La Direttiva UE 1937/2019 sul whistleblowing e il recepimento in Italia con il D.lgs. 24/2023, tramutano tale strumento in uno dei pilastri nella lotta alla corruzione e nella promozione della trasparenza.

Per il consolidamento del whistleblowing, l’ANAC ha rilasciato nel luglio dello scorso anno le linee guida per la presentazione delle segnalazioni esterne (documento che in realtà presenta contenuti ad ampio spettro sulla materia) e il Regolamento per la gestione di tale canale e l’esercizio del potere sanzionatorio.

L’azione propulsiva dell’ANAC è proseguita, poi, la con pubblicazione, lo scorso marzo, degli esiti del monitoraggio delle criticità applicative, condotto a fine 2023 e a cui hanno partecipato 319 organizzazioni pubbliche e 213 privati; inoltre, ha tenuto consultazioni mirate con alcuni soggetti istituzionali fra cui Enti del Terzo settore (ETS), chiamati a svolgere funzione di sostegno ai segnalanti.

Di quel che è emerso in tali iniziative, l’ANAC ha tenuto conto nell’elaborare il draft delle linee guida sui canali interni di segnalazione, documento di recente messo in consultazione. Infine, va anche richiamata la pubblicazione, lo scorso 8 novembre, di un Documento ANAC che fornisce chiarimenti (risposte a quesiti) sul ruolo degli ETS.

Il documento in consultazione è rivolto a uniformare le procedure per i canali interni di segnalazione ed è articolato in cinque argomenti:

1. canale interno di segnalazione, nelle sue diverse sfaccettature e tipicità;
2. gestore del canale interno e sua attività;
3. codici di comportamento;
4. ruolo della formazione;
5. ruolo degli ETS.

Di seguito, i principali aspetti trattati e aspetti che paiono meritevoli di attenzione.

Canale interno di segnalazione

L’ANAC ribadisce la primazia del canale interno di segnalazione rispetto alle altre possibilità messe a disposizione dal D.lgs. 24/2023 (canale esterno e divulgazione pubblica) in quanto più prossimo all’origine delle questioni che vengono segnalate.

Al fine dell’attivazione del canale si sofferma sull’interlocuzione con le OO.SS., precisando che ha un carattere meramente informativo. L’interessamento delle rappresentanze sindacali dovrebbe riguardare i principali elementi che connotano il canale fermo restando che, evidenzia l’ANAC, il parere di parte sindacale non ha natura vincolante.

Il canale interno deve permettere segnalazioni scritte, preferibilmente mediante piattaforma IT più atta a garantire la riservatezza; in mancanza di questa, per le segnalazioni cartacee andrebbe adottata una procedura basata su due buste: una con la descrizione dell’evento e l’altra con i dati del segnalante. Non è ritenuto garantista il ricorso alla e-mail o alla PEC, con riguardo alla tutela della riservatezza del segnalante.

Unitamente a quella scritta deve essere garantita anche la modalità di segnalazione orale (attraverso linee telefoniche, sistemi di messaggistica, incontro diretto), anche senza garantirne la possibilità 24/7. Per la variante orale, ANAC segnala la primaria importanza di modalità di tracciamento specie per un effettivo e corretto procedimento.

È implicito ma andrebbe opportunamente esplicitato che l’attivazione di una solo delle due forme di segnalazione – quella scritta o quella orale – costituisce una carenza sanzionabile in quanto parziale rispetto alle previsioni del D.lgs. 24/2023.

Circa eventuali sanzioni relative alla mancata o non conforme attivazione del canale interno, l’ANAC precisa che delle stesse risponderebbe l’organo di indirizzo, sia nel settore pubblico che in quello privato, in solido con i suoi componenti.

Per quanto attiene al whistleblowing e al Modello organizzativo 231, l’ANAC reputa necessario che il Modello venga adeguato sotto tre profili:

1. previsione del canale di segnalazione interna o adeguamento di quello che fosse stato già attivato;
2. esplicitazione del divieto di ritorsione;
3. aggiornamento del sistema disciplinare con possibili sanzioni nei confronti dei responsabili degli illeciti sanzionati da ANAC.

Inoltre, viene ritenuto preferibile un unico canale segnaletico anziché uno per il whistleblowing e uno per le segnalazioni afferenti al MOG 231.

L’OdV viene indicato come uno dei soggetti cui potrebbe assegnato il ruolo di gestore del canale; ove venisse adottata una scelta diversa, l’ANAC segnala che il MOG 231 o altro atto debba necessariamente disciplinare le modalità di raccordo e coordinamento fra OdV e gestore.

Sulla dibattuta questione del canale interno nei gruppi societari l’ANAC rappresenta che, tenuto anche conto della posizione espressa dalla Commissione Europea, in analogia alla condivisione del canale di segnalazione interno prevista dal D.lgs. 24/2023 per i gruppi di imprese medie (fino a 249 dipendenti), le imprese di grandi dimensioni – nel rispetto del divieto di canale di segnalazione condiviso – possono conferire a un soggetto esterno – la capogruppo o un soggetto terzo – la gestione del canale interno o alla capogruppo.

A tale soggetto (da nominare responsabile del trattamento a fini privacy) può essere esternalizzata la sola “fornitura dell’infrastruttura per la ricezione delle segnalazioni oppure anche il servizio di gestione delle segnalazioni”.

In ordine agli aspetti esaminati per il canale interno, sarebbe utile condurre una più analitica riflessione in particolare per meglio regolare questi due aspetti:

La gestione documentale

È un tema delicato, specialmente in relazione alla riservatezza e alla durata della conservazione dei dati. In argomento il D.lgs. 82/2005 Codice dell’Amministrazione Digitale (CAD) non è richiamato esplicitamente nella bozza, generando incertezza sulla sua osservanza per il whistleblowing nell’ambito della Pubblica Amministrazione.

Tale Codice disciplina l’organizzazione e la gestione dei documenti amministrativi digitali. Secondo il CAD, tutti i documenti prodotti o ricevuti dalle pubbliche amministrazioni devono essere gestiti in conformità alle regole di formazione, gestione e conservazione dei documenti digitali (art. 40 e seguenti del CAD).

Le specificità per la gestione delle segnalazioni, soprattutto riguardo alla riservatezza e alla protezione dei dati personali, sancite dal D Lgs 24/2023 appaiono compatibili con una gestione tramite CAD (resterebbe comunque da approfondire a tal riguardo la gestione delle segnalazioni orali non oggetto di trascrizione).

Andrebbe quindi espressamente chiarito se le segnalazioni in esame rientrino o meno nell’ambito del CAD, specificando deroghe o adattamenti necessari per garantire la riservatezza.

Inoltre, per quanto attiene alla cancellazione, allo scoccare dei termini previsti, andrebbe chiarito se per il relativo rispetto possa supplire anche una completa anonimizzazione dei dati personali in luogo della cancellazione della documentazione afferente alle segnalazioni.

Mancato coinvolgimento delle organizzazioni sindacali

Circa l’eventuale mancato coinvolgimento delle organizzazioni sindacali sarebbe utile chiarire i seguenti aspetti:

1. Ciò implica o meno la possibilità che venga comminata dall’ANAC una sanzione ex art. 20.1 lett. b) afferente anche al caso che “l’adozione di tali procedure non è conforme a quelle di cui agli articoli 4 e 5”?
2. Ciò fa nascere la legittimazione delle OO.SS. a rivolgersi all’ANAC per le valutazioni che ritenesse di adottare? (ad es. richiamo al RPCT o, comunque, al gestore del canale interno; intervento di moral suasion; richiesta di informazioni ecc.). Peraltro, sarebbe teoricamente possibile per le OO.SS. rivolgersi a: a) Autorità Garante per la privacy sotto forma di segnalazione ex art. 144 del “Codice privacy” e b) all’Autorità Giudiziaria per violazione dell’art. 28 della L. 300/1970.

Gruppi di imprese di grandi dimensioni

Con riguardo ai gruppi di imprese di grandi dimensioni, dalla bozza si evince che, nell’opzione di canale condiviso adottata dal gruppo, il segnalante possa scegliere se rivolgersi alla propria impresa o a quella che gestisce il canale: ciò equivarrebbe alla compresenza di due canali interni (di cui uno esternalizzato), con due diversi gestori con il corollario, in tal caso, che il soggetto terzo (entità esterna al gruppo oppure la capogruppo) contemporaneamente potrebbe svolgere il solo ruolo di fornitore esterno della piattaforma o anche di gestore della segnalazione sulla base della scelta del segnalante.

Gruppi di imprese con sedi in diversi Stati

Con riguardo ai gruppi di imprese con sedi in diversi Stati, sia nel caso di condivisione (imprese fino a 249 dipendenti) sia nel caso di esternalizzazione (imprese maggiori) del canale di segnalazione, la bozza (punto 2.5.3) si sofferma su un aspetto che appare un potenziale vulnus al whistleblowing laddove evidenzia che se la capogruppo (nel caso di condivisione) o il soggetto terzo (esternalizzazione) ha sede all’estero, l’ANAC non può effettuare alcuna attività di verifica: ma ciò potrebbe depotenziare la portata dello strumento e le tutele per il whistleblower e, pertanto, andrebbe individuata una soluzione a livello normativo se non superabile altrimenti.

Il gestore del canale interno e la sua attività

Le Linee guida in esame ribadiscono che il gestore del canale interno deve essere dotato di autonomia, declinata nel documento in esame in imparzialità e indipendenza: onde evitare una compromissione di tali connotazioni viene posta attenzione al cumulo di incarichi, soffermandosi su quello di RPD.

Inoltre, per garantire l’autonomia, andrebbe evitato di assegnare agli organi di vertice e /o di controllo poteri di supervisione sulla gestione delle segnalazioni o della competenza ad adottare i provvedimenti decisionali.

La bozza indica (“deve”) poi che tale soggetto:

1. disponga “di pieno accesso ai servizi dell’ente (come banche dati)”;
2. che possa coinvolgere altre strutture interne o esterne.

Il gestore, preferibilmente in possesso di conoscenze in ambito giuridico ed etico, dovrà essere specificamente formato e messo in condizioni di acquisire una buona conoscenza dell’organizzazione e del funzionamento dell’ente e dovrebbe godere di buona reputazione per accrescere la fiducia dei potenziali segnalanti.

Da menzionare poi l’attenzione posta sull’ipotesi di conflitto di interesse e di temporanea assenza del gestore. Nell’ipotesi che la segnalazione riguardi il gestore, questi, evidenzia la bozza, dovrà astenersi dal trattarla – comunicandolo all’organo di Vertice – e trasmetterla ad altro soggetto/ufficio (che andrebbe quindi preventivamente individuato nella procedura adottata) idoneo e che dovrà ovviamente rispettare le previsioni del D.lgs. 24/2023.

Analogamente, per il caso di temporanea assenza, dovrebbe essere già individuato, nell’impiantare il canale e la procedura interna, un sostituto del gestore. Quand’anche, poi, anche per tale sostituto si configurasse l’ipotesi di conflitto di interesse, il whistleblower l’ANAC evidenzia la possibilità, per il segnalante, di ricorrere al canale esterno.

Nel caso il segnalante produca la segnalazione a più soggetti interni ed esterni, l’ANAC richiama nel primo caso l’esigenza che gli altri destinatari interni la veicolino al gestore nelle forme previste dalla norma mentre, laddove venga interessato anche un soggetto esterno, il gestore dovrà vagliare, interessando anche il segnalante, se era sua intenzione procedere a una divulgazione pubblica onde vagliare l’effettiva qualificazione e l’iter da dare alla stessa anche con riguardo all’applicabilità delle previsioni a favore del segnalante.

In ordine alle previsioni sul gestore del canale e alla sua attività, andrebbe effettuata una riflessione sui seguenti aspetti:

• circa il pieno accesso del gestore ai servizi dell’ente, andrebbero fornite maggiori indicazioni su quanto prospettato in termini di accesso alle informazioni dell’organizzazione a meno che non si ritenga che sin dalla sua nomina debba essere abilitato a qualsivoglia procedura, DB, applicazione dell’ente. Tale ipotesi, va da sé, implicherebbe un potere rilevante che dovrebbe però trovare un contrappeso essenziale e necessario nella tracciatura di ogni accesso del gestore. Ad es. andrebbe previsto:
  • che ogni sua attività sui sistemi informativi (accesso, lettura, scrittura, etc…) venga loggata;
  • che i relativi log siano protetti e conservati per un periodo congruo (indicativamente pari a…)
  • che l’accesso a tali log sia protetto (dalla lettura dei log si potrebbero inferire informazioni su eventi segnalati);
• con riguardo al coinvolgimento di strutture interne o esterne, andrebbe chiarito se ciò implichi che venga redatta una (preventiva e/o ad hoc) specifica intesa e obblighi di riservatezza per tali soggetti e se sia possibile anche un coinvolgimento di tali soggetti per pareri non vincolanti.  In ogni caso, andrebbe sottolineato che tale coinvolgimento andrebbe esperito evitando che si possa inferire, per quanto possibile, chi sia la persona segnalante;
• circa l’indicazione di evitare l’attribuzione a organi apicali di poteri (oltre alla supervisione sulla gestione delle segnalazioni) anche della competenza ad adottare provvedimenti decisionali andrebbe tenuto presente che:
  • secondo le disposizioni dell’organizzazione, agli organi apicali potrebbe essere assegnato il compito di decisione su aspetti disciplinari;
  • se tale raccomandazione non venisse seguita andrebbe chiarito cosa ne deriverebbe a carico dell’ente e dei soggetti coinvolti;
• una questione che trarrebbe giovamento da più specifiche indicazioni è quella delle segnalazioni anonime ma che si riferiscano a fatti che inducano a ritenere credibile la sussistenza di illeciti: andrebbe preferibilmente indicato se debbano essere o meno portate avanti dal soggetto gestore. A supporto di tale considerazione, si consideri l’eventualità che segnalazioni effettuate ad es. tramite procedura informatica in cui i dati del segnalante sono censiti a parte e riservatamente (e le comunicazioni con lo stesso siano previste tramite una casella ad accesso tramite codice assegnato al segnalante al momento della segnalazione): in assenza di verifica dei dati del segnalante non è possibile rilevare se questi abbia indicato generalità non veritiere (salvo che il gestore, nelle forme e momenti previsti, acceda a tali dati segregati) e quindi si potrebbe in concreto trattare di segnalazione assimilabile ad anonima ma portata comunque avanti.
• infine, un aspetto importante e delicato del processo di segnalazione è quello di chiarire se e in quale momento della procedura, per il gestore è ammissibile la conoscibilità del nominativo del segnalante da parte del gestore del canale. Va da sé che nel caso di canale orale la questione si pone in maniera diversa.

Codici di comportamento

L’ANAC nel sottolineare la necessità di una completa armonizzazione del quadro normativo di cui al D Lgs 24/2023 e al Codice di comportamento dei dipendenti pubblici (CCDP) emanato con il DPR n. 62/2013, che è stato aggiornato con il D.P.R. n. 81/2023 ma senza che le modifiche richiamino il sistema del whistleblowing.

Al riguardo l’ANAC raccomanda alle PP.AA. di aggiornare i propri codici di comportamento con riguardo a:

1. obblighi di riservatezza;
2. immediata veicolazione al gestore della segnalazione ricevuta da soggetto non competente;
3. divieto di ritorsioni.

Analogamente dovrebbero procedere le entità private nei loro atti interni afferenti alle norme interne di comportamento.

In ordine a tale aspetto, posto che il Codice è norma di rango inferiore alla coppia Direttiva UE-D Lgs 24/2023, le più garantistiche previsioni del whistleblowing prevalgono sul Codice di comportamento.

Ma la apparente discrasia potrebbe però impattare sulla interpretazione da parte dei singoli interessati e, quindi, sulle modalità di segnalazione e precludere al potenziale segnalante di fruire in concreto delle tutele del D.lgs. 24/2023.

Formazione

Il whistleblowing rappresenta uno strumento centrale per la prevenzione e repressione di comportamenti illeciti a tutela delle organizzazioni pubbliche e private ma anche, occorre aver presente, a tutela del contesto socioeconomico.

L’ANAC di sofferma sull’esigenza di una formazione periodica per sensibilizzare e formare il personale e idoneamente calibrata per quella a favore delle persone coinvolte nella gestione delle segnalazioni.

Inoltre, appropriatamente l’ANAC evidenzia che la formazione dovrà coinvolgere anche il personale (dipendenti e collaboratori) di entità che sono fornitrici dell’ente.

In merito alla formazione si reputa opportuno chiarire se la formazione rivolta al personale di entità esterne debba essere (preferibilmente) compito dell’ente stesso o possa anche essere delegata alle relative entità di appartenenza e, in tal caso se occorra supervisionare che ciò effettuato.

Ruolo degli Enti del terzo settore

Tale tipologia di soggetti a cui, come evidenzia l’ANAC, è affidato un ruolo importante nell’ambito del whistleblowing, ha una duplice veste:

1. importante riferimento per i segnalanti;
2. valorizzatore di questo strumento.

Un ETS per poter rendere sostegno agli interessati deve fra l’altro stipulare una apposita Convenzione con l’ANAC che provvede poi a inserirle in un elenco disponibile sul proprio portale.

La bozza rimarca l’esigenza che l’attività degli ETS sia tenuta distinta dall’esame vero e proprio della segnalazione che invece compete al gestore.

In tale ottica l’ANAC esclude che gli ETS siano abilitati a “effettuare un vero e proprio trattamento di dati personali con riferimento alla persona segnalante o agli altri soggetti segnalati”. Laddove dati personali vengano d’iniziativa comunicati dal segnalante (anche potenziale), l’ANAC evidenzia che possono essere trattati al solo fine di svolgere l’attività di sostegno e a non registrarli in archivi cartacei o informatici, procedendo quindi alla loro tempestiva segnalazione. Inoltre, per l’ANAC andrebbe disincentivato il ricorso alla e-mail preferendo l’incontro diretto con gli interessati, per gestire meglio tale questione.

Viene chiarito che il ruolo degli ETS (persona giuridica) è diverso da quello del facilitatore (persona fisica) previsto dal D Lgs 24/2023 e che opera nel medesimo contesto lavorativo del segnalante; peraltro il facilitatore interviene ”nel processo di segnalazione” mentre agli ETS è demandata “un’assistenza precedente e propedeutica alla presentazione di una eventuale segnalazione” (nonché, è da ricordare, sulla protezione delle ritorsioni e sull’accesso al patrocinio a spese dello Stato), aggiungendo che l’ETS potrebbe anche trovarsi a fornire assistenza alla persona coinvolta nella segnalazione.

Sul ruolo degli ETS, si reputa che potrebbe essere opportuno rivedere lo schema della Convenzione adottato dall’ANAC al fine di rendere cogenti aspetti quali:

1. rendere disponibile ex-ante, pubblicandola sui propri portali e comunque consegnandola agli interessati prima di discutere della questione, una chiara ed esaustiva informativa su se e come saranno trattati i dati personali del potenziale segnalante;
2. specificare in tale informativa che ogni dato e informazione che l’interessato volontariamente rendesse con riguardo a una potenziale segnalazione verrà immediatamente cancellato in quanto il ruolo degli ETS non è rivolto alla gestione delle segnalazioni;
3. che l’unico trattamento di dati personali effettuabile – inevitabilmente – può essere quello della persona che loro si rivolge i cui dati sono raccolti. Nella bozza si evidenzia infatti che i dati “non possono intenda dire che debbano essere immediatamente cancellati, ma comunque andrebbe impostato un trattamento dei dati personali e una informativa). Per completezza, si rappresenta che l’indicazione normativa contenuta nella nota n. 40 della bozza non appare preclusiva a che gli ETS possano essere destinatari di tali informazioni da parte dei potenziali segnalanti, va da sé nel rispetto della riservatezza prevista dalle norme sulla privacy.

Recependo tali considerazioni nella Convenzione ad oggi utilizzata (e prevedendo magari che il mancato rispetto conduca alla cancellazione della Convenzione) si potrebbe:

1. dare una effettiva valenza propositiva alle indicazioni formulate nella bozza delle linee guida;
2. valorizzare il ruolo che gli ETS possono assumere atteso che la loro natura indipendente e non profit genera maggiore fiducia tra i segnalanti;
3. minimizzare il rischio di conflitti di interesse (virtuali) in cui ETS abilitati a fornire sostegno potrebbero in ipotesi trovarsi laddove collaborino con entità pubbliche o private alle quali si riferissero le segnalazioni.

Per completezza, invero, va anche evidenziato che una forte azione da parte degli ETS necessiterebbe anche di una riflessione sulle risorse e i fondi che per condurre tale azione potrebbero necessitare.

Prima di concludere, una cenno merita l’aspetto sanzionatorio, che nel caso del whistleblowing italiano prevede un tetto massimo di 50.000 euro, per richiamare l’opportunità di una riflessione sulla esigenza di promuoverne una revisione atteso:

1. il contenuto peso dissuasivo sia in assoluto, sia rispetto alle previsioni del GDPR sia di quelle, in tema di whistleblowing, definite in altri Paesi (ad es. in Spagna la legge emanata il 20.2.2023 prevede al Titolo IX “Régimen sancionador”: per le persone fisiche sanzioni da 1.000 a 300.000 euro e per le persone giuridiche da 100.000 a un 1.000.000 euro, da applicare secondo criteri di graduazione attenuanti o aggravanti);
2. la possibilità che la medesima fattispecie (ad es violazione obbligo riservatezza) venga sottoposta al Garante per la privacy che – ai sensi del GDPR e delle linee guida WP253 e 4/2022 dell’EDPB – potrebbe comminare sanzioni più elevate.

In argomento andrebbe anche:

1. considerata la questione dell’eventuale applicazione, nel contesto sanzionatorio amministrativo, del principio ne bis in idem;
2. tenuto presente che nel Regolamento ANAC sul canale esterno, viene precisato che “qualora la segnalazione esterna abbia ad oggetto violazioni che non rientrano nell’ambito oggettivo di intervento dell’ANAC, l’Ufficio ne dispone l’archiviazione per inammissibilità trasmettendola all’autorità amministrativa, all’istituzione, all’organo o organismo dell’Unione europea di volta in volta competente”, non apparendo chiaro  se ciò si riferisca a segnalazioni comunque whistleblowing o solo a segnalazioni che tali non sono (e, quindi, l’ANAC tratta ogni segnalazione della specie salvo quelle che comportino profili penali o di danno erariale per “manifesta incompetenza”).

Conclusioni

In definitiva, con le linee guida sui canali interni e con il Documento con i chiarimenti su ruolo e azione degli ETS, il whistleblowing effettua un notevole passo avanti per poter contribuire a rafforzare la trasparenza e l’etica pubblica.

Spetta a ogni singola organizzazione fare la propria parte per renderlo una componente parte del proprio sistema di risk management e di cultura etica.

In questa ottica occorrerà da un lato un forte impulso da parte dei Vertici e un’azione sinergica fra i diversi soggetti interni coinvolti sui diversi profili organizzativi, gestionali e di controllo (RPCT, RPD, Internal audit, OIV, OdV).

Non va infatti sottaciuto che una legge da sola non può creare una cultura dell’allerta.

Una pedagogia pubblica generale deve essere portata ai massimi livelli dell’esecutivo, nell’ambito della gestione globale della lotta alla corruzione, se vogliamo consentire a tutti di essere parte attiva nel sistema di tutela delle legalità e dell’interesse generale.

Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono ad alcun titolo l’Istituto pubblico ove l’autore presta servizio.