NEWS

Whistleblowing, canali di segnalazione e protezione dei dati personali: le nuove Linee Guida ANAC

Recentemente, l’ANAC ha varato le Linee Guida sui canali interni di segnalazione e l’aggiornamento alle Linee guida del 2023 sulle segnalazioni esterne ma di valenza generale sul whistleblowing, recependo alcune delle osservazioni formulate dai diversi partecipanti alla pubblica consultazione effettuata a fine 2024 per il canale interno.


A questo punto si potrebbe ritenere maturo l’assetto dispositivo nazionale del whistleblowing applicativo del Dlgs 24/2023 che ha recepito la Direttiva UE 2019/1937 su tale materia. Ma solo in parte appare superata quella situazione che in passato avevamo definito a geometria variabile circa la possibilità per gli interessati di ricorrere al whistleblowing, in relazione alle connotazioni dell’organizzazione per cui operano.

Nel settore privato, infatti, la disciplina nazionale circoscrive l’ambito oggettivo delle segnalazioni alle violazioni del diritto dell’Unione europea e, ove adottato, alle violazioni del modello di organizzazione e gestione di cui al Dlgs 231/2001; diversamente, nel settore pubblico la tutela si estende anche alle violazioni del diritto interno, incluse quelle di natura amministrativa, contabile, civile o penale.

Questa impostazione incide non solo sulla portata sostanziale del whistleblowing, ma anche – e in modo significativo – sulla protezione dei dati personali dei segnalanti e dei segnalati, con riflessi diretti sulla governance privacy degli enti.

Il Dlgs 24/2023 prevede quattro canali di segnalazione: interno, esterno (gestito da ANAC), divulgazione pubblica e denuncia all’autorità giudiziaria. L’obbligo di istituire il canale interno è generalizzato per il settore pubblico, mentre nel settore privato opera solo oltre la soglia dei cinquanta dipendenti o in presenza di specifiche condizioni, quali l’adozione di un modello di organizzazione e gestione ex Dlgs. 231/2001 o l’appartenenza a settori considerati “sensibili”.

Questa architettura non è neutra sotto il profilo privacy. Il canale interno costituisce infatti il primo presidio di trattamento strutturato e controllato dei dati personali connessi alle segnalazioni: esso consente di definire ruoli, responsabilità, misure di sicurezza, tempi di conservazione e flussi informativi. La sua assenza, o la sua non obbligatorietà per ampie fasce del settore privato, può determinare un vuoto organizzativo che rischia di riflettersi direttamente sulla tutela della riservatezza dei segnalanti.

Un elemento di indubbio rilievo è rappresentato dall’evoluzione interpretativa di quanto previsto nella versione iniziale delle Linee guida ANAC del 2023. L’Autorità ha ora previsto che il canale esterno può essere utilizzato, in via sussidiaria e al ricorrere delle condizioni previste dall’art. 6 del decreto, anche da soggetti che operano presso enti privati con meno di cinquanta dipendenti, non obbligati né all’adozione del modello 231 né all’istituzione del canale interno. Va sottolineato che le precedenti indicazioni potrebbero aver orientato – in senso prudenziale – le condotte dei potenziali segnalanti operanti presso i citati enti di minori dimensioni.

Tale lettura appare coerente con la ratio della normativa europea, che concepisce il canale esterno come strumento di tutela effettiva attivabile in presenza di situazioni di rischio, quali l’impossibilità di una segnalazione interna efficace, il fondato timore di ritorsioni o la sussistenza di un pericolo imminente o manifesto per l’interesse pubblico.

Tuttavia, sul piano sistematico, questa apertura interpretativa non risulta pienamente valorizzata. Il quadro sinottico dei canali di segnalazione riportato nelle Linee guida (pag. 47) continua infatti a riportare, con riferimento alle violazioni del Dlgs 231/2001 – indipendentemente dalla consistenza dell’organico – il possibile ricorso al solo canale interno (quindi non anche: al canale esterno, alla divulgazione pubblica, alla denuncia). Il testo delle Linee guida non appare risolutivo su tale aspetto che è importante per indirizzare responsabili e consapevoli scelte dei potenziali segnalanti nonché sotto il profilo della protezione dei dati personali.

A ben vedere, il Dlgs 24/2023 non stabilisce espressamente che le violazioni del modello di organizzazione e gestione ex Dlgs 231/2001 debbano essere segnalate solo tramite il canale interno, né introduce alcun divieto di ricorso al canale esterno ANAC per tali fattispecie. Le condizioni per attivare il canale esterno sono generali e trasversali. Tuttavia, nel settore privato, il modello 231 è strutturato come presidio organizzativo interno, e la normativa non chiarisce espressamente il rapporto tra tale modello e il canale esterno. Se tale lettura è corretta, in questo vuoto normativo ANAC avrebbe colmato questo vuoto adottando un approccio prudenziale, limitando nelle proprie Linee guida la segnalazione delle violazioni del modello 231 al solo canale interno.

Resta peraltro estranea alle competenze dell’ANAC – e riconducibile esclusivamente alle scelte del legislatore – la limitazione dell’ambito delle segnalazioni nel settore privato, che non consente di ricomprendere, in via generale, anche le violazioni del diritto interno. È su questo piano che emergono le principali criticità sistemiche.

In una prospettiva di rafforzamento dell’effettività del whistleblowing, appare auspicabile:

- da un lato una chiarificazione interpretativa ANAC che consenta di comprendere con maggiore certezza i motivi della non fruibilità del canale esterno con riferimento alle violazioni del Dlgs. 231/2001

- dall’altro, un intervento legislativo volto: i) a omogeneizzare l’ambito oggettivo delle segnalazioni, estendendo anche al settore privato la possibilità di segnalare violazioni del diritto nazionale e ii) ad ampliare alle violazioni del Dlgs 231/2001 la fruibilità del canale esterno ove l’ANAC confermasse la citata lettura prudenziale.

In assenza di tali chiarimenti, il whistleblowing rischia di permanere come diritto a tutela differenziata, con evidenti ricadute non solo sulla prevenzione degli illeciti, ma anche sulla protezione dei dati personali.

E’ opportuno comunque rammentare che la normativa esclude espressamente dal whistleblowing: i) contestazioni personali, vertenze di lavoro, rivendicazioni individuali o conflitti interpersonali; ii) segnalazioni già coperte da normative settoriali UE con propri canali obbligatori; iii) violazioni in alcuni settori come la sicurezza nazionale o gli appalti della difesa.

Quali sono, dunque, le implicazioni concrete per la governance privacy e per il ruolo del Responsabile della protezione dei dati? In questo scenario, il RPD assume una funzione strategica che va ben oltre la mera consulenza sul trattamento dei dati. Pur non potendo essere destinatario delle segnalazioni né coinvolto nella loro gestione operativa, egli è chiamato a vigilare sulla coerenza complessiva del sistema, segnalando criticità, incoerenze e rischi di non conformità, soprattutto nei casi in cui l’ente non sia formalmente obbligato a istituire un canale interno.

Note sull'Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Prev Euro digitale, via libera del Consiglio UE alla posizione negoziale con l’obiettivo di consentire un alto grado di privacy
Next Quando i social diventano moltiplicatori di odio: cosa dicono le ultime pronunce della Cassazione

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy