L’ANAC ha varato le Linee Guida sui canali interni di segnalazione e aggiornato le Linee guida del 2023 sulle segnalazioni esterne ma di valenza generale sul whistleblowing, recependo alcune delle osservazioni formulate dai diversi partecipanti alla pubblica consultazione effettuata a fine 2024 per il canale interno, completando così l’assetto dispositivo nazionale del whistleblowing applicativo del Dlgs 24/2023 che ha recepito la Direttiva UE 2019/1937 su tale materia.
Il Dlgs 24/2023 prevede quattro canali di segnalazione: interno, esterno (gestito da ANAC), divulgazione pubblica e denuncia all’autorità giudiziaria. L’obbligo di istituire il canale interno è generalizzato per il settore pubblico, mentre nel settore privato opera solo oltre la soglia dei cinquanta dipendenti o in presenza di specifiche condizioni, quali l’adozione di un modello di organizzazione e gestione ex Dlgs. 231/2001 o l’appartenenza a settori considerati “sensibili”.
Questa architettura non è neutra sotto il profilo privacy. Il canale interno costituisce infatti il primo presidio di trattamento strutturato e controllato dei dati personali connessi alle segnalazioni: esso consente di definire ruoli, responsabilità, misure di sicurezza, tempi di conservazione e flussi informativi. La sua assenza, o la sua non obbligatorietà per ampie fasce del settore privato, può determinare un vuoto organizzativo che rischia di riflettersi direttamente sulla tutela della riservatezza dei segnalanti.
Un elemento di indubbio rilievo è rappresentato dall’evoluzione interpretativa di quanto previsto nella versione iniziale delle Linee guida ANAC del 2023. L’Autorità ha ora previsto che il canale esterno può essere utilizzato, in via sussidiaria e al ricorrere delle condizioni previste dall’art. 6 del decreto, anche da soggetti che operano presso enti privati con meno di cinquanta dipendenti, non obbligati né all’adozione del modello 231 né all’istituzione del canale interno.
Ciò appare coerente con la ratio della normativa europea, che concepisce il canale esterno come strumento di tutela effettiva attivabile in presenza di situazioni di rischio, quali l’impossibilità di una segnalazione interna efficace, il fondato timore di ritorsioni o la sussistenza di un pericolo imminente o manifesto per l’interesse pubblico.
Il Dlgs 24/2023 non stabilisce espressamente che le violazioni del modello di organizzazione e gestione ex Dlgs 231/2001 debbano essere segnalate solo tramite il canale interno, né introduce alcun divieto di ricorso al canale esterno ANAC per tali fattispecie. Le condizioni per attivare il canale esterno sono generali e trasversali. Tuttavia, nel settore privato, il modello 231 è strutturato come presidio organizzativo interno, e la normativa non chiarisce espressamente il rapporto tra tale modello e il canale esterno. Se tale lettura è corretta, in questo vuoto normativo ANAC avrebbe colmato questo vuoto adottando un approccio prudenziale, limitando nelle proprie Linee guida la segnalazione delle violazioni del modello 231 al solo canale interno.
È opportuno comunque rammentare che la normativa esclude espressamente dal whistleblowing:
- contestazioni personali, vertenze di lavoro, rivendicazioni individuali o conflitti interpersonali;
- segnalazioni già coperte da normative settoriali UE con propri canali obbligatori;
- violazioni in alcuni settori come la sicurezza nazionale o gli appalti della difesa.
In questo scenario, il Responsabile della protezione dei dati personali assume una funzione strategica che va ben oltre la mera consulenza sul trattamento dei dati. Pur non potendo essere destinatario delle segnalazioni né coinvolto nella loro gestione operativa, egli è chiamato a vigilare sulla coerenza complessiva del sistema, segnalando criticità, incoerenze e rischi di non conformità, soprattutto nei casi in cui l’ente non sia formalmente obbligato a istituire un canale interno.
