Civile

Parere favorevole del Garante privacy alla disciplina del whistleblowing: gli adempimenti per imprese e P.A. e i provvedimenti del Garante in materia

Con oltre un anno di ritardo rispetto al termine previsto per il recepimento nell'ordinamento italiano della Direttiva (UE) 2019/1937 del 23 ottobre 2019, prosegue l'iter di approvazione dello schema di decreto legislativo riguardante la protezione delle persone che segnalano violazioni del diritto

di Laura Greco*

Con oltre un anno di ritardo rispetto al termine previsto per il recepimento nell'ordinamento italiano della Direttiva (UE) 2019/1937 del 23 ottobre 2019, prosegue l'iter di approvazione dello schema di decreto legislativo riguardante la protezione delle persone che segnalano violazioni del diritto (c.d. "Decreto Whistleblowing"), a cui si aggiunge ora un altro tassello: il parere favorevole del Garante italiano per la protezione dei dati personali, ai sensi dell'art. 36, 4° comma del Regolamento (UE) 2016/679 (meglio noto come General Data Protection Regulation, nel prosieguo, per brevità, "GDPR").

La menzionata disposizione europea prevede infatti che gli Stati membri consultino l'autorità di controllo (il proprio Garante) durante l'elaborazione di una proposta di atto o di misura regolamentare relativamente al trattamento di dati personali da questa derivante.

E così è stato fatto in Italia in relazione allo schema di decreto legislativo volto a tutelare le persone (c.d. whistleblower) che segnalino violazioni di norme nazionali ed europee aventi l'effetto di ledere l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell'ente privato.

In considerazione dell'oggetto di questa nuova normativa, la riservatezza dell'identità del segnalante e la protezione dei dati personali non potevano che costituire elementi fondamentali della proposta. Proprio la centralità di questi temi ha comportato un'attenta valutazione da parte del Garante privacy che, con l'espressione di opinione favorevole, ha considerato positivamente gli adempimenti ivi previsti nel dettaglio a carico dei titolari del trattamento di dati personali in questo ambito.

Gli adempimenti a carico di imprese e P.A.

Non si tratta di adempimenti nuovi in materia di protezione dei dati personali: gli obblighi rimangono infatti quelli previsti, e ormai piuttosto noti, dal GDPR.

Tuttavia, la proposta di decreto ha il merito di dare certezza a imprese e P.A. circa le modalità attraverso cui garantire l'osservanza di tali adempimenti.

Come è noto, infatti, il principio di accountability lascia ai titolari di trattamento la concreta valutazione dei trattamenti da questi effettuati e delle modalità attraverso cui garantire il rispetto del GDPR alla luce della natura, dell'ambito di applicazione, del contesto, delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. È il caso, ad esempio, della valutazione d'impatto sulla protezione dei dati personali: un adempimento, tanto importante quanto oneroso, la cui conduzione – al di fuori dai casi in cui sia obbligatoria – dipende di fatto dalla considerazione, da parte del titolare del trattamento, circa la eventuale rischiosità del trattamento stesso.

In materia di whistleblowing, il legislatore italiano, e con esso il Garante privacy, non lasciano dubbi sul punto e pongono la valutazione d'impatto come requisito obbligatorio nell'ambito della creazione di un modello di ricevimento e gestione delle segnalazioni interne, sulla base del quale individuare le misure di sicurezza, tecniche e organizzative, idonee a garantire un livello di sicurezza adeguato.

Lo schema di decreto supporta inoltre i titolari nell'individuazione delle modalità attraverso cui garantire l'implementazione di un altro principio fondamentale del trattamento, quello della privacy by design, prescrivendo l'obbligatoria istituzione di canali di segnalazione crittografati, la formazione specifica del soggetto (interno o esterno) a cui è affidata la gestione del canale, specifiche modalità di registrazione della segnalazione e così via.

Neppure l'architettura dei rapporti privacy è lasciata all'autonomia dei soggetti coinvolti: attuando di fatto quanto previsto dall'art. 4, 1° comma, n. 7, secondo periodo del GDPR , è il diritto nazionale ad individuare "i soggetti del settore pubblico e i soggetti del settore privato" quali titolari del trattamento di dati personali, specificando che – ove condividano risorse per il ricevimento e la gestione delle segnalazioni – saranno ritenuti contitolari del trattamento e occorrerà pertanto applicare il disposto dell'art. 26 GDPR, tra cui la redazione di un accordo interno circa la ripartizione delle proprie responsabilità.

I principi di minimizzazione dei dati e di limitazione della conservazione dei dati sono parimenti disciplinati espressamente dallo schema legislativo, ove è previsto che:

- i dati personali, manifestamente non utili al trattamento di una specifica segnalazione, non devono essere raccolti o, se raccolti accidentalmente, devono essere cancellati immediatamente;

- le segnalazioni e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione.

Infine, la normativa in bozza richiama l'obbligatoria designazione delle persone autorizzate al trattamento e dei fornitori esterni quali responsabili del trattamento; gli obblighi in materia di trasparenza e comunicazione delle informazioni sul trattamento di dati personali ai sensi dell'art. 13 del GDPR, unitamente ai diritti degli interessati il cui esercizio, tuttavia, in considerazione della tutela della riservatezza dell'identità del segnalante, è limitato come previsto dall'art. 2-undecies del Codice in materia di protezione dei dati personali, modificato dal d.lgs. 10 agosto 2018, n. 101.

Un tema già caro al Garante: pareri e provvedimenti sul whistleblowing

Sebbene con la citata Direttiva 2019/1937 la materia del whistleblowing abbia ricevuto nuovo impulso, il Garante per la protezione dei dati personali si era in passato già pronunciato in materia in occasione di un parere alle linee guida ANAC del 2019 e di diversi provvedimenti sanzionatori. Tra questi ultimi, nell'ambito di un ciclo di attività ispettive avente ad oggetto le principali funzionalità di alcuni tra gli applicativi per l'acquisizione e la gestione delle segnalazioni di illeciti più diffusamente impiegati dai datori di lavoro pubblici e privati, il Garante ha adottato nel 2022 due ordinanze ingiunzione nei confronti, rispettivamente, di un'azienda ospedaliera e della società informatica che forniva l'applicativo web di whistleblowing alla prima , comminando sanzioni per un totale di 80.000 €.

All'azienda ospedaliera il Garante contestava principalmente l'omessa informazione nei confronti dei lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti; la mancata conduzione della valutazione di impatto sulla protezione dei dati personali; l'omesso inserimento del trattamento nel registro delle attività di trattamento. Inoltre, l'Autorità rilevava un assetto inadeguato di misure di sicurezza, tale per cui i dati di navigazione sull'applicazione web di whistleblowing venivano registravano e conservati, consentendo l'identificazione di coloro che la utilizzavano, tra cui i potenziali segnalanti.

Con riguardo alla società di informatica, invece, il Garante rilevava la mancata fornitura di specifiche istruzioni sul trattamento dei dati al fornitore esterno per il servizio di hosting dei sistemi che ospitavano l'applicativo e l'omessa notizia alla struttura sanitaria dell'affidamento all'esterno di tale attività. Il Garante aveva poi rilevato che il medesimo servizio di hosting veniva impiegato dalla società anche per proprie finalità, ad esempio per la gestione del rapporto di lavoro con i dipendenti o la gestione contabile e amministrativa, anche in questo caso senza regolare il rapporto e l'uso dei dati.

Nel 2021 il Garante giungeva ad analoghe conclusioni nei confronti di una società aeroportuale e del suo fornitore software , ingiungendo a pagare sanzioni amministrative, rispettivamente, di 40.000€ e di 20.000€. Anche in questo caso, il Garante accertava il mancato utilizzo di tecniche di crittografia per la trasmissione e la conservazione dei dati, oltre alla registrazione dei log di accesso all'applicativo da parte dei dipendenti connessi alla rete aziendale, che rendeva di fatto inefficaci le misure adottate per tutelare la riservatezza dell'identità dei segnalanti. Il fornitore poi non osservava gli obblighi in materia di sicurezza e tralasciava di regolamentare il rapporto con altre due società che trattavano i dati per suo conto.

L'orientamento e i rilievi del Garante sembrano dunque costanti, considerando che già nel 2020 un'istituzione universitaria era stata sanzionata per aver reso accessibili on line i dati identificativi di due segnalanti . In questo caso, la condotta illecita era scaturita dalla mancata adozione di misure di sicurezza adeguate, tra cui misure tecniche per il controllo degli accessi, la cifratura dei dati personali e l'adozione di un protocollo di trasmissione che garantisse una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, sia di autenticità del sito web visualizzato da chi inviava le segnalazioni.

Tali inosservanze, sanzionate per un importo totale di 30.000€, avevano consentito a chiunque di consultare i nomi e altri dati di coloro che avevano inviato segnalazioni riservate, informazioni che erano state di conseguenza indicizzate da alcuni motori di ricerca.

*a cura dell'Avv. Laura Greco, DigitalMediaLaws


Per saperne di piùRiproduzione riservata ©

Correlati

Fabrizio Ventimiglia e Marco Marengo *

Norme & Tributi Plus Diritto

Gianluca Fasano*

Norme & Tributi Plus Diritto

Francesco Machina Grifeo

Norme & Tributi Plus Diritto

Decreto legislativo|10 agosto 2018| n. 101

Decreto legislativo