1. Le nuove Linee guida ANAC in materia di Whistleblowing
2. La nuova Decisione di adeguatezza per il trasferimento di dati personali dall’UE agli Stati Uniti.
1) Le nuove Linee guida ANAC in materia di Whistleblowing
Sono state pubblicate le nuove Linee guida dell’ANAC (previo il parere favorevole del Garante Privacy, con Provvedimento n. 304 del 6.7.2023) in materia di protezione del segnalante nonché riferite alle procedure per la presentazione e gestione delle segnalazioni esterne. Le nuove Linee guida (ed i relativi Allegati), approvate con Delibera n. 311 del 12 luglio 2023, si accompagnano al Regolamento per la gestione delle segnalazioni esterne e per l’esercizio del potere sanzionatorio dell’ANAC, approvato, invece, con Delibera n. 301 del 12 luglio 2023. Le Linee guida sostituiscono quelle adottate dall’ANAC con la Delibera n. 496 del 9 giugno 2021 e si compongono di una prima parte, relativa all’ambito di applicazione e di una seconda, relativa al canale esterno e al ruolo dell’ANAC nella gestione delle segnalazioni, inoltre esse sono completate da una parte terza, riguardante la disciplina sanzionatoria ed una quarta che attiene al regime transitorio. Le Linee guida risultano connotate da un approccio chiaro e corredato da schemi rappresentativi delle principali novità introdotte dal D.Lgs. n.24 del 2023 nonché da esempi pratici. Nella Prima Parte, dedicata all’ambito soggettivo e agli enti del settore pubblico, spiccano i riferimenti alle novità inerenti ai nuovi soggetti tenuti a rispettare la disciplina, fra i quali gli organismi di diritto pubblico e i concessionari di pubblico servizio, cosi come definiti dalle stesse Linee guida. Con riferimento agli enti privati tenuti a rispettare la disciplina è anche importante ricordare il riferimento ai: “Soggetti del settore privato che rientrano nell’ambito di applicazione degli atti dell’Unione di cui alle parti I.B e II dell’allegato 1 al d.lgs. n. 24/2023, anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati (con contratti di lavoro a tempo interminato e determinato)”, altresì è importante ricordare l’applicazione soggettiva agli enti di diritto privato che rientrano nell’ambito applicativo del d.lgs. n. 231/2001 e lo adottano, “…se nell’ultimo hanno raggiunto la media di almeno cinquanta lavoratori subordinati (con contratto di lavoro a tempo interminato e determinato)”, ovvero agli enti del settore privato che rientrano nello stesso ambito di applicazione ed adottano i modelli di organizzazione e gestione, “… anche se nell’ultimo anno non hanno raggiunto …” l’anzidetta media. Oltre quanto innanzi rappresentato, appare estremamente utile il riferimento alle novità inerenti ai soggetti che godono della protezione nel settore privato, ivi compresi quelli diversi da chi segnala, denuncia o effettua la divulgazione pubblica. In particolare, sotto quest’ultimo profilo, le Linee guida si soffermano a chiarire la non semplice esegesi relativa all’identificazione delle persone che operano “nel medesimo contesto lavorativo”. Quanto all’ambito oggettivo, del quale sempre alla parte prima delle Linee guida, queste approfondiscono il concetto delle violazioni oggetto della segnalazione, denuncia o divulgazione, anche precisando gli aspetti relativi alle segnalazioni con contenuti esclusi dall’applicazione della disciplina del whistleblowing. Appare poi ulteriormente estremamente importante l’attenzione che le Linee guida dedicano agli aspetti relativi all’attinenza delle informazioni oggetto della segnalazione con il “contesto lavorativo del segnalante o del denunciante” nonché rispetto alla vexata quaestio della gestione delle segnalazioni anonime. Le Linee guida si soffermano anche a specificare gli aspetti di gestione dei canali interni, con particolare riferimento all’individuazione delle attività alle quali è tenuto chi gestisce le segnalazioni. In particolare, quanto sopra, sotto il profilo delle informazioni da inserire sul sito e sulla piattaforma dedicata, per evitare errori da parte del segnalante. A corredo degli approfondimenti collegati alle segnalazioni interne le Linee guida proseguono con un’ampia disamina degli aspetti relativi all’istituzione del canale esterno presso l’ANAC ed alla divulgazione pubblica, considerando, altresì anche il tema della denuncia all’autorità giudiziaria. Costituisce specifico approfondimento quello relativo alle “differenze tra i soggetti pubblici e quelli privati nell’uso dei canali e del tipo di violazioni che posso essere segnalate”. Senza soffermarsi oltre sui pur importanti richiami alle tutele ed alle misure di sostegno (anche con riferimento ”… alla sottrazione della segnalazione e della documentazione ad essa allegata, al diritto all’accesso, agli atti amministrativi…”), le Linee guida approfondiscono l’ulteriore delicato aspetto della tutela della riservatezza dei segnalati, delle persone coinvolte o degli altri soggetti e si soffermano ad affrontare le problematiche connesse al trattamento dei dati personali i quali rivestono essenziale importanza nell’ambito oggetto del commento. Le Linee guida proseguono occupandosi della tutela dalle ritorsioni e delle condizioni per l’applicazione della predetta anche con riferimento all’importante tema delle limitazioni della responsabilità del segnalante. Come si è anticipato, la Parte Seconda delle Linee guida riguarda specificamente il ruolo dell’ANAC nella gestione delle segnalazioni attraverso il canale esterno, ciò anche per disciplinare alcune specifiche fattispecie, ivi compreso l’approfondimento del concetto di “violazioni di lieve entità” di cui all’articolo 8 comma 5 del Decreto. Infine, appare molto importante la descrizione della soluzione tecnologica adottata per la piattaforma ANAC la quale si ritiene possa esemplificare e chiarire, ad uso degli operatori, un aspetto estremamente importante nella pratica. Venendo al Regolamento di cui sopra si è detto, ci si limita brevemente a segnalare l’articolo 4 che stabilisce i criteri di priorità per il trattamento delle segnalazioni esterne nonché gli aspetti procedimentali connessi alle varie tipologie di procedimento sanzionatorio, disciplinati in successivi articoli.
2) La nuova Decisione di adeguatezza per il trasferimento di dati personali dall’UE agli Stati Uniti.
Il Privacy Shield rappresentava un accordo tra l’Unione Europea e gli Stati Uniti, adottato dalla Commissione Europea con la Decisione n. 2016/1250, che disciplinava il trasferimento di dati personali dei cittadini europei negli USA. L’accordo, tuttavia, è stato invalidato dalla Corte di Giustizia dell’Unione Europea (CGUE) il 16 luglio 2020 con la pronuncia C-311/18 (nota anche come “Sentenza Schrems II”), in ragione della ritenuta inadeguatezza della tutela giurisdizionale prevista in caso di lesione della privacy e della annosa questione inerente la legittimità della raccolta e dell’uso dei dati da parte delle agenzie governative statunitensi. Il 10 Luglio 2023, la Commissione europea ha approvato una nuova Decisione di adeguatezza per il trasferimento di dati personali dall’UE agli Stati Uniti, la n. 2023/4745, che ha sostituito il Privacy Shield. La nuova decisione denominata “Data Privacy Framework” (DPF), introduce una serie di garanzie per proteggere la privacy degli utenti europei, tra le quali: • la limitazione dell’accesso ai dati dell’UE da parte delle autorità di intelligence statunitensi a quanto “necessario e proporzionato” per proteggere la sicurezza nazionale; • nuovi obblighi per le società statunitensi in materia di sicurezza dei dati. Ad esempio, dovranno introdurre misure tecniche e organizzative per prevenire l’accesso non autorizzato ai dati personali e la loro perdita o distruzione accidentale; • nuovi diritti per gli utenti europei i cui dati sono trasferiti negli USA, tra i quali: il diritto di accesso ai propri dati personali, il diritto di rettifica e il diritto di cancellazione dei propri dati personali, il diritto di opporsi al trattamento dei propri dati personali e il diritto di trasferire i propri dati personali a un altro titolare del trattamento. Una importante novità introdotta dal Data Privacy Framework consiste nell’introduzione del Data Protection Review Court – DPCR (Tribunale del riesame della protezione dei dati), un organo imparziale ed indipendente rispetto alle altre autorità statunitensi, a cui potranno avere accesso anche i singoli cittadini europei. L’interessato, in caso di dubbi sul trattamento dei suoi dati da parte di aziende o enti nazionali statunitensi, potrà rivolgersi direttamente all’autorità nazionale per la protezione dei dati di riferimento senza dover dimostrare l’effettiva raccolta dei suoi dati. Il reclamo verrà poi trasmesso dal Comitato europeo per la protezione dei dati agli USA. Tali denunce verranno comunque, prima, esaminate dal “Responsabile per la protezione delle libertà civili”, il cui compito è quello di garantire il rispetto dei diritti fondamentali delle persone nell’UE i cui dati personali vengano trasferiti negli USA. Sarà, poi, possibile presentare ricorso avverso la decisone del Responsabile dinnanzi al DPCR, le cui decisioni e misure correttive adottate saranno vincolanti negli USA. Il denunciante sarà sempre informato dell’esito del reclamo e potrà richiedere, dopo un congruo periodo, la decisione motivata della Corte. Il nuovo accordo non è soggetto a scadenza, ma dovrà essere sottoposto ad esami periodici da parte della Commissione, dei garanti privacy europei e delle autorità statunitensi competenti. La prima revisione dovrà essere effettuata entro un anno dall’entrata in vigore del Data Privacy Framework, precisamente l’11 luglio 2024.
