Il soggetto gestore del canale interno per le segnalazioni di whistleblowing: aspetti di attenzione in materia di privacy
L’art. 4 del D.lgs 24/2023 sul whistleblowing (DLWB) prevede che la gestione del canale di segnalazione interna possa essere affidata, sia a un soggetto dell’organizzazione stessa (persona o un ufficio autonomo dedicato) sia a un soggetto esterno, anch'esso autonomo. Nel caso dei soggetti pubblici tenuti alla nomina del Responsabile della prevenzione della corruzione e della trasparenza (RPCT) la gestione del canale interno va affidata a quest’ultimo.
Il DLWB prevede che il canale di segnalazione interna e la relativa la gestione possa essere condivisa: nel settore pubblico, dai comuni diversi dai capoluoghi di provincia; in quello privato, dalle organizzazioni con organico in media inferiore a 249 persone nell’anno precedente. Il gestore del canale è chiamato a dare “diligente seguito alle segnalazioni ricevute”.
In termini di ruoli GDPR, ciò può tradursi in diverse fattispecie:
- nel caso di affidamento della gestione all’interno, vi sarà un rapporto fra titolare e persona/e autorizzate al trattamento. Facendo leva sull’art. 2-quaterdecies del Codice privacy, il soggetto incaricato della gestione potrebbe anche essere considerato (e designato) in maniera diversa che mero autorizzato al trattamento sulla base di un mandato (espresso) in tal modo riconoscendo una responsabilità e un ruolo di maggior portata;
- nel caso di outsourcing con assegnazione della gestione a un soggetto esterno, vi sarà un rapporto fra titolare e responsabile del trattamento, da regolare ai sensi dell’art. 28 del GDPR; una variante potrebbe essere quella dell’affidamento all’esterno della sola infrastruttura ma non della sua gestione, anche qui rispettando le previsioni sui responsabili del trattamento;
- nel caso di gestione condivisa del canale, vi sarà un rapporto fra contitolari (le diverse organizzazioni) e, di norma, un responsabile del trattamento ovvero il soggetto che comunque gestirà per gli enti mandanti il canale di segnalazione. Se poi tale ruolo fosse svolto da uno dei contitolari, quest’ultimo sarebbe nel contempo anche responsabile del trattamento (verso gli altri enti). Come specificato dall’art. 13.5 del DLWB, tutte le entità che condividono il canale, dovranno specificare in un accordo le rispettive responsabilità in merito all'osservanza delle norme sulla privacy e ciascuna dovrà poter conoscere solo le segnalazioni alla stessa riferibili.
Le Linee guida 311 /2023 che l’ANAC ha emanato a luglio oltre che incentrarsi sulla presentazione e gestione delle segnalazioni esterne, in esito alla previsione dell’art. 10 del DLWB, forniscono indicazioni sull’intera materia del whistleblowing; sulla gestione del canale interno specificano, fra l’altro:
- il senso del concetto di autonomia che deve qualificare il soggetto deputato a gestire il canale di segnalazione, che per l’ANAC va inquadrata come “imparzialità e indipendenza” del soggetto in parola, da intendere quindi come connotazioni prima facie soggettive oltre che di posizionamento organizzativo;
- che la condivisione del canale di segnalazione interna, ad avviso dell’ANAC è estensibile anche alle pubbliche amministrazioni e per gli enti pubblici di piccole dimensioni (meno di 50 dipendenti);
- per quanto riguarda i soggetti interni cui le entità private possono attribuire la responsabilità del canale di segnalazione interno, a titolo esemplificativo le Linee guida indicano che tale ruolo potrebbe essere “affidato, tra gli altri, agli organi di internal audit, all’Organismo di vigilanza previsto dalla disciplina del d.lgs. n. 231/2001, ai comitati etici” (IA, Odv231, CE);
- circa il “diligente seguito da dare alle segnalazioni ricevute” da parte del gestore, l’ANAC sembra inquadrare il ruolo di quest’ultimo come di agente istruttore che, vagliata la fattispecie. una volta colto il fumus della fondatezza dovrebbe rimettere – per accertare le responsabilità individuali o esperire controlli di merito o legittimità - agli organi preposti interni o enti/istituzioni esterne, ognuno secondo le proprie competenze. Su tale punto estende in generale al soggetto gestore ciò che nella precedente versione delle Linee guida (2021) era espressamente riferito al RPCT (la platea dei soggetti privati coinvolti era delimitata rispetto ad ora).
Posto tale quadro, per una corretta impostazione del processo DLWB, tenuto conto che in natura un assetto organizzativo "one size fits all", perfetto e valido per tutte le realtà, non esiste, è opportuno soffermarci su alcuni aspetti attinenti a ruoli e ad adempimenti prettamente operativi.
Per quanto attiene ai ruoli privacy, in ambito pubblico, sia secondo l’ANAC (faq 1.8 del 2021 sul RPCT) sia secondo il Garante (cfr ad es il Documento di indirizzo sul Responsabile della protezione dei dati (Data Protection Officer) in ambito pubblico del 2021) il RPCT, in via generale e fatte salve specifiche situazioni, non dovrebbe ricoprire anche il ruolo di Responsabile della protezione dei dati, attese le interferenze che in termini di tempo e di merito potrebbero porsi.
Andrebbe anche evitato che il RPD abbia la responsabilità di gestione del canale di segnalazione WB e, ancor più, che abbia potestà decisionali sull’esito delle segnalazioni implicando ciò un coinvolgimento in trattamenti di dati personali, considerando anche che il RPD è un referente per la tutela dei dati personali degli interessati coinvolti a diverso titolo nelle segnalazioni.
Sul ruolo di agente istruttore presso le entità non tenute alla nomina del RPCT, non sembrerebbero poi sussistere preclusioni a conferire al gestore anche l’accertamento delle responsabilità individuali e di controlli di merito o di legittimità. Dovranno essere piuttosto gli organigrammi delle diverse entità a definire il baricentro voluto. Va da sé, ovviamente, che qualora una segnalazione DLWB trovasse conferma, poi la sistemazione (organizzativa, tecnologica, gestionale…) andrebbe rimessa, questa sì, nella competenza dei soggetti a ciò preposti all’interno di ogni ente o amministrazione ovvero della magistratura.
Nel settore privato, poste le esemplificazioni fatte dall’ANAC sui soggetti cui potrebbe essere conferita la gestione del canale (IA, OdV231, CE), si ritiene che ciò andrebbe attentamente approfondito, trattandosi di organismi di garanzia e terzi rispetto ai fatti gestionali: si pensi all’internal audit, ad esempio, che verrebbe chiamato a gestire un processo su cui, però, dovrebbe poter dare assurance terza sulla compliance alle norme. Ma tale rischio potrebbe essere evitato prevedendo una segregazione interna a tale funzione, fra risorse addette al canale e risorse addette all’attività core di revisione. Non va sottaciuto poi che per le tre tipologie indicate, un ruolo solo istruttore potrebbe dar luogo a delicati conflitti con le istanze successive, se non confermata la valutazione fatta.
Ma più in generale, a livello prettamente operativo, andrà posta attenzione al ciclo di vita dei dati personali inerenti alle segnalazioni, specie nel caso in cui siano coinvolti più soggetti nell’iter istruttorio, avendo cura di allineare le previsioni sulla tenuta dei relativi archivi.
Come considerazione di chiusura, nell’impostare procedura e canale di segnalazione interno, non andrebbe tralasciata anche la (virtuale) evenienza che sia il gestore ad essere il soggetto cui si riferisce la segnalazione. Ebbene: se non si definisce un apposito iter per tale fattispecie (ad es ricorso ad un soggetto del vertice dell’organizzazione) va sottolineato che, come evidenziato nelle Linee guida ANAC, il whistleblower potrà rivolgersi direttamente all’ANAC. Ciò forse non è la soluzione da preferire perché impedirebbe all’organizzazione interessata di poter sfruttare l’occasione non per lavare al proprio interno i panni sporchi quanto soprattutto come momento di crescita, per individuare punti di debolezza da migliorare e rafforzare nel contempo la fiducia della propria compagine sull’impegno dell’organizzazione a perseguire e valorizzare la correttezza dei comportamenti.
