La gestione delle segnalazioni del whistleblower [1] può dare luogo all’acquisizione da parte dell’ente di dati personali – anche appartenenti a categorie particolari come quelle relative a condanne penali -, eventualmente contenuti nella segnalazione e in atti e documenti ad essa allegati, riferiti a “interessati”.
Tali dati personali, così come quelli del segnalante, vanno ovviamente trattati secondo le previsioni del GDPR.
Approfondiamo un caso particolare, cioè quello dei Gruppi di imprese per capire come gestire gli aspetti privacy relativi al whistleblowing.
Indice degli argomenti
Privacy e whistleblowing, la normativa di riferimento
In primis è bene chiarire che spettano al titolare gli adempimenti previsti dalla normativa privacy tra i quali, in primis, il rilascio di una informativa ad hoc, ove sarà altresì indicato come esercitare i diritti degli interessati[2].
Ovviamente questa è solo la prima pedina del domino da costruire che deve essere corredato anche da una DPIA ex art 35 GDPR – che verifichi, tra l’altro, le condizioni relative alla sicurezza dei dati trattati -, dall’aggiornamento del registro, dall’identificazione dei soggetti autorizzati a vedere tali dati e così via.
Anche il Garante per la protezione dei dati personali (“Garante”), ha sottolineato, nel parere in merito allo schema delle “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro”[3], come il titolare che utilizza la cd. piattaforma whistleblowing deve definire:
- le misure tecniche e organizzative di base idonee a garantire la tutela dell’identità del segnalante, quali, tra le altre, gli accorgimenti per anonimizzare la segnalazione e la documentazione allegata al fine di evitare che dalle informazioni e dai fatti ivi descritti sia possibile risalire all’identità del segnalante; le cautele volte a garantire la non tracciabilità delle connessioni del segnalante alla procedura informatica (artt. 5, par. 1, lett. f), 24, 25 e 32 del GDPR);
- il ruolo dei fornitori dei servizi informatici che trattano i dati personali per conto del titolare (sia nel caso in cui la procedura informatica di acquisizione e gestione delle segnalazioni risieda presso il titolare sia nel caso in cui venga fornita in modalità “software as a service”).
Gli stessi concetti sono stati ribaditi dal Garante, a gennaio 2020, nel provvedimento sanzionatorio nei confronti dell’Università la Sapienza per non aver quest’ultima verificato che le misure tecnico-organizzative e i software utilizzati per le segnalazioni fossero adeguati a tutelare la riservatezza di chi le invia[4].
Nel caso di predisposizione di un sistema di whistleblowing da parte di una singola società, Il titolare del trattamento dei dati è, in linea generale, la società stessa; ossia il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” (art. 4, n. 7 del GDPR).
Ciò, anche in considerazione del fatto che, in genere:
- la segnalazione proviene da dipendenti di una società che stanno denunziando presunti illeciti che riguardano l’ente per cui lavorano;
- la segnalazione riguarda la tutela dell’ente coinvolto[5];
- è l’ente destinatario della segnalazione che può esercitare l’eventuale potere disciplinare verso il “colpevole”.
Come funziona il whistleblowing nei gruppi di impresa
Diversa è la questione della gestione del whistleblowing da parte dei gruppi di impresa, data la specificità “dell’organigramma privacy” in tali realtà.
Per quanto sopra osservato, anche all’interno dei gruppi ci si dovrebbe aspettare che il titolare del trattamento della segnalazione sia ogni singola società appartenente al gruppo ma questo contrasta con la realtà di alcune organizzazioni che tendono ad accentrare nella casa madre quantomeno qualche prerogativa. In tali realtà si profilano, in genere, i seguenti scenari:
- la capogruppo adotta una piattaforma whistleblowing per tutte le società del gruppo, ideata e gestita internamente oppure messa a disposizione da un terzo fornitore; oppure
- la stessa capogruppo gestisce, oltre alla piattaforma, interamente la procedura whistleblowing ed il flusso di dati viene convogliato verso una propria funzione accentrata[6].
Vediamo come individuare, per le due fattispecie indicate, chi sia il titolare del trattamento. Nel primo caso – quello in cui la capogruppo si limita a fornire un unico sistema per il gruppo -, la piattaforma, usualmente, ha una serie di sezioni specifiche e segregate per ogni ente.
In tale ipotesi quindi, la controllante si limita ad individuare o acquistare la piattaforma dal fornitore esterno nominato responsabile del trattamento anche per conto delle controllate (o al limite come sub-responsabile a seconda delle fattispecie).
Nei confronti del segnalante e segnalati, il titolare del trattamento sarà la singola società che quindi dovrà rilasciare l’apposita informativa da posizionare in ogni singola “sezione” dedicata del sistema.
Lato rapporti interni al gruppo, l’utilizzo del sistema whistleblowing fornito sarà regolato da specifico contratto (spesso con un addendum a quello di fornitura di servizi informatici) con annessa designazione a responsabile del trattamento della capogruppo.
Nel secondo caso, quello in cui la piattaforma è gestita interamente da casa madre e le informazioni arrivano da parte dei dipendenti di tutte le società del gruppo ad una struttura individuata nella stessa ai fini della gestione della segnalazione, l’individuazione del titolare del trattamento diventa più complessa.
Invero tale ipotesi è stata analizzata ai fini privacy dal Parere n. 1/2006 del Gruppo di lavoro 29 – WP29 – (emesso nel periodo di efficacia della Direttiva CE 95/46 ma ancora valido nelle sue considerazioni e principi),[7] che già prevedeva come …“ all’interno dell’impresa o del Gruppo deve essere istituito un organo specifico preposto alla gestione delle denunce e delle attività di verifica”, senza esplicitamente indicare chi sia il titolare del trattamento.
Whistleblowing e GDPR, come individuare il titolare nei Gruppi di imprese
Ma a questo punto quindi, chi deve essere il titolare? Per rispondere vanno applicati i principi al riguardo previsti dal GDPR come confermati anche recentemente dallo European Data Protection Board nelle Guidelines n. 7/20, che ribadiscono che vi è assegnazione di “titolarità” laddove intervenga un’influenza effettiva sui dati; si deve quindi svolgere un’analisi fattuale piuttosto che formale sapendo anche che la determinazione dei “mezzi non essenziali” può essere delegata ad un altro soggetto (ad es. “quale hardware o software utilizzare”).
Pertanto, effettuata detta analisi, nell’ipotesi b), sarà la capogruppo che, avendo accentrato l’attività di whistleblowing ed identificato una funzione (in genere il responsabile della direzione Audit) come “gestore unico delle segnalazioni”, agirà in qualità di titolare del trattamento dei dati. In tale veste la capogruppo dovrà:
- fornire idonea informativa verso il segnalante/segnalato, ciascuno a tempo debito, sul trattamento dei dati e porre in essere gli altri adempimenti,
- essere responsabile della comunicazione corretta e sicura dei dati nei confronti delle aziende controllate (che, ad esempio dovranno assumere i provvedimenti del caso nei confronti del segnalato).
Le singole aziende dovranno:
- comunicare ai propri dipendenti dell’esistenza, delle finalità e del funzionamento del sistema, compresi i destinatari delle denunce;
- nominare la stessa casa madre responsabile del trattamento per le relative attività demandate.
Le considerazioni esposte confermano che non vi sono ostacoli od opposizioni normative alla possibilità che titolare di questo particolare trattamento sia la capogruppo (o che lo siano in qualche caso addirittura tutte le società in contitolarità), ma che per l’individuazione del ruolo occorre analizzare caso per caso lo specifico modello organizzativo privacy esistente.
Conclusione
La corretta identificazione dei ruoli privacy consente di individuare a chi sono attribuiti compiti e responsabilità relativamente al trattamento dei dati nelle procedure whistleblowing, anche in termini di trasparenza nei confronti dei segnalanti e segnalati.
Tale identificazione è quindi propedeutica a qualsiasi conseguente attività di conformità al GDPR rammentando altresì che il Garante ha individuato il whistleblowing come uno degli specifici settori oggetto di attività ispettiva nei due semestri passati.
NOTE
[1] Il whistleblower è colui che denuncia possibili condotte illecite di cui sia venuto a conoscenza in ragione del proprio servizio relative all’azienda di cui è dipendente (artt. 2-bis, 2-ter e 2-quater dell’art. 6 del d.Lgs. 231/2001, introdotti dall’art. 2, comma 1, della L. n. 179 del 2017. In merito al tema sono state emanate anche specifiche normative relative a particolari settori, quali l’attività bancaria, assicurativa e di intermediazione finanziaria. Per il settore pubblico la normativa è contenuta nell’art. 54-bis del d.lgs 165/2001).
[2] In una procedura di whistleblowing, in cui la protezione della identità del segnalante (e dei dati che possano comunque se pur indirettamente riportare a tale identità) risulta centrale, il pieno esercizio dei diritti degli interessati può essere limitato. Per questo motivo, in attuazione dell’art. 23 del Regolamento, è stato introdotto nel nostro ordinamento dal D.lgs. 101/2018 l’art. 2 undecies del d.lgs 196/2003 e ss.mm.ii. con riferimento (anche) alle procedure di whistleblowing (comma 1, lett. f).
[3] Parere sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)” – 4 dicembre 2019.
[4] Provvedimento del 23/01/2020 (doc. web. 9269618).
[5] Si veda comma 2-bis dell’art. 6 del d.lgs. 231/2001 o la norma relativa al settore pubblico (art. 54-bis del d.lgs 165/2001) che recita: “il pubblico dipendente …, nell’interesse dell’integrità della pubblica amministrazione, segnala al responsabile della prevenzione della corruzione e della trasparenza”.
[6] Ove le sedi delle società del gruppo fossero anche extra UE, sarebbero necessari anche ulteriori approfondimenti sulla tematica dei trasferimenti di dati extra UE.
[7] Parere 1/2006 WP 29 “relativo all’applicazione della normativa UE sulla protezione dei dati alle procedure interne per la denuncia delle irregolarità riguardanti la tenuta della contabilità, i controlli contabili interni, la revisione contabile, la lotta contro la corruzione, la criminalità bancaria e finanziaria”. In tale parere il WP29 ritiene che la verifica dovrebbe svolgersi a livello locale e che l’informazione non dovrebbe essere automaticamente condivisa con altre imprese della multinazionale. Il WP29 riconosce tuttavia alcune eccezioni a questa regola. In particolare scrive: ”I dati ricevuti nell’ambito del sistema di denuncia possono essere comunicati all’interno del gruppo se tale comunicazione è necessaria ai fini della verifica, in funzione della natura e della gravità della presunta violazione, o se risulta dalla composizione stessa del gruppo”.
