Proseguendo nella disamina delle nuove linee guida in materia di whistleblowing oggetto di delibera dell’ANAC n. 469 del 9 giugno 2021, ci occuperemo della tutela della riservatezza del whistleblower.
Il comma 3 dell’art. 54-bis del Decreto Legislativo n. 165/20021 impone all’amministrazione che riceve e tratta le segnalazioni di garantire la riservatezza dell’identità del segnalante, anche al fine di evitare l’esposizione dello stesso a misure ritorsive che potrebbero essere adottate a seguito della segnalazione all’interno dell’ente.
Il divieto di rilevare l’identità del segnalante è da riferirsi non solo al nominativo del segnalante ma anche a tutti gli elementi della segnalazione, inclusa la documentazione ad essa allegata, nella misura in cui il loro disvelamento, anche indirettamente, possa consentire l’identificazione del segnalante. Il trattamento di tali elementi va, quindi, improntato alla massima cautela, a cominciare dall’oscuramento dei dati personali, specie quelli relativi al segnalante, qualora, per ragioni istruttorie, altri soggetti debbano essere messi a conoscenza del contenuto della segnalazione e/o della documentazione ad essa allegata; tale interpretazione, peraltro, è in linea con la previsione di cui al comma 5, ultimo periodo, art. 54-bis, secondo cui le procedure per la gestione delle segnalazioni, anche informatiche, devono garantire tale riservatezza.
La prima importante conseguenza della tutela della riservatezza è la sottrazione della segnalazione e della documentazione ad essa allegata al diritto di accesso agli atti amministrativi previsto dagli artt. 22 e ss. della Legge n. 241/1990; la seconda è che, pur nel silenzio della legge, parimenti secondo l’ANAC la segnalazione e la documentazione ad essa allegata devono essere escluse dall’accesso civico generalizzato di cui all’art. 5, comma 2, del Decreto Legislativo n. 33/2013.
Nel caso in cui la segnalazione sia stata trasmessa anche a soggetti diversi da quelli indicati dalla legge e, per questo, l’identità del segnalante sia stata svelata, la segnalazione non è più considerata sottratta all’accesso ai sensi del comma 4 dell’art. 54-bis.
È molto importante che le singole amministrazioni forniscano ai propri dipendenti tutte le informazioni relative alle procedure di segnalazione, ad esempio, con appositi alerts o avvisi sui siti istituzionali o nella piattaforma dedicata alla presentazione delle segnalazioni.
Sul piano operativo, l’altra importante indicazione per garantire la riservatezza dell’identità del segnalante, del contenuto della segnalazione e della relativa documentazione, è la gestione informatizzata delle segnalazioni, con il ricorso a strumenti di crittografia.
Nel caso in cui si renda necessario, il RPCT trasmette la segnalazione, nel rispetto della tutela della riservatezza dell’identità del segnalante, alle Autorità giudiziarie competenti, avendo cura di evidenziare che si tratta di una segnalazione pervenuta da un soggetto cui l’ordinamento riconosce la tutela della riservatezza ai sensi dell’art. 54-bis del d.lgs. 165 del 2001; laddove detta identità venga successivamente richiesta dall’Autorità giudiziaria o contabile, il RPCT fornisce tale indicazione, previa notifica al segnalante. L’Autorità ritiene, infatti, che il segnalante debba essere preventivamente informato (tramite la piattaforma informatica o con altri mezzi) della eventualità che la sua segnalazione, nel rispetto della tutela della riservatezza della sua identità, possa essere trasmessa alle Autorità giudiziarie, per i profili di rispettiva competenza.
Ove sia necessario, invece, coinvolgere negli accertamenti altri soggetti che abbiano conoscenza dei fatti segnalati, interni o, se indispensabile, esterni all’amministrazione, il RPCT non trasmette la segnalazione a tali soggetti, ma solo gli esiti delle verifiche eventualmente condotte, e, se del caso, estratti accuratamente anonimizzati della segnalazione, prestando, in ogni caso, la massima attenzione per evitare che dalle informazioni e dai fatti descritti si possa risalire all’identità del segnalante.
Ad avviso dell’Autorità, è indispensabile che i doveri di comportamento e le relative sanzioni disciplinari siano estese anche a questi soggetti in caso di violazione della riservatezza sull’identità del segnalante. Resta fermo che i soggetti che trattano i dati – RPCT, componenti dell’eventuale gruppo di lavoro, custode dell’identità e personale degli altri uffici eventualmente coinvolti nella gestione della segnalazione – devono comunque essere autorizzati e debitamente istruiti in merito al trattamento dei dati personali (ai sensi dell’art. 4, par. 10, 29, 32, §. 4 del Regolamento UE 2016/679 e art. 2-quaterdecies del d.lgs. 196 del 2003): ciò in quanto nella documentazione trasmessa potrebbero essere presenti dati personali di altri interessati (es. soggetto cui sono imputabili le possibili condotte illecite).
In caso di violazione della disciplina sul trattamento dei dati personali, tali soggetti non sono direttamente responsabili poiché le eventuali violazioni sono imputabili al “titolare del trattamento”, ovvero, in tal caso all’Amministrazione o all’Ente in quanto persona giuridica.
Il problema della tutela in questione rileva, poi, anche nei procedimenti giudiziari e disciplinari. Per questo il co. 3 del novellato art. 54-bis precisa fino a quale momento nel procedimento penale, nel procedimento dinanzi alla Corte dei Conti e nel procedimento disciplinare deve essere garantita la riservatezza:
- nell’ambito del procedimento penale, l’identità del segnalante è coperta dal segreto nei modi e nei limiti previsti dall’articolo 329 c.p.p.: tale disposizione prevede l’obbligo del segreto sugli atti compiuti nelle indagini preliminari «fino a quando l’imputato non ne possa avere conoscenza e, comunque, non oltre la chiusura delle indagini preliminari»;
- nel procedimento dinanzi alla Corte dei conti, l’obbligo del segreto istruttorio è previsto sino alla chiusura della fase istruttoria; dopo, l’identità del segnalante potrà essere svelata dall’autorità contabile al fine di essere utilizzata nel procedimento stesso (art. 67 del d.lgs. 26 agosto 2016, n. 174);
- nell’ambito del procedimento disciplinare attivato dall’amministrazione contro il presunto autore della condotta segnalata, l’identità del segnalante può essere rivelata solo dietro consenso di quest’ultimo; nel caso in cui l’identità del segnalante risulti indispensabile alla difesa del soggetto cui è stato contestato l’addebito disciplinare, l’ente non potrà procedere con il procedimento disciplinare se il segnalante non acconsente espressamente alla rivelazione della propria identità. Ogni amministrazione stabilisce, dunque, le modalità con cui il RPCT trasmette all’ufficio di disciplina la segnalazione e acquisisce il consenso del segnalante a rivelare l’identità.
Al fine di rafforzare le misure a tutela della riservatezza di cui sopra, è opportuno che le amministrazioni introducano nei codici di comportamento, adottati ai sensi dell’art. 54, co. 5, del d.lgs. 165/2001, forme di responsabilità specifica in capo al RPCT che riceve e gestisce le segnalazioni, nonché in capo a tutti gli altri soggetti che nell’amministrazione possano conoscere la segnalazione, con i dati e le informazioni in essa contenuti. Ad esempio, qualora l’amministrazione o ente decida di costituire un gruppo di lavoro a supporto del RPCT, deve prevedere forme di responsabilità anche nei confronti dei oggetti che fanno parte di tale gruppo. Discorso analogo vale per gli amministratori di sistema e per il personale specialistico esperto nella gestione e nella trattazione informatica dei dati personali.
La violazione dei doveri contenuti nel codice di comportamento, compresi quelli relativi all’attuazione del PTPCT, è fonte di responsabilità disciplinare.