Negli ultimi anni, il sistema italiano di whistleblowing ha conosciuto un progressivo consolidamento, culminato con il recente parere del Garante per la protezione dei dati personali sugli schemi di Linee guida dell’Autorità Nazionale Anticorruzione (nota come “ANAC”) in materia di segnalazioni, sia per i canali interni sia per quelli esterni. Questo intervento rappresenta non solo un momento di verifica della coerenza normativa tra le Linee guida, il D.lgs. 24/2023 e il GDPR, ma anche un’occasione per definire standard operativi concreti e immediatamente applicabili, rafforzando l’efficacia e la sicurezza dei sistemi di gestione delle segnalazioni. Il parere del Garante sottolinea, infatti, come la protezione dei dati personali e la riservatezza del segnalante siano elementi imprescindibili per garantire la funzionalità del sistema, consolidando così un approccio integrato e responsabile alla gestione delle segnalazioni.

In primo luogo, il documento evidenzia la centralità della valutazione d’impatto sulla protezione dei dati (ossia “DPIA”), che non può essere considerata un mero adempimento formale, ma costituisce uno strumento dinamico di governo del rischio, necessario per verificare la compatibilità della soluzione tecnologica adottata e per aggiornare le misure di tutela in relazione all’evoluzione dei processi e delle piattaforme impiegate. La DPIA consente di prevenire potenziali vulnerabilità e di assicurare che la gestione delle segnalazioni rispetti pienamente le disposizioni privacy, anche quando l’elaborazione dei dati avviene tramite fornitori esterni. In questo contesto, la responsabilità ultima rimane del titolare del trattamento, mentre il supporto dei fornitori deve limitarsi a fornire informazioni e strumenti di assistenza tecnica.

Il parere del Garante evidenzia altresì la necessità di un approccio cauto alla conservazione dei dati, prevedendo che la documentazione relativa alle segnalazioni sia cancellata entro cinque anni dall’esito della procedura, salvo gli atti strettamente necessari a procedimenti in corso: tale misura, coerente con i principi di minimizzazione e limitazione della conservazione previsti dal GDPR, è essenziale per ridurre rischi legati a esposizione non necessaria dei dati sensibili.

Particolare rilievo viene dato alla gestione operativa delle segnalazioni, che richiede personale autorizzato e specificamente formato non solo sulle procedure di whistleblowing, ma anche sui profili di protezione dei dati. La formazione diventa quindi uno strumento chiave per garantire la corretta applicazione delle misure tecniche e organizzative e per tutelare l’integrità del processo. In caso di esternalizzazione del servizio, il soggetto incaricato assume la qualifica di responsabile del trattamento e la gestione dei rapporti deve essere conforme all’art. 28 del GDPR. All’interno dei gruppi societari, viene chiarito che la capogruppo non può essere considerata contitolare, ma responsabile del trattamento quando il canale interno è centralizzato, e le misure di segmentazione dei dati devono assicurare l’accesso alle sole informazioni di pertinenza di ciascun ente.

Il Garante, inoltre, sottolinea anche i limiti delle comunicazioni tramite posta elettronica ordinaria o certificata e cartacea, che, se non opportunamente mitigate, non garantiscono riservatezza né anonimato. Le piattaforme informatiche dedicate restano quindi lo strumento privilegiato, poiché consentono di implementare livelli avanzati di cifratura e di controllo degli accessi, assicurando la non tracciabilità del segnalante e la protezione dei dati in ogni fase del processo. Un altro elemento di rilievo riguarda la possibilità per il whistleblower di ricorrere al canale esterno, sia nazionale sia europeo, in situazioni specifiche, quali il mancato funzionamento del canale interno, il timore che la segnalazione non riceva adeguato seguito o quando la violazione rappresenti un pericolo immediato per l’interesse pubblico.

In conclusione, il parere del Garante Privacy fornisce agli enti pubblici e privati degli strumenti concreti per riallineare modelli organizzativi, infrastrutture tecnologiche e presidi privacy: l’approccio suggerito combina accountability, sicurezza by design e tracciabilità dei ruoli, con una particolare attenzione alla riservatezza e alla protezione dei dati.

Visualizzazioni: 0