[1] Cfr. l’art. 57, comma 1, del d.lgs. n. 174/2016, e, in merito alla conclusione della fase istruttoria, il capo III del medesimo decreto (Codice di giustizia contabile).
[2] Analogamente, durante le procedure di segnalazione interna ed esterna si applica la regola del necessario consenso del segnalatore anche se la rivelazione della sua identità risulta indispensabile ai fini della difesa della persona coinvolta nella violazione: art. 12, comma 5, del decreto.
[3] La definizione di “persona coinvolta” è all’art. 2, comma 1, lett. l), e si riferisce alla “persona fisica o giuridica menzionata nella segnalazione interna o esterna ovvero nella divulgazione pubblica come persona alla quale la violazione è attribuita o come persona comunque implicata nella violazione segnalata o divulgata pubblicamente”.
[4] Nonché le autorità amministrative cui l’ANAC trasmette le segnalazioni esterne di loro competenza.
[5] Art. 12, comma 7, del decreto.
[6] Il soggetto menzionato come incolpato nella segnalazione non ha diritto ad essere informato della segnalazione che lo riguarda. Al riguardo, precisa l’ANAC che “il riconoscimento del diritto del segnalato ad essere sempre e comunque informato della segnalazione interna e/o esterna, oltre a non avere un chiaro appiglio normativo, rischierebbe di compromettere lo svolgimento dell’attività istruttoria con particolare riferimento alle successive/eventuali indagini penali” (par. 4.1.2.).
[7] In base all’art. 12, comma 9, del decreto, infatti “la persona coinvolta può essere sentita, ovvero, su sua richiesta, è sentita, anche mediante procedimento cartolare attraverso l’acquisizione di osservazioni scritte e documenti”.
[8] Nel definire il “facilitatore”, l’art. 2, comma 1, lett. h), del decreto afferma che la sua “assistenza deve essere mantenuta riservata”.
[9] In particolare, a norma del regolamento (UE) 2016/679, del d.lgs. n. 196/ 2003, e del d.lgs. 51/ 2018. Inoltre, la comunicazione di dati personali da parte delle istituzioni, degli organi o degli organismi dell’Unione europea è effettuata in conformità del regolamento (UE) 2018/1725, che riguarda la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione dei dati.
[10] Così l’art. 4, comma 1, lett. f), del d.lgs. n. 196/2003.
[11] Come si è detto in precedenza, infatti, ai sensi dell’art. 8, comma 2, del decreto, l’ANAC trasmette le segnalazioni che non rientrano nella sua competenza alle autorità amministrativa o giudiziaria competente.
[12] Si tratta dei comuni che non sono capoluogo di provincia e delle aziende con meno di 250 lavoratori di media nell’ultimo anno: art. 4, comma 4, del decreto.
[13] Questi soggetti sono obbligati a stabilire mediante un accordo interno le rispettive responsabilità in merito all’osservanza degli obblighi sulla protezione dei dati personali.
[14] Si fa riferimento, in particolare, all’art. 5 del Regolamento (UE) 2016/679, nonché all’art. 3, comma 1, del d.lgs. n. 51/2018.
[15] Al riguardo, l’art. 13, comma 2, del decreto, stabilisce che i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente.
[16] Art. 14, comma 1 del decreto.
[17] Secondo l’ANAC, “nel contesto in esame, caratterizzato da elevati rischi per i diritti e le libertà degli interessati, il ricorso a strumenti di crittografia nell’ambito dei canali interni e del canale esterno di segnalazione, è di regola da ritenersi una misura adeguata a dare attuazione, fin dalla progettazione e per impostazione predefinita, al predetto principio di integrità e riservatezza” (linee guida, par. 4.1.3.).
[18] Sulle modalità della valutazione d’impatto si v. il Regolamento (UE) 2016/679, in particolare nella sezione 3 (artt. 35 e 36) rubricata “Valutazione d’impatto sulla protezione dei dati e consultazione preventiva”. A tal fine, i titolari dei trattamenti possono anche interessare fornitori esterni che trattano dati personali per loro conto ai sensi dell’art. 28 del Regolamento (UE) 2016/679 o dell’art. 18 del d.lgs. n. 51/2018.
[19] Artt. 13 e 14 del Regolamento (UE) 679/2016.
[20] Cfr. le linee guida ANAC al par. 4.1.3.
[21] Del resto, l’art. 4, comma 3, parla espressamente di “modalità informatiche” per la segnalazione interna.
[22] Si tratta dei diritti previsti dal Regolamento (UE) 679/2016, artt. da 15 a 21.
[23] Il divieto in questione deriva direttamente dall’art. 2-undecies del d.lgs. 196/2003, comma 1, lett. f), lettera sostituita dall’art. 24, comma 4, del d.lgs. n. 24/2023, la quale stabilisce appunto che è precluso all’interessato l’esercizio dei diritti normalmente garantiti dalla normativa europea quando ne possa derivare un pregiudizio concreto ed effettivo alla riservatezza dell’identità della persona che segnala violazioni in un contesto lavorativo.
Speciali
