In data 6 luglio 2023 l’Autorità Garante ha espresso parere favorevole sulla procedura predisposta da ANAC per la presentazione e per la gestione delle segnalazioni esterne, contenuta nello Schema di Linee guida in materia di protezione delle persone che segnalano violazioni delle normative nazionali e del diritto dell’unione.
L’Autorità ha rilevato che nello schema di Linee Guida ANAC ha tenuto conto delle indicazioni fornite dall’Autorità.
In particolare le Linee guida ANAC prevedono quanto segue:
- in caso di segnalazioni prive di dati anagrafici del segnalante, nei casi in cui quest’ultimo possa essere identificato attraverso elementi di contesto, tali segnalazioni non potranno essere considerate anonime in senso tecnico e verranno applicate le garanzie previste dalla legge (parte prima, par. 2.2);
- i segnalati dovranno essere invitati a utilizzare esclusivamente i canali appositamente istituiti per presentare segnalazioni, considerato che tali canali offrono maggiori garanzie in termini di sicurezza e riservatezza, sebbene anche nell’eventualità in cui una segnalazione sia inviata per errore mediante canali alternativi, debba comunque essere assicurata la riservatezza dell’identità del segnalante e la protezione dei dati di tutti gli interessati (parte prima, par. 3.2; parte seconda par. 1);
- devono essere considerati soggetti autorizzati al trattamento soltanto le persone che, in base alle scelte organizzative del titolare del trattamento, siano competenti a ricevere o a dare seguito alle segnalazioni e siano adeguatamente istruiti al riguardo (parte prima, par. 4.1.3);
- i titolari del trattamento devono fornire, ex ante, un’informativa sul trattamento dei dati personali ai possibili interessati (segnalanti, segnalati, facilitatori) mediante la pubblicazione di documenti informativi (ad esempio tramite sito web o piattaforma informatica) (parte prima, par. 4.1.3);
- i titolari del trattamento devono definire il proprio modello di ricevimento e gestione delle segnalazioni sulla base di una valutazione d’impatto sulla protezione dei dati (parte prima, par. 4.1.3).
Sotto il profilo della sicurezza:
- devono essere adottate misure tecniche e organizzative tali da garantire un’adeguata sicurezza del trattamento dei dati personali (parte prima, par. 4.1.3);
- il ricorso a strumenti di crittografia, nell’ambito dei canali di segnalazione, può essere ritenuto una misura adeguata a dare attuazione al principio di integrità e riservatezza, garantendo la tutela dei dati personali trattati nel processo di segnalazione, sia nella fase di trasmissione che di conservazione (parte prima, par. 4.1.3, e parte seconda, par. 4);
- deve essere garantita la non tracciabilità del segnalante nel momento in cui viene stabilita la connessione ai canali di segnalazione, sia sulle piattaforme informatiche che negli apparati (es. firewall o proxy) eventualmente coinvolti nella trasmissione delle comunicazioni del segnalante (parte prima, par. 4.1.3);
- deve essere effettuato, ove possibile, il tracciamento delle operazioni svolte dal personale autorizzato alla gestione delle segnalazioni, nel rispetto delle garanzie a tutela del segnalante e degli altri soggetti menzionati, al fine di consentire la verifica della liceità e correttezza del trattamento e garantire la sicurezza del trattamento (parte prima, par. 4.1.3);
- l’accesso alla piattaforma informatica di ANAC, da parte delle diverse tipologie di utenti autorizzati alla gestione delle segnalazioni esterne, al trasferimento di segnalazioni esterne presentate erroneamente ad un soggetto diverso dall’ANAC, o alla trasmissione delle segnalazioni esterne alle autorità competenti, deve avvenire attraverso una procedura di autenticazione informatica a più fattori (parte seconda, par. 4, e allegati 2 e 3).
L’Autorità Garante ha emesso parere positivo ritenendo che attraverso tali previsioni ANAC abbia recepito le indicazioni fornite.