Il parere del Garante per la privacy sullo schema di Linee guida per la tutela del whistleblowing

Con provvedimento n. 215 del 4 dicembre 2019, il Garante per la protezione dei dati personali ha reso il proprio parere sullo schema delle “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. n. 165/2001 (c.d. whistleblowing)” elaborate dall’Autorità nazionale anticorruzione e sottoposte a consultazione pubblica dal 24 luglio al 15 settembre 2019.

Il Garante, in particolare, ha messo in evidenza la necessità di modellare le Linee guida sul dettato letterale della disciplina di settore, nelle parti vi è una ricaduta diretta sulla tutela delle informazioni personali. Nello specifico, ad avviso dell’Autorità:

1. il riferimento ai “casi in cui si configurano condotte, situazioni, condizioni organizzative e individuali che potrebbero essere prodromiche, ovvero costituire un ambiente favorevole alla commissione di fatto corruttivi in senso proprio” (parte I, par. 2.2. dello schema di linee guida) non risulta pienamente aderente al tenore letterale dell’art. 54-bis del d.lgs. n. 165/2001, che si riferisce invece a “condotte illecite”. L’estensione dell’ambito oggettivo dell’istituto, in tali termini, prefigurando la possibile acquisizione e gestione di segnalazioni riferite anche a circostanze generiche riconducibili ad una fase antecedente all’eventuale commissione di possibili illeciti, rischia di comportare trattamenti di dati personali non pienamente riconducibili all’ambito di trattamento previsto dalla disciplina di settore;
2. occorre chiarire che al soggetto segnalato, presunto autore dell’illecito, non è preclusa in termini assoluti la possibilità di esercitare i diritti previsti dagli artt. da 15 a 22 del Regolamento (UE) 2016/679. Appare quindi opportuno che le linee guida facciano espressa e chiara menzione di tale particolare strumento di tutela posto a garanzia sia del segnalante, sia del segnalato (parte I, par. 3.1, p.16);
3. la tabella recante, a titolo esemplificativo, l’elencazione minuziosa delle attività che potrebbero configurare le “condotte illecite” suscettibili di denuncia ai sensi dell’art. 54-bis del d.lgs. n. 165/2001 (parte I, par. 2.2, pag. 12), rischia di indurre gli enti tenuti a garantire la tutela dei segnalanti ad effettuare un trattamento di dati personali eccedente rispetto a quanto previsto dalla normativa; la tabella dovrebbe pertanto esser rivista al fine di ricomprendere ipotesi di carattere più generale.

Il Garante ha infine espresso 13 precise osservazioni volte ad integrare o modificare le Linee guida con riferimento ai profili relativi alla sicurezza del trattamento, nell’ambito dell’acquisizione e della gestione delle segnalazioni tramite procedure informatiche, per la cui lettura si rinvia al testo del parere.

Stefania Fabris