Forme di tutela del whistleblower previste dalla normativa

L’art. 1, comma 51, della Legge 190/2012 (cd. legge anticorruzione) ha inserito un nuovo articolo, il 54-bis, nell’ambito del d.lgs. 165/2001, rubricato “tutela del dipendente pubblico che segnala illeciti”, in virtù del quale è stata introdotta nel nostro ordinamento una misura finalizzata a favorire l’emersione di fattispecie di illecito, nota nei paesi anglosassoni come whistleblowing.

Il whistleblowing è attualmente regolamentato dal D.Lgs. 10 marzo 2023, n. 24 recante “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”, che ha abrogato l’art. 54-bis del d.lgs. 165/2001. La normativa prevede la tutela per diverse categorie di soggetti, sia pubblici che privati, meglio specificati nell’art. 3 del decreto legislativo, che segnalino la commissione di un illecito e/o reato ai soggetti preposti, proteggendolo contro le eventuali ritorsioni o misure discriminatorie, dirette o indirette, da parte di colleghi o superiori.

L’identità del segnalante non può essere rivelata senza il suo espresso consenso e tutti coloro che ricevono o sono coinvolti nella gestione della segnalazioni sono tenuti a tutelare la riservatezza di tale informazione.

Gli atti discriminatori o ritorsivi adottati dall'amministrazione o dall'ente sono nulli.

L’ANAC, con la Delibera n. 469 del 9 giugno 2021 "Linee guida in materia di tutela del dipendente pubblico che segnala illeciti (whistleblower)" e con la successiva Delibera n. 311 del 12 luglio 2023 “Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne.” ha dato chiara indicazione che le segnalazioni, al fine di tutelare il segnalante, debbano essere trattate informaticamente con sistemi informatizzati e crittografici.

Obblighi di riservatezza sull’identità del whistleblower

Ad eccezione dei casi in cui sia configurabile una responsabilità a titolo di calunnia e di diffamazione l’identità del whistleblower viene protetta in ogni contesto successivo alla segnalazione. L’identità del segnalante può essere rivelata all’autorità disciplinare e all’incolpato solo qualora sussistano le seguenti condizioni:

• La contestazione dell’addebito disciplinare risulti fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell’identità del segnalante risulti assolutamente indispensabile alla difesa dell’incolpato, sempre che tale circostanza venga da quest’ultimo dedotta e comprovata in sede di audizione o mediante la presentazione di memorie difensive;
• Vi sia il consenso espresso del segnalante.

Distinzione tra segnalazione anonima e riservatezza dell’identità del segnalante

Il procedimento di gestione della segnalazione deve garantire la riservatezza dell’identità del segnalante sin dalla ricezione della segnalazione e in ogni fase successiva.

La garanzia di riservatezza presuppone che il segnalante renda nota la propria identità. In sostanza, la ratio della norma è quella di assicurare la tutela del segnalante mantenendo riservata la sua identità.

Infrastruttura e sicurezza

Il software gestionale del Whistleblowing, in linea con il dettato normativo, garantisce altissimi livelli di sicurezza sia al segnalante che a livello di infrastruttura.

Sicurezza del segnalante e delle segnalazioni

• Crittografia asimmetrica sui contenuti testuali e sui file allegati: la crittografia non richiede azioni specifiche da parte degli utenti. Il sistema crittografico, garantisce che i messaggi ed i relativi allegati possano essere letti esclusivamente dal mittente e destinatario attraverso l’abbinamento della “chiave crittografica pubblica e privata”.
• Possibilità di accesso tramite smart card.
• Accesso regolamentato a norma privacy: l’accesso alle segnalazioni è consentito esclusivamente tramite credenziali (per gli utenti registrati) o tramite l’inserimento dei codici associati alla segnalazione (per gli utenti non registrati).

Sicurezza applicativa

Separazione della segnalazione dall’identità del segnalante: come previsto dalla normativa sul whistleblowing. La riservatezza del segnalante è ulteriormente garantita dall’applicazione, che prevede una netta separazione del processo di iscrizione dal processo di segnalazione, per una corretta separazione dei dati; nella segnalazione inviata, infatti, non viene indicato il nominativo del segnalante. Resta ferma la possibilità per il responsabile di attivare la procedura tramite la quale il sistema associa l’identità del segnalante alla segnalazione, motivando la richiesta, quando ciò è ritenuto necessario e nei casi previsti dalla normativa. Tale azione viene automaticamente notificata al segnalante e registrata nel sistema.

Server dedicati DigitalPA: massima protezione dei dati e dei livelli di sicurezza, garantiti sia dalla certificazione DigitalPA ISO 27001/2014 che dalla infrastruttura della server farm certificata ISO 27001/2014.

Firewall hardware e Software integrato: ogni piattaforma dispone di un firewall integrato con strettissime regole, che limitano gli accessi e le azioni agli esclusivi compiti dedicati al software; i firewall si integrano e potenziano ulteriormente la sicurezza.

Certificato SSL: il software di whistleblowing è accessibile esclusivamente tramite accesso HTTPS (Secure Sockets Layer).

IP e Certificato SSL dedicati per ciascun cliente.

Validazioni input utente: la piattaforma è basata su un approccio di validazione input dell’utente. Attraverso regole estremamente rigide l’utente viene verificato sia a livello client che a livello server.

Prevenzione CSRF: tutte le richieste gestite dalla piattaforma sono protette da token CSRF.