Whistleblowing: aggiornate le Linee Guida ANAC

In questo ambito – osserva l’Autorità - i trattamenti di dati personali effettuati dai soggetti obbligati possono essere considerati necessari per

(i) adempiere a un obbligo legale al quale è soggetto il titolare del trattamento (art. 6, 1, lett. c) del Regolamento), e

(ii) con riguardo a categorie particolari di dati (art. 9, 2, lett. b) del Regolamento in relazione all’art. 54-bis,) o a dati relativi a condanne penali e reati, possono, altresì, essere considerati necessari per l’esecuzione di un compito di interesse pubblico contemplato dall’ordinamento (art. 6, 1, lett. e) e art. 9, 2, lett. g) e 10 del Regolamento).

Vengono operati numerosi richiami ai principi in materia di data protection

È previsto l’obbligo di fornire al whistleblower l’informativa e di chiedere, fin da subito, se presta il consenso (non già al trattamento dei dati bensì) acché possa essere rivelata la sua identità (si intende, in seno al procedimento disciplinare, e per esigenze di difesa del segnalato).

Coerentemente a quanto introdotto dalla l. n. 179/2017, le Linee Guida si soffermano sul tema delle segnalazioni effettuate dai lavoratori e collaboratori di imprese fornitrici di beni o servizi o che realizzano opere in favore dell’amministrazione. In proposito, si osserva che:

(i) deve essere data la possibilità a tali soggetti di effettuare la segnalazione (in merito - beninteso - alle sole irregolarità dell’Amministrazione) informandoli dell’esistenza di canali a ciò deputati;

(ii) l’interlocutore per verificare se siano state adottate misure ritorsive nei confronti dei segnalanti è il rappresentante legale dell’azienda. Verosimilmente dovranno essere adeguati i format dei contratti di affidamento (non importa sei i contratti sono “inclusi” o “esclusi” dal Codice).

Le segnalazioni effettuate da soggetti che non siano quelli direttamente tutelati dalla disciplina “non rilevano”, ad es. quelle veicolate dai sindacati. Quest’ultimi, infatti, hanno un ruolo dirimente nelle “comunicazioni” (recte denunce) di condotte ritorsive.

Tra i soggetti tutelati non rientrano stagisti e tirocinanti (già esclusi dal parere del Consiglio di Stato).

Ricalcando i contenuti della Direttiva UE, l’Autorità raccomanda di favorire la segnalazione all’interno dell’Ente e, solo in via subordinata, verso organi esterni.

Si raccomanda altresì di informare adeguatamente il personale in merito alla circostanza che, internamente, le segnalazioni (a rilevanza 190) debbano essere trasmesse unicamente al RPCT.

“Affichè possa accordarsi al whistleblower la tutela prevista dall’art. 54-bis i presupposti sono i seguenti:

il segnalante deve rivestire la qualifica di “dipendente pubblico” o equiparato […];

la segnalazione deve avere ad oggetto “condotte illecite”;

il dipendente deve essere venuto a conoscenza di tali “condotte illecite” “in ragione del proprio rapporto di lavoro”;

la segnalazione deve essere effettuata “nell’interesse all’integrità della pubblica amministrazione”;

la segnalazione deve essere inoltrata ad almeno uno delle quattro tipologie di destinatari indicati nell’art. 54-bis, comma 1 (RPCT, ANAC, Autorità giudiziaria ordinaria o contabile)”.

È stato confermato il perimetro dell’“illecito segnalabile”, così come descritto nella versione originaria delle Linee Guida (i.e. la Determinazione n. 6/2015 sopra richiamata), con ciò recependo le raccomandazioni di Garante e Consiglio di Stato a non allargare eccessivamente il perimetro.

Possono essere segnalati anche i tentativi di illecito.

È sufficiente che il whistleblower sia “ragionevolmente convinto” di segnalare qualcosa di illecito (i.e. non serve la certezza, ma nemmeno più la convinzione “altamente probabile”).

Non vanno segnalate notizie già di dominio pubblico.

La segnalazione va fatta nell’interesse (anche se concorrente con altri) all’integrità della pubblica amministrazione. Tale finalismo va appurato dal RPCT (occorre darsi dei criteri in tal senso). In ogni caso occorre chiedere al whistleblower se ha un interesse privato concorrente con quello pubblico a fondamento della segnalazione.

La segnalazione dev’essere quanto più circostanziata: si indicano i criteri in tal senso, lavorando anche sulla modulistica.

Il sistema deve tutelare la riservatezza del whistleblower ma anche del segnalato e della segnalazione in sé.

Il RPCT che trasmetta la segnalazione ad altre Autorità, se non è espressamente richiesto in tal senso, non deve indicare il nominativo del segnalante. In generale e, comunque, all’atto della trasmissione il RPCT deve informare il segnalante della possibile trasmissione all’esterno.

Devono essere fornite istruzioni specifiche in tema di data protection (e, si vuole intendere, anche adeguata formazione) ai soggetti che gestiscono la segnalazione (resta ferma la responsabilità del titolare del trattamento).

Il perimetro della tutela della riservatezza dell’identità del segnalante è ora meglio definito in relazione alle diverse casistiche: procedimento penale, contabile, disciplinare.

La procedura deve stabilire le modalità con le quali il RPCT, ricorrendone i presupposti (fra tutti, il consenso) rivela il nominativo del whistleblower all’ufficio di disciplina.

Le ritorsioni, ad onta del formalismo del legislatore, possono concretizzarsi in atti, provvedimenti, comportamenti e omissioni.

Vengono esemplificate talune condotte che possono assumere valenza ritorsiva, anche in relazione alle aziende private che operano per l’Amministrazione.

Fatta salva l’inversione dell’onere della prova (i.e. la ritorsione nei confronti del whistleblower si presume), secondo l’Autorità “la ritorsione non sussiste, ad esempio, allorquando la misura contestata dal segnalante sia motivata da ragioni estranee alla segnalazione ovvero laddove risulti che le misure organizzative, ritenute ritorsive, siano state adottate non solo nei confronti del whistleblower ma anche di altri dipendenti che non hanno presentato segnalazioni di illeciti. Inoltre, l’intento discriminatorio non sussiste anche nella circostanza in cui il presunto responsabile abbia tenuto il medesimo comportamento anche in epoca antecedente alla segnalazione”. In nota si precisa altresì che “[…] la sussistenza di un atteggiamento del presunto autore della ritorsione che sia benevolo e favorevole agli interessi del segnalante nonchè in caso di adozione di un provvedimento disciplinare, la fondatezza della sanzione, la sua esiguità e la sua applicazione in modo proporzionato e ragionevole possono costituire elementi idonei ad escludere la sussistenza dell’intento ritorsivo”.

L’A.N.AC. può dichiarare la nullità del provvedimento ritorsivo e comminare le sanzioni pecuniarie, ma non può condannare l’ente al reintegro (misura riservata al giudice del lavoro).

Le Linee Guida, in proposito, spiegano i parametri cui deve attenersi il segnalante affinchè sia coperto dall’esimente (non eccedenza, fine pubblico, soggetti deputati ex lege a ricevere la segnalazione).

Il sistema non tutela chi, al fine di effettuare la segnalazione, commetta altro illecito magari per reperire prova documentale di quanto asserito (es. accesso abusivo a sistema informatico).

Le segnalazioni anonime non consentono di tutelare il segnalante. Il RPCT deve nondimeno implementare canali e registri che raccolgano segnalazioni anonime e di altri soggetti esterni all’Amministrazione.

La tutela della riservatezza dell’identità viene meno se il segnalante ha trasmesso la segnalazione anche a soggetti diversi da quelli contemplati dalla legge. In tal caso è prospettabile anche l’accesso, nelle sue varie forme, e con i suoi limiti.

In caso di condanna in primo grado del whistleblower, ribaltata in appello, vanno ripristinate le tutele (restanti).

La condanna del segnalante per “colpa lieve” in sede civile, non fa venir meno le tutele (restanti).

L’Autorità enuclea, sulla base di quanto previsto dalle segnalazioni da essa stessa gestite, i casi di segnalazioni “inammissibili”. È fatto salvo, in determinate ipotesi, il “soccorso istruttorio”.

Si ribadiscono i confini (importantissimi) dell’attività del RPCT a termini della Delibera A.N.AC. n. 840/2018.

I componenti del Gruppo di Lavoro (confermato) a supporto del RPCT, oltre ad essere interessati da doveri comportamentali “rafforzati”, devono essere designati con atto organizzativo ad hoc, reso pubblico sul sito.

Il sistema whistleblowing può essere disciplinato nel PTPCT ovvero in un atto organizzativo ad hoc.

La ricezione e la gestione della segnalazione deve avvenire con modalità “preferibilmente” informatiche. In assenza di procedure informatiche occorre dare una motivazione.

Quando presente, il canale informatizzato è la scelta da prediligere, avuto riguardo alle maggiori garanzie di tutela.

Sono previsti massimo 15 giorni lavorativi per la “valutazione preliminare” della segnalazione (decorrenti dalla ricezione).

Entro 60 giorni (non si dice se “lavorativi”) dalla ricezione della segnalazione deve chiudersi l’istruttoria, fatta salva la possibilità di estensione motivata di detti termini da parte dell’organo di indirizzo politico dell’Ente.

Sono rese importanti e numerose indicazioni, anche marcatamente tecniche, in punto informatizzazione (accesso, crittografia, conservazione, aggiornamenti, sicurezza, forte coinvolgimento e responsabilizzazione dei servizi IT, etc.). La piattaforma va resa pubblica o, comunque, raggiungibile (si ribadisce, anche dai dipendenti delle imprese private che eseguono appalti per l’Amministrazione).

Si dà per scontato che l’applicativo possa essere reperito da fornitori privati con ciò - sembrerebbe, di fatto - depotenziando il riuso della piattaforma A.N.AC. o altre piattaforme diffuse gratuite (vedi quella di Transparency International), che pure dovrebbero essere la “prima scelta” stando alle Linee Guida Agid.

Laddove il sistema sia stato informatizzato, il RPCT non dovrebbe conoscere immediatamente il nome del segnalante, ma solo quando necessario e previo consenso del “custode” dell’identità del segnalante (figura del tutto inedita).

È fatto divieto di dialogare con il segnalante facendo riferimento al suo indirizzo di posta istituzionale / aziendale.

Occorre sensibilizzare il whistleblower a tenere costantemente aggiornato il RPCT in merito a fatti sopravvenuti rispetto alla segnalazione.

Permane - lo si ricorda per l’importanza – l’indicazione del registro riservato per le segnalazioni cartacee.