Il Garante Privacy si è espresso sulla privacy relativa alla piattaforma di “whistleblowing” di ANAC, e le relative raccomandazioni, recepite nelle linee guida ANAC e utili comunque per ogni PA e privato che predisponga una piattaforma per le segnalazioni di illeciti, sono che:
– siano adottate misure tecniche e organizzative tali da garantire un’adeguata sicurezza del trattamento dei dati personali, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali, fermo restando che tali misure devono, comunque, essere periodicamente riesaminate e aggiornate (parte prima, par. 4.1.3);
– nel contesto in esame, caratterizzato da elevati rischi per i diritti e le libertà degli interessati, il ricorso a strumenti di crittografia nell’ambito dei canali interni e del canale esterno di segnalazione sia di regola da ritenersi una misura adeguata a dare attuazione, fin dalla progettazione e per impostazione predefinita, al principio di integrità e riservatezza, garantendo la tutela dei dati personali trattati nel processo di segnalazione, sia nella fase di trasmissione che di conservazione (parte prima, par. 4.1.3, e parte seconda, par. 4);
– nel caso in cui l’accesso ai canali interni e esterni di segnalazione avvenga dalla rete dati interna del soggetto obbligato, sia garantita la non tracciabilità del segnalante nel momento in cui viene stabilita la connessione a tali canali, sia sulle piattaforme informatiche che negli apparati (es. firewall o proxy) eventualmente coinvolti nella trasmissione delle comunicazioni del segnalante (parte prima, par. 4.1.3);
– sia effettuato, ove possibile, il tracciamento delle operazioni svolte dal personale autorizzato alla gestione delle segnalazioni, nel rispetto delle garanzie a tutela del segnalante e degli altri soggetti menzionati, al fine di consentire la verifica della liceità e correttezza del trattamento e garantire la sicurezza del trattamento (parte prima, par. 4.1.3), nel rispetto delle garanzie previste dalla disciplina di settore in materia di controlli a distanza (art. 4 della l. n. 300/1970, nonché art. 114 del Codice; v. anche art. 88 del Regolamento);
– l’accesso alla piattaforma informatica di ANAC, da parte delle diverse tipologie di utenti autorizzati alla gestione delle segnalazioni esterne, al trasferimento di segnalazioni esterne presentate erroneamente ad un soggetto diverso dall’ANAC, o alla trasmissione delle segnalazioni esterne alle autorità competenti, avvenga attraverso una procedura di autenticazione informatica a più fattori (parte seconda, par. 4, e allegati 2 e 3).