Data Protection & Whistleblowing: adempimenti ed accorgimenti tra GDPR e il nuovo D.Lgs 24/2023
Il 15 marzo 2023 è stato pubblicato in Gazzetta Ufficiale il decreto legislativo n. 24/2023 (il “Decreto”), con il quale è stata recepita, nel nostro paese, la direttiva UE 2019/1937, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione. Tale disciplina ha l’obiettivo di contrastare e prevenire gli illeciti nelle organizzazioni pubbliche e private e di tutelare i cd. “whistleblowers” (segnalanti), ovvero coloro che intendono comunicare, attraverso dei canali sicuri, le violazioni di cui siano venuti a conoscenza nell’ambito del proprio contesto lavorativo.
Più nello specifico, i comportamenti che potrebbero essere segnalati attraverso il canale whistleblowing, possono riguardare – tra gli altri – atti od omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato e che consistono in illeciti amministrativi, contabili, civili o penali e che si aggiungono alle condotte illecite rilevanti ai sensi del decreto legislativo 231/2001 (ove applicabile) e alle violazioni dei modelli di organizzazione e gestione (se previsti). Rimangono invece escluse dall’ambito del decreto le segnalazioni attinenti ai rapporti individuali di lavoro e quelle in materia di sicurezza e difesa nazionale.
Il legislatore italiano ha previsto, in particolare, due canali per effettuare le segnalazioni di tali illeciti:
- Il primo riguarda la cd. segnalazione “interna” che prevede, per i soggetti privati, di introdurre delle procedure in grado di consentire al segnalante di effettuare le segnalazioni in modo riservato attraverso un canale aziendale. Nonostante ciò, si è esclusa la possibilità di effettuare unicamente segnalazioni anonime, in un’ottica di responsabilizzazione del segnalante e anche di trasparenza nei confronti del segnalato.
- Il secondo canale di segnalazione è quello “esterno”, in cui i segnalanti potranno direttamente rivolgersi all’ANAC, l’Autorità Nazionale Anticorruzione, in una serie di casi particolari, ad esempio laddove il canale di segnalazione interno non sia stato attivato, non risulti aderente agli obblighi normativi o se la segnalazione interna sia già stata effettuata ma non abbia avuto seguito o ancora possa presentarsi il rischio effettivo di ritorsioni a carico del segnalante.
La platea dei soggetti che possono effettuare le segnalazioni è molto vasta ed include:
- lavoratori subordinati, soggetti per definizione in una posizione di subordinazione nei confronti dell’ente;
- lavoratori parasubordinati;
- lavoratori autonomi;
- consulenti esterni o fornitori.
È evidente che, nell’implementazione di questa nuova disciplina, proprio sulla base dei principi di trasparenza e riservatezza volti a tutelare i soggetti che effettuano le segnalazioni di illeciti in ambito lavorativo, si dovrà porre particolare attenzione anche alle norme in materia di protezione dei dati personali (ovvero al Regolamento europeo 679/2016, c.d. GDPR).
- Trattamento dei dati personali
Nel processo di analisi e gestione della segnalazione, è importante che l’ente che riceve le segnalazioni determini le modalità con le quali i dati personali degli interessati possono essere trattati. A tal riguardo il Decreto definisce, da un lato, i ruoli privacy dei soggetti interessati e, dall’altro, fornisce delle indicazioni operative, anche in termini di adempimenti data protection, per l’impostazione dei modelli di ricevimento e gestione delle segnalazioni.
1.1 I ruoli privacy nelle segnalazioni “interne”
Il comma 4 dell’articolo 13 del Decreto specifica che i soggetti che attivano e gestiscono un canale interno di segnalazione sono riconosciuti come Titolari del trattamento. Questo punto è di particolare importanza perché è su di essi che ricade la responsabilità dei trattamenti dei dati personali e la conformità al GDPR.
Inoltre, come previsto dall’articolo 13 (comma 5) del decreto 24/2023, in caso di condivisione del canale tra più soggetti (ipotesi realizzabile solo per gli enti aventi meno di 249 dipendenti), si può realizzare la fattispecie della Contitolarità.
In tal caso, tra i contitolari, dovrà essere stipulato un accordo interno, il quale dovrebbe:
- definire i trattamenti svolti congiuntamente, i mezzi e le modalità;
- individuare il soggetto responsabile dell’esecuzione della valutazione di impatto sulla protezione dei dati personali;
- individuare il soggetto responsabile di predisporre le misure tecniche e organizzative adeguate a garantire la sicurezza del trattamento;
- individuare il soggetto responsabile della formalizzazione delle eventuali nomine a Responsabile del trattamento dei soggetti terzi cui si affidano attività che comportano il trattamento dei dati per conto dei contitolari;
- individuare il soggetto responsabile della formalizzazione delle autorizzazioni al trattamento;
- prevedere l’eventuale designazione di un punto di contatto per gli interessati e fissare le modalità per rendere l’informativa agli interessati e la gestione delle richieste di esercizio dei diritti degli interessati.
Per i Gruppi in cui una o più società superino il limite dei 249 dipendenti, la Guida operativa Whistleblowing di Confindustria (la “Guida Operativa”) suggerisce, invece, soluzioni alternative, basate su nomine congiunte verso l’esterno o, in alternativa, nomine infragruppo, tramite strutture data protection di tipo titolare-responsabile.
Nel caso in cui l’ente affidi la gestione del canale di segnalazione ad un soggetto esterno (ad esempio, il fornitore della piattaforma di segnalazione), devono essere riconosciuti a quest’ultimo i diritti e gli obblighi di un Responsabile del trattamento.
Il Titolare dovrà quindi scegliere il Responsabile al quale affidare il canale (in tutto, come gestore, o in parte, come piattaforma) sulla base di un generale principio di affidabilità e quindi delle conoscenze specialistiche da questo vantante, assicurandosi che sia in grado di porre in atto misure tecniche ed organizzative in grado di tutelare i dati degli interessati e sottoscrivendo uno specifico accordo per l’esecuzione del trattamento (ex art. 28 del GDPR).
Sono infine riconosciuti come autorizzati al trattamento i soggetti che ricevono e/o gestiscono la segnalazione e che quindi trattando i dati personali, devono essere specificatamente autorizzati e formati dal Titolare (ex art. 29, 32 par. 4 del GDPR).
1.2 I dati personali trattati nelle segnalazioni e le garanzie a loro tutela
I dati personali che vengono trattati dall’ente gestore del canale interno possono essere:
- dati “semplici” relativi a tutte le persone fisiche coinvolte, identificate o identificabili, che risultano essere indicate nelle vicende indicate nella segnalazione (chi segnala, il segnalato, il facilitatore, terzi ecc.);
- dati cosiddetti appartenenti a categorie “particolari” e i dati giudiziari (relativi a condanne penali e reati), che possono essere contenuti nella segnalazione o nei documenti allegati.
Tutte queste categorie di dati necessitano, rinviando alla disciplina del GDPR, di specifiche garanzie nel loro trattamento, che vengono ribadite anche nella Guida Operativa, la quale ricorda che il Decreto dà attuazione ad una serie di principi fondamentali:
- al principio di trasparenza (art. 5, par. 1, lett. a) del GDPR), in cui si specifica che i dati personali sono trattati in modo trasparente nei confronti dell’interessato. Le Linee guida richiamano, in questo caso, l’obbligo del Titolare di rendere un’idonea informativa sul trattamento dei dati personali;
- al principio di minimizzazione dei dati personali (ex art. 5 par. 1 lett. c) del GDPR), in cui si specifica che i dati personali dovranno essere adeguati e pertinenti, sulla base delle finalità per i quali sono trattati; tale riferimento è presente anche all’art. 13 comma 2 del Decreto. Nell’ambito di una segnalazione, il principio di minimizzazione deve essere interpretato in modo restrittivo, in quanto deve applicarsi solo nei casi in cui sia palese la assoluta irrilevanza di parti della segnalazione che contengono dati personali rispetto alla vicenda segnalata;
- principio di limitazione della conservazione (ex art. 5, par. 1, lett. e) del GDPR), secondo cui i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Si prevede espressamente che le segnalazioni e la relativa documentazione devono essere conservate per il tempo necessario alla trattazione della segnalazione e comunque, non oltre 5 anni dalla comunicazione dell’esito finale della procedura (art. 14, comma 1 del Decreto);
- principio di integrità e riservatezza (art. 5, par. 1, lett. f) del GDPR), i dati personali devono essere trattati in maniera da garantire una loro adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali, prevedendo che l’individuazione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi del trattamento e promuovendo il ricorso a strumenti di crittografia (si vedano gli art. 4, comma 1 e art. 13, comma 6 del Decreto). Riguardo questo aspetto è utile fare riferimento anche all’intensa attività Provvedimentale del Garante tra il 2019 e il 2022 in merito ai sistemi informatici per la gestione delle segnalazioni, che, inter alia, suggeriscono soluzione come il ricorso a protocolli sicuri https, tecniche di strong authentication, l’accesso selettivo alle segnalazioni (cd. need to know) e l’opportunità di evitare eventuali ricevute di segnalazione sugli account aziendali dei segnalanti;
- i principi di privacy by design e privacy by default (art. 25 del GDPR), che impongono di considerare le garanzie di protezione dei dati personali sin dalla progettazione del canale di segnalazione (privacy by design) e di assicurare che per impostazione predefinita (privacy by default) siano trattati solo i dati personali strettamente necessari in relazione alla specifica segnalazione, assicurandosi che non siano resi accessibili, in via automatica, a un numero indefinito di soggetti;
- e da ultimo, ma non per importanza, il principio di riservatezza, su cui si basa l’intera normativa whistleblowing. Questo impone, tra le altre cose, di assicurarsi che, in caso di accesso ai canali interni e al canale esterno di segnalazione attraverso la rete dati interna dell’ente mediato da dispositivi firewall o proxy, sia garantita la non tracciabilità, sia sulla piattaforma informatica che negli apparati di rete eventualmente coinvolti nella trasmissione o monitoraggio delle comunicazioni del segnalante, nel momento in cui viene stabilita la connessione a tali canali.
2.L’informativa privacy e la tutela dei segnalanti
Uno degli obblighi previsti non solo dal Decreto, ma anche dal GDPR per il Titolare del trattamento, è quello di fornire al segnalante e alle persone coinvolte un’Informativa che rispetti gli art. 13 e 14 del GDPR.
L’informativa privacy deve essere redatta secondo l’art. 13 del GDPR e viene messa a disposizione dal Titolare al segnalante al momento della ricezione della segnalazione o, al più tardi, al primo contatto utile successivo (o anche in occasione dell’invio dell’avviso di ricevimento della stessa). Agli altri soggetti coinvolti, l’informativa redatta ai sensi dell’art. 14 GDPR potrà essere consegnata al primo contatto utile o, comunque, entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati. Tuttavia, nell’ipotesi in cui la consegna dell’informativa possa essere in grado di pregiudicare la riservatezza del segnalante, il Titolare potrà essere esentato dal presentarla agli interessati: per fare comunque sì che tali informazioni siano comunque rese pubbliche a tutti coloro i cui dati potrebbero essere trattati nel contesto dell’uso del canale si suggerisce di inserire nella pagina on line dedicata al canale di segnalazione – si rammenta che il Decreto richiede che l’ente indichi l’attivazione del canale di segnalazione sul sito internet della società – un link all’informativa comunque predisposta. Tale documento andrà redatto ai sensi degli artt. 13 e 14 del GDPR, dal momento che le informazioni potranno essere acquisite tanto dal diretto interessato quanto da altri soggetti (se l’interessato non coincide con il segnalante).
Nell’indicare la base giuridica all’interno del testo si dovrà considerare, perlomeno per gli enti privati, l’esecuzione di un obbligo di legge (ovvero il Decreto) nonché, per tutti gli altri trattamenti che esulano dalla mera gestione della segnalazione, si dovrà invece valutare se ricorrere al consenso espresso dell’interessato.
L’informativa deve inoltre precisare: (i) i termini di data retention summenzionati nonché (ii) la possibilità di deroga ad alcuni dei diritti che il GDPR assegna agli interessati (es. accesso, cancellazione, limitazione del trattamento ecc.) come previsto dall’art. 2-undecies del Codice Privacy, al fine di evitare un pregiudizio effettivo e concreto alla riservatezza del segnalante.
- Gli ulteriori adempimenti: DPIA e Registri
Da ultimo, è bene ricordare che sempre l’articolo 13 del Decreto prevede non solo che i titolari che implementano i canali interni di segnalazione debbano assicurare l’adozione di “misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati” ma anche che debbano definirle “sulla base di una valutazione d’impatto sulla protezione dei dati”.
Tale valutazione, nota anche con l’acronimo inglese Data Protection Impact Assessment:
- è obbligatoria sempre, anche in caso di ricorso ad un canale analogico, in ragione della particolare delicatezza delle informazioni potenzialmente trattate, (ii) della vulnerabilità degli interessati nel contesto lavorativo, nonché (iii) dello specifico regime di riservatezza dell’identità del segnalante previsto dal Decreto;
- deve essere in grado di fornire una analisi di tutto il processo di gestione del dato contenuto all’interno di una segnalazione, non limitandosi solo ad analizzare il canale di segnalazione principale;
- dovrà essere conservata presso l’azienda (la sede del Titolare) e mostrata agli organi competenti qualora richiesta e periodicamente aggiornata, in caso di modifica della gestione delle segnalazioni whistleblowing (acquisto di nuovi gestionali, cambio fornitori di servizi, ecc.).
Realizzati tutti gli adempimenti suelencati ed effettuata la DPIA, si ricorda infine che anche questo trattamento necessiterà di essere riportato nei registri del trattamento ex art. 30 GDPR.
- Conclusioni
Dall’esame della normativa in tema di Whistleblowing, emerge come chiaramente questa “nuova” disciplina sia fortemente connessa ai temi data protection, sia per quanto riguarda la valorizzazione del principio di riservatezza del segnalante che sul versante degli adempimenti che l’ente deve adottare per trattare in modo conforme al GDPR le informazioni e le segnalazioni raccolte.
Tutto questo, insieme con la nuova rilevanza assegnata dal Decreto anche agli “illeciti relativi al settore della tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi “(come, ad esempio, indicato dall’art. 2 comma 1 n. 3 del Decreto) porta a pensare che la normativa in materia di whistleblowing possa dare una nuova spinta alla cultura della compliance data protection in Italia.