Forme di tutela del whistleblower previste dalla normativa

Con D.Lgs. 24/2023 è stata data attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.

In virtù di tale Decreto Legislativo la disciplina del whistleblowing - misura finalizzata a favorire l’emersione di fattispecie di illecito - è stata profondamente riformata.

La normativa prevede la tutela per i dipendenti pubblici e privati che segnalino la commissione di un illecito e/o reato ai soggetti preposti, proteggendoli da eventuali ritorsioni o misure discriminatorie, dirette o indirette, da parte di colleghi o superiori.

L'articolo 12 D.Lgs. 24/2023 rubricato "Obbligo di riservatezza" prevede le seguenti tutele.

Le segnalazioni non possono essere utilizzate oltre quanto necessario per dare adeguato seguito alle stesse.

È fatto divieto di rivelare l'identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente tale identità, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni.

Nell'ambito del procedimento penale, l'identità della persona segnalante è coperta dal segreto nei modi e nei limiti previsti dall'articolo 329 c.p.p.

Nell'ambito del procedimento dinanzi alla Corte dei conti, l'identità della persona segnalante non può essere rivelata fino alla chiusura della fase istruttoria.

Nell'ambito del procedimento disciplinare, l'identità della persona segnalante non può essere rivelata ove la contestazione dell'addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione potrà essere utilizzata ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità.

In caso di utilizzo della segnalazione e nel caso in cui la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa dell'incolpato nel procedimento disciplinare, è dato avviso alla persona segnalante mediante comunicazione scritta delle ragioni della rivelazione dei dati riservati. Tale avviso è, altresì, dato anche nelle procedure di segnalazione interna ed esterna, quando la rivelazione della identità della persona segnalante è indispensabile anche ai fini della difesa della persona coinvolta.

I soggetti del settore pubblico e del settore privato, l'ANAC e le autorità amministrative cui l'ANAC trasmette le segnalazioni esterne di loro competenza, tutelano l'identità delle persone coinvolte (persone segnalate) e delle persone menzionate nella segnalazione fino alla conclusione dei procedimenti avviati in ragione della segnalazione nel rispetto delle medesime garanzie previste in favore della persona segnalante.

La segnalazione è sottratta all'accesso agli atti amministrativi e al diritto di accesso civico generalizzato.

Ai sensi del Capo III D.Lgs. 24/2023 (art. 16 ss. D.Lgs. 24/2023) gli atti discriminatori o ritorsivi adottati dall'amministrazione o dall'ente sono nulli.

Distinzione tra segnalazione anonima e riservatezza dell’identità del segnalante

Il procedimento di gestione della segnalazione deve garantire la riservatezza dell’identità del segnalante sin dalla ricezione della segnalazione e in ogni fase successiva.

La garanzia di riservatezza presuppone che il segnalante renda nota la propria identità. In sostanza, la ratio della norma è quella di assicurare la tutela del dipendente, mantenendo riservata la sua identità.

Infrastruttura e sicurezza

Il software gestionale del Whistleblowing, in linea con il dettato normativo, garantisce altissimi livelli di sicurezza sia al segnalatore che a livello di infrastruttura.

Sicurezza del segnalante e delle segnalazioni

• Crittografia asimmetrica sui contenuti testuali e sui file allegati: la crittografia non richiede azioni specifiche da parte degli utenti. Il sistema crittografico, garantisce che i messaggi ed i relativi allegati possano essere letti esclusivamente dal mittente e destinatario attraverso l’abbinamento della “chiave crittografica pubblica e privata”.

• Possibilità di accesso tramite smart card.

• Accesso regolamentato a norma privacy: l’accesso alle segnalazioni è consentito esclusivamente tramite credenziali (per gli utenti registrati) o tramite l’inserimento dei codici associati alla segnalazione (per gli utenti non registrati).

Sicurezza applicativa

Separazione della segnalazione dall’identità del segnalante: come previsto nella Determinazione ANAC n. 6 del 28 aprile 2015, Parte III, cap. 2. La riservatezza del segnalatore è ulteriormente garantita dall’applicazione, che prevede una netta separazione del processo di iscrizione dal processo di segnalazione, per una corretta separazione dei dati; nella segnalazione inviata, infatti, non viene indicato il nominativo del segnalante. Resta ferma la possibilità per il responsabile di attivare la procedura tramite la quale il sistema associa l’identità del segnalante alla segnalazione, motivando la richiesta, quando ciò è ritenuto necessario e nei casi previsti dalla normativa. Tale azione viene automaticamente notificata al segnalatore e registrata nel sistema.

Server dedicati DigitalPA: massima protezione dei dati e dei livelli di sicurezza, garantiti sia dalla certificazione DigitalPA ISO 27001/2014 che dalla infrastruttura della server farm certificata ISO 27001/2014.

Firewall hardware e Software integrato: ogni piattaforma dispone di un firewall integrato con strettissime regole, che limitano gli accessi e le azioni agli esclusivi compiti dedicati al software; i firewall si integrano e potenziano ulteriormente la sicurezza.

Certificato SSL: il software di whistleblowing è accessibile esclusivamente tramite accesso HTTPS (Secure Sockets Layer).

IP e Certificato SSL dedicati per ciascun cliente.

Validazioni input utente: la piattaforma è basata su un approccio di validazione input dell’utente. Attraverso regole estremamente rigide l’utente viene verificato sia a livello client che a livello server.

Prevenzione CSRF: tutte le richieste gestite dalla piattaforma sono protette da token CSRF.