E’ opportuno che le amministrazioni disciplinino, nel PTPCT, o nell’atto organizzativo cui rinvia il Piano con cui si definisce la procedura, anche i casi e le motivazioni in presenza delle quali il custode dell’identità è autorizzato a disvelare i dati identificativi del segnalante al RPCT (si pensi a titolo esemplificativo, ai seguenti casi:

  1. Il RPCT necessita di fornire i dati identificativi del whistleblower all'Autorità giudiziaria cui è stata trasmessa la segnalazione;
  2. il RPCT deve svolgere un'istruttoria complessa che richiede il coinvolgimento di più uffici interni e, quindi, per evitare di mettere a rischio il segnalante necessita di conoscerne l'identità (iii) il RPCT ha dubbi in merito alla qualifica di dipendente pubblico dichiarata dal segnalante)

Se il RPCT coincide con il custode dell’identità, quale soggetto è competente a richiedere lo sblocco dei dati identificativi del segnalante?

Laddove il ruolo di RPCT coincida con quello del custode dell’identità sarà il Responsabile l’unico soggetto competente a sbloccare i dati identificativi del segnalante. In tale ipotesi, il sistema dovrà registrare l'accesso all'identità da parte del RPCT e, per evitare abusi da parte di quest’ultimo, sarebbe opportuno se non doveroso che il RPCT mantenga traccia delle ragioni che hanno reso necessario conoscere l’identità del segnalante.

Avvicendamento di RPCT: il nuovo RPCT può accedere alle segnalazioni di whistleblowing ricevute dal RPCT precedente?

Le amministrazioni o gli enti possono disciplinare nel PTPCT, o nell’atto organizzativo cui il Piano rinvia, l’ipotesi di avvicendamento di RPCT. Secondo un principio di ragionevolezza e continuità dell’azione amministrativa è necessario che il nuovo RPCT abbia accesso alle segnalazioni ricevute anche dal RPCT precedente, specie se il procedimento sulla segnalazione non si sia ancora concluso. Il ruolo fondamentale nella gestione dellesegnalazioni è infatti attribuito direttamente dalla legge al soggetto cui l’amministrazione conferisce l’incarico di RPCT.

Se l’amministrazione o l’ente decida di costituire un gruppo di lavoro a supporto del RPCT l’accesso alla segnalazione di whistleblowing e ai dati ivi contenuti è consentito solo ai componenti del gruppo previamente individuati nel PTPCT o nell’apposito atto organizzativo cui il Piano rinvia?

Le Linee Guida n. 469/2021 prevedono che l’accesso alle informazioni e ai dati contenuti nella segnalazione, è consentito solo a soggetti del gruppo preventivamente individuati dall’amministrazione o dall’ente nel PTPCT o nell’atto organizzativo cui il Piano rinvia. ANAC raccomanda, inoltre, che il modello organizzativo adottato definisca le responsabilità in tutte le fasi del processo di gestione delle segnalazioni, con particolare riguardo agli aspetti di sicurezza e di trattamento delle informazioni. Tali misure trovano specifica applicazione in relazione alle caratteristiche del sistema informatico realizzato e si inseriscono nell’ambito dei presidi di sicurezza delle informazioni di carattere tecnico ed organizzativo predisposti dall’amministrazione nella gestione dei sistemi informativi.

I componenti del gruppo di lavoro individuati dall’amministrazione/ente nel PTPCT o nell’atto organizzativo possono richiedere al custode l’identità del segnalante?

Le Linee Guida n. 469/2021 chiariscono che il custode delle identità, dietro esplicita e motivata richiesta, può consentire al RPCT di accedere all’identità del segnalante. In merito a tali profili, al fine di fornire indicazioni utili, si descrive a titolo esemplificativo la prassi utilizzata da Anac.

La piattaforma distingue il ruolo del Coordinatore (dirigente dell’UWHIB) e degli istruttori (funzionari dell’UWHIB). Il Coordinatore riceve le segnalazioni di whistleblowing e le assegna a ciascun funzionario chiamato a gestire concretamente le singole segnalazioni. Nel caso in cui sia necessario conoscere l’identità del segnalante (ad esempio nel caso di trasmissione dati identificativi alle Procure), il Coordinatore (e non l’istruttore) formula la richiesta di autorizzazione al Custode dell’Identità.

Configurazione responsabilità in capo ai componenti del gruppo di lavoro

Le Linee Guida n. 469/2021 chiariscono che, al fine di rafforzare le misure a tutela della riservatezza del segnalante, è opportuno che le amministrazioni introducano nei codici di comportamento, adottati ai sensi dell’art. 54, co. 5, del d.lgs. 165/2001, forme di responsabilità specifica in capo sia al RPCT che riceve e gestisce le segnalazioni di whistleblowing, sia a tutti gli altri soggetti - ivi inclusi i componenti del gruppo di lavoro- che nell’amministrazione possano venire a conoscenza delle segnalazioni, con i dati e le informazioni in essa contenuti. La violazione dei doveri contenuti nel codice di comportamento è fonte di responsabilità disciplinare.

Accesso autonomo dei componenti del gruppo di lavoro alla Piattaforma informatica di gestione delle segnalazioni di whistleblowing

Il RPCT riceve le segnalazioni di whistleblowing e provvede ad assegnarle nella Piattaforma informatica ai singoli componenti del gruppo di lavoro per coadiuvarlo nello svolgimento dell’attività istruttoria. Ciascun componente del gruppo di lavoro può accedere alla Piattaforma informatica di gestione delle segnalazioni separatamente dal RPCT per svolgere le necessarie attività in merito alle segnalazioni assegnategli.

Assegnazione segnalazioni ai componenti del gruppo di lavoro

Nelle Linee Guida n. 469/2021 è chiarito che Il RPCT è il soggetto legittimato per legge a ricevere e prendere in carico le segnalazioni di whistleblowing e quindi a trattare i dati personali del segnalante e, eventualmente, a conoscerne l’identità. Ne consegue che l’assegnazione di una segnalazione di whistleblowing deve essere, di volta in volta, disposta dal RPCT.

Riassegnazione di una segnalazione di whistleblowing

Non è possibile perché la facoltà di assegnazione delle segnalazioni di whistleblowing è consentita al solo RPCT.

Possibilità di revoca assegnazione di una segnalazione di whistleblowing

L’assegnazione di una segnalazione di whistleblowing può essere revocata dal RPCT con apposita motivazione.

Termine di conservazione delle segnalazioni di whistleblowing

Nelle Linee Guida n. 469/2021, con riferimento ai termini della conservazione delle segnalazioni, che sono stati valutati con il Garante per la protezione dei dati personali, si è precisato che i dati raccolti vadano conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

Le Linee Guida n. 469/2021 non prevedono, quindi, un termine di conservazione delle segnalazioni che sia vincolante per tutte le amministrazioni. Spetta, infatti, a ciascuna di esse, in base alle esigenze specifiche, definire nel PTPCT o nell’atto organizzativo cui il Piano rinvia, modalità e termini di conservazione dei dati, appropriati e proporzionati ai fini della procedura di whistleblowing.

Per le segnalazioni ricevute da ANAC, alla luce delle specifiche esigenze e competenze dell’Autorità, è stato previsto un termine minimo di conservazione delle segnalazioni, pari almeno a 10 anni. Nel caso in cui sia instaurato un giudizio, tale termine si prolunga fino alla conclusione del giudizio stesso.

Obbligo di specifica del termine conservazione delle segnalazioni di whistleblowing

è necessario prevedere un termine di conservazione dei dati vale per tutte le segnalazioni di whistleblowing ricevute dal RPCT, qualunque sia il canale utilizzato. Non vi sono, infatti, elementi per prevedere una differenziazione di trattamento.

Modalità di pubblicità del sistema informatico di gestione delle segnalazioni di whistleblowing

Le Linee Guida n 469/2021 chiariscono che l’Amministrazione dà notizia dell’adozione del sistema applicativo informatico di gestione delle segnalazioni di whistleblowing nella home page del proprio sito istituzionale in modo chiaro e visibile. È rimessa alla valutazione dell’amministrazione se rendere tale informativa come una news o come un contenuto permanente.

Pubblicazione indirizzo web della piattaforma sul sito istituzionale dell’amministrazione

Sempre le Linee Guida n. 469/2021 precisano che l’indirizzo web della piattaforma è raggiungibile da Internet, ma l’amministrazione/ente può decidere di non renderlo pubblico sul sito istituzionale. Ciò in quanto la pubblicazione del link alla piattaforma sul sito internet dell’Ente può esporre alla possibilità che il sistema venga utilizzato impropriamente da qualunque utente (ad esempio soggetti non dipendenti dell’Ente né delle imprese fornitrici) per inviare segnalazioni che non rientrano tra i casi di whistleblowing previsti dalla normativa.

L’afflusso di segnalazioni non pertinenti potrebbe non consentire un uso proprio della piattaforma dedicata, tenuto conto che spetta in primo luogo al RPCT, per ogni segnalazione, la valutazione sulla sussistenza dei requisiti essenziali contenuti nel co. 1 dell’art. 54-bis del d.lgs. 165/2001 per poter accordare o meno al segnalante le tutele ivi previste.

Pertanto, l’amministrazione, se lo ritiene opportuno, può decidere di adottare altre forme di pubblicità per i dipendenti e i collaboratori delle imprese fornitrici di beni o servizi e che realizzano opere in favore dell'amministrazione pubblica (ad es. mediante comunicazione diretta del link al momento della sottoscrizione del contratto di fornitura).

La previsione delle Linee Guida è quindi intesa a salvaguardare il buon funzionamento della piattaforma dedicata e di conseguenza la tutela del whistleblower.

Requisiti specifici della Piattaforma informatica di gestione segnalazioni per prevenire inserimento di dati falsi o scorretti

Non vi sono requisiti specifici che la Piattaforma informatica deve prevedere per evitare il problema sollevato. Le contromisure al problema sono infatti strettamente correlate al livello tecnico dei sistemi dell’Ente.

Garanzia di non tracciabilità del segnalan te in caso di accesso alla piattaforma mediato da dispositivi firewall

Le Linee Guida n. 469/2021 chiariscono che la procedura di gestione delle segnalazioni di whistleblowing utilizzata deve tutelare la riservatezza dell’identità del segnalante, del contenuto della segnalazione, della documentazione ad essa allegata nonché dell’identità di eventuali soggetti segnalati, garantendo l’accesso a tali informazioni solo ai soggetti autorizzati e previsti nell’iter procedurale.

Nel caso in cui l’accesso alla piattaforma informatica sia mediato da dispositivi firewall o proxy, l’Amministrazione deve garantire la non tracciabilità del segnalante nel momento in cui viene stabilita la connessione anche mediante l’impiego di strumenti di anonimizzazione dei dati di navigazione. La tecnologia TOR rappresenta una delle possibili soluzioni per l’anonimizzazione dei dati del segnalante.

Registrazione accessi utenti sulla piattaforma

Le Linee Guida n. 469/2021 specificano che occorre tracciare l’attività degli utenti del sistema nel rispetto delle garanzie a tutela del segnalante, al fine di evitare l’uso improprio di dati relativi alla segnalazione di whistleblowing. I relativi log devono essere adeguatamente protetti da accessi non autorizzati e devono essere conservati per un termine congruo rispetto alle finalità di tracciamento.

Deve essere evitato il tracciamento di qualunque informazione che possa ricondurre all’identità o all’attività del segnalante. Il tracciamento può essere effettuato esclusivamente al fine di garantire la correttezza e la sicurezza del trattamento dei dati. In ogni caso, La disciplina della gestione degli accessi e dei log applicativi rientra nella serie di atti organizzativi che l’amministrazione deve adottare per adempiere alle previsioni in materia di sicurezza informatica e protezione dei dati personali.