Whistleblowing e pubblica amministrazione

Whistleblowing, introduzione

Whistleblowing e pubblica amministrazione…whistleblowing nei comuni…whistleblowing e enti locali.

Ultimamente si sente sempre più parlare di whistleblowing e, contestualmente, la normativa viene associata al mondo della P.A. come se fosse una novità, in realtà così non è.

In Italia la regolamentazione del whistleblowing è iniziata circa dieci anni fa, con l’introduzione della Legge 90/2012 e l’obiettivo di inserire la pratica delle segnalazioni di illeciti nelle organizzazioni, tutelando i segnalanti.

Già la legge 179/2017 prevedeva forme di tutela per i segnalatori di illeciti all’interno del proprio ambiente di lavoro ma non aveva mai avuto modo di entrare nel tessuto giuridico operativo delle pubbliche amministrazioni.

Oggi però i tempi sono maturi. Dopo il via libera definitivo del Garante della Privacy, e il parere favorevole del Senato allo schema di decreto legislativo di recepimento, la Direttiva UE 2019/1937, riguardante la protezione dei soggetti che, nelle Pubbliche Amministrazioni, segnalano violazioni del diritto dell’Unione da parte dell’Ente è diventata legge dello Stato italiano.

Il 9 marzo 2023, il Consiglio dei ministri ha approvato in via definitiva il decreto legislativo del 10 marzo 2023, n. 24, pubblicato in Gazzetta Ufficiale, che entrerà in vigore il 15 luglio prossimo.
Per gli Enti locali, sarà obbligatorio:

• adeguarsi alla normativa, prevedendo una procedura;
• attuare i principi di minimizzazione e protezione dei dati richiesti dal Garante della Privacy;
• effettuare una valutazione di impatto del trattamento dei dati;
• formare adeguatamente il proprio personale interno (o eventualmente delegando ad un soggetto esterno) per la gestione delle segnalazioni.

Whistleblowing, cos’è

Il Whistleblowing è uno strumento, una procedura, tramite il quale il personale dipendente, oppure terze parti, di un ente locale possono segnalare, in modo riservato e protetto, eventuali illeciti riscontrati durante la propria attività.

Il whistleblowing è la pratica per segnalare violazioni di leggi o regolamenti, reati e casi di corruzione o frode, oltre a situazioni di pericolo per la salute e la sicurezza pubblica.

Whistleblower in inglese significa “soffiatore di fischietto”: il termine è una metafora del ruolo di arbitro o di poliziotto assunto da chi richiama e richiede l’attenzione su attività non consentite, ovvero illegali, affinché vengano fermate.

Il whistleblower, tradotto in italiano con segnalatore o segnalante, è colui che lavorando all’interno dell’ente decide di segnalare un illecito, una frode o un pericolo che ha rilevato durante la sua attività; lo stesso comportamento può essere seguito da un soggetto terzo.

Whistleblowing, soggetti della P.A. interessati

Il whistleblowing interessa la Pubblica Amministrazione nella sua accezione più ampia, vediamo nello specifico quali enti coinvolge.

La normativa interessa le amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, le autorità amministrative indipendenti di garanzia, vigilanza o regolazione, gli enti pubblici economici, gli organismi di diritto pubblico di cui all’articolo 3, comma 1, lettera d), del decreto legislativo 18 aprile 2016, n. 50, i concessionari di pubblico servizio, le società a controllo pubblico e le società in house, così come definite, rispettivamente, dall’articolo 2, comma 1, lettere m) e o), del decreto legislativo 19 agosto 2016, n. 175, anche se quotate.

Ricordiamo che con l’art. 1, comma 2, del decreto 165 vediamo come il whistleblowing interessi tutte   le amministrazioni dello Stato, ivi compresi gli istituti  e  scuole  di ogni ordine e  grado  e  le  istituzioni  educative,  le  aziende  ed amministrazioni dello Stato ad ordinamento autonomo, le  Regioni,  le Province,  i  Comuni,  le  Comunità  montane,  e  loro  consorzi   e associazioni, le istituzioni  universitarie,  gli  Istituti  autonomi case popolari, le  Camere  di  commercio,  industria,  artigianato  e agricoltura  e  loro  associazioni,  tutti  gli  enti  pubblici   non economici nazionali,  regionali  e  locali,  le  amministrazioni,  le aziende e gli enti del Servizio sanitario nazionale l’Agenzia per  la rappresentanza negoziale delle pubbliche amministrazioni (ARAN) e  le Agenzie di cui al decreto legislativo 30 luglio 1999, n. 300.

Whistleblowing, come si fa la segnalazione

I canali di segnalazione degli illeciti messi a disposizione dei lavoratori sono tre:

• Interno. Si parla di whistleblowing interno quando la segnalazione viene effettuata utilizzando specifici canali interni comunicativi, i lavoratori, o le terze parti, possono segnalare condotte illecite o fraudolente di cui siano venuti a conoscenza.
• Esterno. Si parla di whistleblowing esterno quando la segnalazione di un illecito viene fatta all’autorità giudiziaria, ai media o alle associazioni ed enti competenti.
• Pubblico. Il whistleblowing è pubblico quando la segnalazione viene effettuata tramite la stampa, mezzi elettronici o mezzi di diffusione in grado di raggiungere un numero elevato di persone

Whistleblowing, canali di segnalazione

Al fine di rispettare la normativa inerente al whistleblowing gli Enti pubblici, dunque, dovranno provvedere ad attivare un canale interno di segnalazione, predisponendo e portando a conoscenza dei dipendenti una apposita procedura, che garantisca l’anonimato e la minimizzazione dei dati raccolti.

La procedura potrà prevedere quattro modalità di segnalazione:

• la forma scritta;
• la forma orale, con un incontro di persona con personale addetto;
• attraverso linee telefoniche o altri sistemi di messaggistica vocale registrati o non registrati. Essendo, in questo caso, la segnalazione effettuata in forma orale emerge la necessità di procedere con la sua trascrizione e sottoscrizione ;
• tramite la piattaforma informatica che sarà messa a disposizione da ANAC (Autorità Nazionale Anti Corruzione) per la segnalazione esterna.

Whistleblowing e GDPR

Perché si associa il whistleblowing al GDPR? Perché è onere dell’ente prevedere una apposita procedura per tutelare la riservatezza dei segnalatori e del contenuto della segnalazione, procedura che include anche l’effettuazione di una valutazione di impatto.

La valutazione di impatto altrimenti conosciuta dome DPIA, Data Protection Impact Assesment, e richiamata nell’art. 35 del GDPR, è un adempimento formale oneroso per gli Enti, soprattutto per le pubbliche amministrazioni di dimensioni più modeste.

La valutazione sensi del GDPR dovrà contenere:

• una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
• una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
• la valutazione dei rischi per i diritti e le libertà fondamentali degli interessati;
• le misure di sicurezza previste dal titolare per minimizzare i rischi e presidiarli.

Whistleblowing, tutela dei dati personali

Per quanto riguarda il trattamento dei dati, oltre al citato obbligo di DPIA, il decreto prevede:

• l’obbligo di informativa in capo ai soggetti che attivano i canali di segnalazione interni, Titolari del trattamento;
• la necessità di un accordo interno ai sensi dell’art. 26 GDPR per i soggetti che “condividono risorse per il ricevimento e la gestione delle segnalazioni”;
• la necessità di nomina a responsabile esterno di eventuali fornitori che trattano dati personali per loro conto.

Whistleblowing, sanzioni

Nel rispetto dell’attuazione delle nuove disposizioni ricordiamo che la data a cui fare riferimento è il 15 Luglio 2023.

Nel caso in cui non si effettui l’aggiornamento entro tali date, sono state disposte pesanti sanzioni amministrative, il cui importo varierà in base alle singole situazioni.

L‘ANAC potrà comminare sanzioni amministrative pecuniarie:

1. da 5.000 a 30.000 euro quando accerta che sono state commesse ritorsioni o quando accerta che la segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l’obbligo di riservatezza;

2. da 10.000 a 50.000 euro quando accerta che non sono stati istituiti canali di segnalazione, che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni oppure che l’adozione di tali procedure non è conforme.

Devono essere tenute altresì in considerazioni le eventuali sanzioni collegate all’inosservanza del GDPR, sia amministrative che penali.

Whistleblowing, il servizio per la Pubblica Amministrazione

Per far fronte a questo nuovo adempimento abbiamo elaborato un prodotto che possa supportare l’Ente nel soddisfare gli obblighi previsti dalla norma tramite una procedura sicura, snella e che impatta al minimo sull’operatività della struttura. Scarica la locandina del servizio.