Il Garante Privacy nell'ultimo piano delle ispezioni presentato nel corso del 2019 ha previsto lo svolgimento di accertamenti in riferimento ai trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (il whistleblowing).
Lo stesso Garante nel parere rilasciato il 4 dicembre scorso sullo schema di "Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (whistleblowing)" ha suggerito poi una serie di interventi volti a rafforzare ulteriormente la tutela della riservatezza del segnalante (il whistleblower) in relazione al perimetro della Pubblica Amministrazione.
Data Protection Officer e controlli whistleblowing
Il whistleblowing è un tema che chi sia nella Pubblica Amministrazione e, da dicembre 2017 (in relazione alla legge 179 del 2017), sia negli enti privati dotati di Modello organizzativo 231 e si occupa di tutela del trattamento dei dati personali, non può più trascurare o sottovalutare.
In tale contesto il Data Protection Officer (DPO) dovrà, in primo luogo, inquadrare l'istituto del whistleblowing da un punto di vista normativo relativo alla protezione dei dati personali per poi definire i suggerimenti o pareri da dare e i controlli che dovrà effettuare per verificare che le procedure adottate dalla Pubblica Amministrazione o dall'azienda privata siano conformi alle prescrizioni di legge.
La prevenzione degli illeciti attraverso il sistema del whistleblowing
Il whistleblowing può definirsi quale "istituto giuridico volto a disciplinare la condotta di quelle persone che segnalano irregolarità o addirittura illeciti penali all'interno del proprio ambito lavorativo".
Una simile definizione del fenomeno può essere ritrovata nel titolo della legge che ha introdotto nell'ordinamento italiano, dopo la legge 190 del 2012, la disciplina organica e rivisitata del whistleblowing, ovverosia la Legge 30 novembre 2017, n. 179. La legge reca "Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato".
Da un lato risulta centrale in tale ottica il flusso informativo e quindi la comunicazione da parte di membri dell'organizzazione di azioni illegali, immorali o illegittime poste in essere sotto il controllo dei superiori gerarchici, rivolta ad un soggetto in grado di intervenire sulle stesse. Dall'altro lato c'è l’esigenza del whistleblower - cioè il segnalante/denunciante - di ricevere una compiuta ed effettiva tutela da parte dell'ordinamento, e quella dell'ordinamento di assicurare tutela compiuta al soggetto segnalante ai fini pubblici.
Whistleblowing nel contesto del GDPR
Sono notevoli le implicazioni che il whistleblowing presenta in relazione alla tematica della protezione dei dati personali. In via preliminare, è opportuno inquadrare i ruoli dei diversi soggetti che intervengono nella gestione di una procedura di whistleblowing ai sensi del Regolamento (UE) 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che ha abrogato la direttiva 95/46/CE (GDPR).
In tale contesto l’ente che istituisce il sistema di segnalazione all'interno del proprio contesto organizzativo e che, pertanto, definisce modalità e finalità del trattamento, deve esser considerato il Titolare del trattamento mentre i soggetti che rientrano tra i destinatari delle previsioni del sistema istituito dall'ente - siano essi segnalanti o segnalati - devono considerarsi quali soggetti interessati i cui dati personali sono oggetto di trattamento.
Gli eventuali soggetti terzi fornitori di sistemi di segnalazione per il tramite di canali informatici, che possono anche solo potenzialmente accedere e/o trattare per conto del titolare i dati dei soggetti interessati, devono qualificarsi quali Responsabili ex art. 28 GDPR. Con loro l’ente/titolare deve sottoscrivere specifici documenti con i quali definire i termini di accesso e di utilizzo dei dati. Per non dimenticare, poi, le persone autorizzate al trattamento (i “designati” ex art. 2-quaterdecies del Codice nazionale) ex art. 29 del Regolamento 2016/679.
Adempimenti del Titolare del trattamento
In tale ambito l’ente, quale Titolare del trattamento dei dati, dovrà:
- Adempiere tutti gli obblighi a lui assegnati dal GDPR e quindi, tra l’altro, informare i soggetti/interessati circa i trattamenti dei loro dati (cfr. articolo 13 del GDPR).
- Accertarsi che gli eventuali responsabili individuati ai sensi dell’articolo 28 del GDPR presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti previsti dalla normativa e garantisca la tutela dei diritti degli interessati.
- Accertarsi che l’eventuale canale alternativo di segnalazione idoneo a garantire - con modalità informatiche - la riservatezza dell'identità del segnalante sia, fin dalla progettazione, impostato per essere conforme, in particolare, con gli artt. 24, 25 e 32 del GDPR.
Un importante metro di valutazione della conformità delle procedure whistleblowing adottate dalla PA o dall'azienda con la normativa sulla protezione dei dati personali è il parere 1/2006 del Gruppo per la tutela dei dati personali (noto come WP29 – oggi EDPB). Tale parere è stato rilasciato con la finalità di offrire indicazioni in merito alla corretta impostazione del whistleblowing per esser conforme con la disciplina sulla protezione dei dati personali.
Cosa dovrà fare il Data Protection Officer
Traduciamo quanto sopra in controlli e attività a carico del Data Protection Officer. Il DPO dovrà quindi vigilare sui seguenti aspetti:
- L'utilizzabilità o meno dei dati nelle attività di approfondimento della segnalazione nel caso in cui il loro trattamento risulti contrario alle disposizioni del Regolamento UE 2016/679.
- Il rispetto dei principi di qualità dei dati e di proporzionalità. I dati personali devono essere trattati per finalità determinate, esplicite, legittime, in modo non incompatibile con tali finalità. In tal senso il WP29, nel sopra richiamato parere, ha precisato che le procedure interne di denuncia devono essere concepite in modo da non incoraggiare la delazione anonima come mezzo ordinario per segnalare un’irregolarità. L’Anac, per quanto riguarda la Pubblica Amministrazione, ha previsto nelle sue linee guida di adottare delle procedure specifiche per le segnalazioni anonime, quindi prevedendole. Tra gli enti privati, nell'implementare il Modello organizzativo 231, alcuni di essi hanno previsto il ricevimento delle segnalazioni anonime e le conseguenti indagini interne per inquadrare giuridicamente l'illecito segnalato e definirne gli autori. In questi casi, comunque, essendo segnalazioni anonime il Data Protection Officer non avrà compiti da svolgere a meno che dal contenuto della anonima stessa si possa identificare il segnalato
- L'obbligo del titolare di fornire informazioni chiare e complete sulla procedura. Il titolare deve informare gli interessati circa il trattamento che sarà effettuato dei loro dati personali e deve esser garantita la riservatezza del denunciante per l’intero procedimento e che l’uso illegale del sistema può comportare provvedimenti nei confronti dell’autore dell’abuso. Come sarà data l’informativa al segnalato - se e quando verrà data? Potrà questo obbligo inficiare le indagini interne (per esempio, facendole palesare anticipatamente?) che necessariamente dovranno essere svolte per quelle segnalazioni meritevoli di approfondimento? Cosa prevarrà: la protezione dei dati personali o l’interesse legittimo del Titolare ente privato (di cui all’art. 6, para. 1, lettera f)? Nella Pubblica Amministrazione, tra la tutela del dato personale o l’esecuzione di un compito di interesse pubblico come già accade per i presidi di prevenzione del riciclaggio e del finanziamento al terrorismo internazionale (tra l’altro questa base giuridica è estesa a tutti i soggetti obbligati a porre in essere i suddetti presidi, quindi anche ai soggetti privati: dagli intermediari bancari e finanziari agli altri operatori finanziari e non per finire ai professionisti e ai prestatori di servizi di gioco)?
- I diritti del soggetto denunciato. Il Titolare del trattamento o il Responsabile della procedura whistleblowing (eventualmente delegato dallo stesso Titolare) deve informare il segnalato quanto prima possibile dacché vengono registrati i dati che lo riguardano. In nessuna circostanza può essere permesso al denunciato di avvalersi del suo diritto di accesso per ottenere informazioni sull’identità del denunciante (art. 2-undecies del Codice nazionale, Limitazioni ai diritti dell’interessato), salvo che il denunciante abbia dichiarato il falso in malafede (WP29). Ma cosa succederà se il segnalato chiederà l’accesso ai dati magari rivolgendosi direttamente al DPO? La difesa da parte del segnalato è un diritto anche nel corso dell’eventuale procedimento disciplinare adottato internamente sia nella Pubblica Amministrazione sia negli enti privati. La Cassazione, proprio in merito ad un caso accaduto nella Pubblica Amministrazione, si è già pronunciata nel 2018 (successivamente alla legge 179 quindi) sul diritto inviolabile alla difesa (costituzionalmente garantito) nel senso che il segnalato ha/avrà il diritto di conoscere, nel corso del procedimento penale ove instaurato, l’identità di colui che lo ha denunciato.
- Sicurezza dei trattamenti. Obbligo alla società o organizzazione responsabile delle procedure interne di denuncia di prendere tutte le precauzioni tecniche e organizzative ragionevoli e possibili per tutelare la sicurezza dei dati raccolti, diffusi o conservati.
- Gestione delle procedure interne di denuncia: pur prediligendo la gestione interna del sistema, si ammette tuttavia che un’impresa possa decidere di avvalersi di fornitori esterni cui affidare parte di tale gestione, soprattutto la raccolta delle segnalazioni.
- I rapporti tra il Data Protection Officer e il Responsabile della Prevenzione della Corruzione e della Trasparenza cui potrebbero essere inviate le segnalazioni nella Pubblica Amministrazione.
Le linee guida del Garante sul Whistleblowing
Il Garante per la protezione dei dati personali – chiamato in più circostanze a individuare il giusto bilanciamento tra l’esercizio del whistleblowing con l’innesco delle conseguenti azioni ispettive interne all'ente da un lato e la disciplina sulla protezione dei dati personali dall'altro – ha sollecitato l'Anac a intervenire per risolvere i vari aspetti suscettibili di conflitto apportando le modifiche e integrazioni alle sue linee guida.
Per le ragioni sopra esposte e alla luce dei recenti chiarimenti forniti dal Garante per la protezione dei dati personali, il Data Protection Officer dovrà attentamente valutare le modalità e le procedure adottate dal Titolare del trattamento dei dati per assicurare la tutela del segnalante e del segnalato pianificando, a tal fine, interventi di verifica anche sugli eventuali soggetti esterni dei quali la società si avvale per la gestione delle procedure di whistleblowing.
Articolo a cura del Comitato Scientifico ASSO DPO – Gruppo di Lavoro Settore Privato