Whistleblowing – segnalazione illeciti – conforme a Linee Guida ANAC del 9 giugno 2021

Il servizio Whistleblowing di segnalazione degli illeciti, deve essere reso dalla Pubblica Amministrazione in modo conforme a quanto previsto dalle Linee Guida ANAC adottate con delibera n. 469 del 9 giugno 2021 e pubblicate il 25 giugno 2021.

Nelle Linee Guida, che recepiscono le indicazioni del Garante per la protezione dei dati personali, l’ANAC dispone che:

• l’amministrazione dà notizia dell’adozione del sistema applicativo informatico di gestione delle segnalazioni nella home page del proprio sito istituzionale in modo chiaro e visibile;
• lo scambio di messaggi o documenti tra segnalante e istruttore deve avvenire mediante meccanismi interni alla piattaforma che tutelino l’identità del segnalante;
• deve essere adottato un idoneo modello organizzativo da disciplinare nel PTPCT o nell’atto organizzativo. ;
• la mancata attivazione di procedure, ovvero l’adozione di procedure non conformi a quelle indicate nelle presenti Linee guida per l’inoltro e la gestione delle segnalazioni, è sanzionabile da parte dell’Autorità (art. 54-bis, co. 6, secondo periodo);
• responsabile della mancata attivazione è considerato l’organo di indirizzo politico dell’amministrazione che ha adottato il PTPCT e nominato il RPCT;
• l’amministrazione che non ha automatizzato il processo di gestione delle segnalazioni, a causa di specifiche difficoltà organizzative da motivare adeguatamente, può, in via residuale, utilizzare canali e tecniche tradizionali da disciplinare nel PTPCT o nell’atto organizzativo.
• Nel PTPCT, o nell’atto organizzativo, è opportuno anche pianificare iniziative di sensibilizzazione e formazione del personale per divulgare le finalità dell’istituto del whistleblowing e la procedura per il suo utilizzo (quali ad esempio comunicazioni specifiche, eventi di formazione, newsletter e portale intranet)

Per l’attuazione delle Linee Guida ANAC Actainfo propone l’ultima versione del software web WHISTLEACTA già utilizzato da numerosi enti pubblici come riportato sulla pagina web: https://www.actainfo.it/segnalazione-illeciti introducendo le seguenti

Novità della versione 2.1

1. Al segnalante che dichiara i suoi dati viene resa nota, da parte dell’amministrazione, l’informativa sul trattamento dei dati personali redatta ai sensi dell’ 13 del regolamento Europeo GDPR n. 2016/679 con acquisizione del consenso del segnalante a rivelare l’identità all’ufficio di disciplina;
2. Nell’informativa sono state inserite le seguenti raccomandazioni cui il segnalante, dando o negando il consenso, ai sensi dell’art. 7 del regolamento Europeo GDPR n. 2016/679, conferma anche la lettura:

–           “È opportuno rimuovere riferimenti all’identità del segnalante dalla segnalazione e dai suoi allegati”;

–           “Se per inviare la segnalazione è stato utilizzato il canale informatico è opportuno utilizzare il medesimo canale per tutte le comunicazioni successive da inviare all’Ente”.

3. ogni segnalazione ricevuta viene identificata mediante l’attribuzione di un codice univoco progressivo, registrando la data e l’ora di ricezione. Tali informazioni vengono associate stabilmente alla segnalazione;
4. viene tutelata la riservatezza dell’identità del segnalante mediante l’impiego di strumenti di anonimizzazione dei dati di navigazione tramite il protocollo di trasporto https;
5. viene tutelata la riservatezza del contenuto della segnalazione, della documentazione ad essa allegata nonché dell’identità di eventuali soggetti segnalati, garantendo l’accesso a tali informazioni solo ai soggetti autorizzati e previsti nell’iter procedurale attraverso password assegnate dal RPCT.
   Tutti i dati della segnalazione sono criptati con algoritmo di cifratura a blocchi a chiave simmetrica (AES). Per decriptare i dati, quindi per accedervi, è necessario effettuare il login alla piattaforma. Il login è disponibile solo per l’RPCT e gli eventuali soggetti autorizzati con attivazione dell’autenticazione a due fattori per maggiore sicurezza;
6. viene separato il contenuto della segnalazione dall’identità del segnalante;
7. ai soggetti che gestiscono l’istruttoria , accreditati dal RPCT, viene reso disponibile il solo contenuto della segnalazione;
8. è previsto l’accesso sicuro e protetto all’applicazione Whistleacta per tutti gli utenti mediante l’adozione di sistemi di autenticazione che prevedono tecniche di strong authentication;
9. la piattaforma Whistleacta, per l’acquisizione e gestione delle segnalazioni, assicura l’accesso selettivo ai dati delle segnalazioni, da parte dei diversi soggetti autorizzati, esclusivamente dal RPCT, al trattamento, prevedendo, una procedura per l’assegnazione, unicamente da parte del RPCT, della trattazione di specifiche segnalazioni all’eventuale personale di supporto;
10. viene tracciata l’attività degli utenti del sistema nel rispetto delle garanzie a tutela del segnalante, al fine di evitare l’uso improprio di dati relativi alla segnalazione. I relativi log sono accessibili al solo RPCT, protetti da accessi non autorizzati e sono conservati per il termine di gestione della pratica. Viene evitato il tracciamento di qualunque informazione che possa ricondurre all’identità o all’attività del segnalante. Il tracciamento viene effettuato esclusivamente al fine di garantire la correttezza e la sicurezza del trattamento dei dati;
11. viene consentito al solo RPCT l’accesso all’identità del segnalante esclusivamente dietro espresso consenso del “custode” dell’identità dal segnalante, una funzione, che il RPCT deve richiedere inserendo la sua password ogni volta che vuole accedere ai dati identitari del whistleblower;
12. nel corso dell’istruttoria, al fine di tutelare l’identità del segnalante, lo scambio di messaggi o documenti tra segnalante e istruttore avviene all’interno della piattaforma web Whistleacta;
13. consentire al segnalante di verificare, in qualsiasi momento tramite l’applicazione, lo stato di avanzamento dell’istruttoria;
14. è consentito in qualsiasi momento, tramite l’applicazione Whistleacta, la fruibilità della documentazione custodita, al fine di evitare il download o, soprattutto, la stampa della stessa che, ove indispensabile per fornirla ai soggetti esterni coinvolti nella segnalazione (ufficio procedimenti disciplinari, magistratura, ANAC, Corte dei Conti, Dipartimento della funzione pubblica) può essere eseguita dal solo RPCT reinserendo la sua password anche se già loggato;
15. vengono applicate politiche di tutela della riservatezza attraverso strumenti informatici (disaccoppiamento dei dati del segnalante rispetto alle informazioni relative alla segnalazione che risiedono su DataBase separati e crittografati, tutti i dati e i documenti allegati o inseriti su Whistleacta sono crittografati.

La DEMO  è accessibile al link https://demo.whistleacta.it/  e se interessati si può richiedere a info@actainfo.it l’accesso per un tour illustrativo con password riservata.

Come per gli altri servizi web resi, Actainfo garantisce il supporto per:
– la documentazione da adottare (modello organizzativo, comunicazioni ai dipendenti, comunicati sulla home istituzionale, ecc.)
– la Formazione on line , sulla piattaforma di elearning di Actainfo   https://elearning.actainfo.it/, rivolta a:

• Istruttori componenti del gruppo di lavoro del RPCT per le attivita’ da svolgere, incluso il trattamento dei dati personali conforme alle disposizioni del GDPR n. 2016/679,
• l’istituto del whistleblowing e l’utilizzo della procedura automatizzata per la segnalazione degli illeciti.

RTD TEAM
ACTAINFO