ADEMPIMENTI PRIVACY

Whistleblowing nel settore privato e privacy: regole di accountability

Anche nel settore privato è sempre più comune il whistleblowing, cioè l’adozione di sistemi di segnalazione di presunti illeciti nell’ambito di un rapporto di lavoro. Ecco le regole di accountability per conciliare l’adozione di tali sistemi con l’adempimento degli obblighi imposti dalla normativa privacy

20 Mag 2020
T
Leila Tessarolo

Avvocato, Privacy Officer e consulente della privacy certificato cdp_406 TUV


Dalla fine del 2017 nel nostro ordinamento è stata introdotta, anche nel settore privato, una specifica tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro (cd. procedura di whistleblowing).

In considerazione delle possibili e rilevanti implicazioni relative alla tutela dei dati personali, il Garante Privacy ha individuato il whistleblowing come uno degli specifici settori oggetto di attività ispettiva nel primo semestre del 2020, così come era stato per il secondo semestre del 2019.

Cerchiamo allora di comprendere quali sono, nel settore privato, gli elementi necessari per implementare una procedura di segnalazione che rispetti la normativa in materia di tutela dei dati personali.

La normativa sul whistleblowing

La regolamentazione del whistleblowing[1] nel settore privato è attualmente contenuta nei commi 2-bis, 2-ter e 2-quater dell’art. 6 della L. 231/2001, introdotti dalla L. n. 179 del 2017[2].

La scelta del legislatore è stata quella di inserire la procedura di segnalazione nel sistema previsto per la responsabilità amministrativa degli enti ed in particolare all’interno del Modello di organizzazione, gestione e controllo (MOG), lo strumento che gli enti possono utilizzare per non rispondere del reato commesso dai propri dipendenti nel loro interesse o a loro vantaggio.

Tale scelta ha comportato una restrizione del campo di applicazione di questo strumento rimettendo la sua introduzione alla discrezionalità dell’impresa.

Occorre, inoltre, segnalare che è entrata recentemente in vigore una direttiva comunitaria[3] che prevede l’obbligo di introdurre canali sicuri per la segnalazione di violazioni inerenti a specifiche materie per tutte le imprese (pubbliche e private) che abbiano più di 50 dipendenti, contemplando comunque la possibilità per gli stati membri di prevedere una estensione della platea dei soggetti interessati.

Ambito oggettivo e soggettivo

Il primo passo per predisporre un sistema di segnalazione illeciti che sia conforme alla disciplina relativa al trattamento di dati personali è quello di delimitarne l’ambito oggettivo e soggettivo, individuando in cosa consiste il trattamento di dati personali e, dunque, quali dati vengono trattati e quali sono i soggetti coinvolti e chiarendo, rispetto a questi ultimi, i compiti e le responsabilità.

Nelle procedure di segnalazione i dati personali[4] oggetto di trattamento sono essenzialmente i dati di carattere identificativo del segnalante, dei segnalati e delle altre persone coinvolte (identità, funzioni e recapiti), i fatti segnalati, gli elementi raccolti nella verifica, il rendiconto delle operazioni di verifica e il seguito dato alla segnalazione.

L’impresa-datore di lavoro che appronta un sistema di whistleblowing è il titolare del trattamento di dati personali, ossia il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” (art. 4, n. 7 del Regolamento Generale sulla Protezione dei Dati – RGPD o GDPR).

All’interno della struttura lavorativa le procedure di segnalazione sono gestite ed elaborate da alcuni dipendenti che devono essere specificamente individuati ed autorizzati dal titolare. Risulta importante che tali soggetti siano in numero quanto possibile limitato e che abbiano ricevuto specifiche istruzioni ed una adeguata formazione sulla attività da svolgere ed è altresì necessario prevedere, ove possibile, sistemi di tracciabilità dei loro accessi al sistema di segnalazione.

L’Organismo di Vigilanza (OdV), soggetto preposto al controllo sul funzionamento e il rispetto del Modello di Organizzazione, Gestione e Controllo (art. 6 del Decreto Legislativo 231/2001) è senza dubbio coinvolto nella procedura di whistleblowing[5] e deve, dunque, essere inquadrato all’interno dei ruoli privacy, con specificazione delle funzioni da svolgere.

Il titolare del trattamento può, poi, avvalersi di terzi, che trattano i dati personali per suo conto (ad esempio i fornitori della piattaforma di segnalazione) e che vanno inquadrati come responsabili del trattamento. Tali soggetti devono presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato. Il rapporto tra titolare e responsabile deve essere regolato da un apposito contratto che abbia i contenuti elencati dall’art. 28 GDPR.

Nel caso in cui l’azienda abbia nominato un Responsabile della protezione dei dati (o Data protection officer – DPO, artt. 37-39 GDPR) deve senz’altro essere definito dal titolare il suo ruolo nella procedura, essendo il DPO la figura di riferimento in materia di protezione di dati personali sia all’interno dell’azienda che all’esterno. Esso si pone, infatti, come supervisore dell’attività del titolare e in tale veste deve vigilare sulla attribuzione delle responsabilità, sulla sensibilizzazione e sulla formazione del personale oltre ad effettuare le relative attività di controllo.

Sicuramente il DPO deve avere un ruolo di raccordo con i soggetti incaricati dell’indagine nel momento in cui la segnalazione riguardi violazioni alla normativa privacy e deve partecipare alla valutazione d’impatto attraverso la redazione di un parere. Le altre specifiche attività attribuite al DPO dovranno essere accuratamente specificate dal titolare. Le indicazioni del DPO possono, infine, essere considerate importanti anche ai fini di accountability.

Gli interessati, ossia i soggetti i cui dati sono trattati da parte del titolare nella procedura di whistleblowing, sono il segnalante, il segnalato ed eventuali terzi cui si fa riferimento (direttamente o indirettamente) nella segnalazione. Le procedure approntate da parte del titolare devono assicurare la tutela delle identità degli interessati in modo che siano conosciute soltanto dai soggetti che devono dar luogo alle azioni conseguenti.

Whistleblowing nel settore privato: rispetto dei principi

Nell’improntare un sistema di whistleblowing il titolare deve verificare il rispetto dei principi previsti dall’art. 5 del GDPR[6].

In primo luogo, il titolare deve valutare la liceità di un trattamento di dati personali verificando la base giuridica su cui si fonda. Nel caso del whistleblowing nel settore privato occorre rilevare che, sulla base della vigente normativa, non può invocarsi l’esistenza di un obbligo giuridico (ex art. 6 lett. c) GDPR) essendo rimesso, come detto, alla mera discrezionalità dell’impresa costituire un MOG e prevedere una procedura di segnalazione[7].

Fintanto dunque, che non verrà recepita la direttiva comunitaria che imporrà un obbligo di introdurre una specifica procedura di segnalazione (che sarà comunque sempre circoscritto ad alcuni soggetti e ad alcuni specifici fatti), la base giuridica su cui si fonda la procedura dovrà essere il legittimo interesse del titolare[8] (ex art. 6 lett. f) GDPR).

Con riferimento ai dati “particolari” di cui all’art. 9 del GDPR[9] deve ritenersi che la base giuridica sia quella prevista dall’art. 9, par. 2 lett. f) ossia l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria[10] fermo restando che, per alcuni aspetti legati al rapporto lavorativo, la base giuridica può essere rinvenuta nella lett. b) della medesima disposizione.

La raccolta dei dati relativi a condanne penali e ai reati può, infine, avvenire solo se inquadrata nella ratio della legge 231/01, ossia la prevenzione della responsabilità penale dell’impresa, nel rispetto dell’art. 10 GDPR. Deve, comunque, considerarsi che si è in attesa del decreto ministeriale che dovrebbe fornire una specifica autorizzazione per il trattamento di tali dati, in ottemperanza all’art. 2-octies del codice privacy (D.lgs. 196/2003).

La raccolta di dati personali deve, poi, avvenire per specifiche, legittime e manifeste finalità. Il titolare potrà utilizzare i dati personali soltanto compatibilmente alle finalità per cui sono stati raccolti.

Le finalità perseguite dal trattamento dei dati personali nell’ambito della procedura di whistleblowing riguardano essenzialmente la gestione delle segnalazioni ricevute, l’accertamento dei fatti oggetto delle stesse e l’adozione dei conseguenti provvedimenti. Non rientrano nel suddetto trattamento la gestione di meri reclami o lamentele, a meno che il titolare abbia costruito la procedura al fine di comprendere anche tali aspetti. Le ulteriori finalità che il titolare intende perseguire vanno, comunque, individuate ed esplicitate fin dall’inizio del trattamento, nel rispetto della normativa.

WEBINAR
Operatori IT e virtual data center: ecco le linee guida da seguire
Datacenter
Trade

Sulla base del principio di minimizzazione, i dati raccolti nella procedura di segnalazione sono solo quelli necessari e pertinenti per il raggiungimento della finalità perseguita. I dati ulteriori non potranno essere oggetto di trattamento.

È, quindi, necessario che la procedura di segnalazione sia fin dall’inizio ben circoscritta attraverso una puntuale definizione dei soggetti che possono essere segnalati, dei soggetti che possono segnalare nonché dei fatti e delle circostanze oggetto di segnalazione.

Il principio di minimizzazione riguarda tutte le fasi della procedura: nella fase di acquisizione della segnalazione il titolare deve fare in modo che il segnalante inserisca solo i dati necessari, ad esempio attraverso un sistema che indirizzi il segnalante nell’inserimento delle informazioni (attraverso la predisposizione di una policy specifica e la previsione dell’utilizzo di una piattaforma con indicazione dei dati da inserire o di moduli specifici di segnalazione); nella fase di istruzione ed indagine il titolare deve conservare e trattare solo le informazioni necessarie.

Nel caso in cui vengano raccolti dati non pertinenti o comunque ulteriori rispetto a quelli necessari gli stessi devono essere immediatamente cancellati.

Il titolare del trattamento è chiamato, poi, a fissare la durata del periodo di conservazione per il trattamento dei dati personali raccolti durante la procedura di segnalazione.

La durata può variare a seconda del tipo di informazioni raccolte, di come è affrontato il caso specifico e delle finalità del trattamento e, in alcuni casi, è direttamente stabilita da disposizioni normative.

In linea di massima, può ritenersi che, nell’ipotesi in cui, dopo la segnalazione, il caso sia archiviato la conservazione non debba eccedere i 2 mesi[11]; se, invece, la segnalazione ha un seguito (di qualsiasi genere sia) i dati possono essere senz’altro conservati fino alla conclusione dell’attività intrapresa dal titolare.

I tempi di conservazione sono comunque stabiliti dal titolare che potrà effettuare valutazioni ulteriori e diverse, in ottemperanza al principio di responsabilizzazione.

Infine, secondo il principio di trasparenza, gli interessati hanno diritto conoscere le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati i dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati.

I soggetti interessati devono, dunque, ricevere una idonea e specifica informativa relativa alle modalità di trattamento dei propri dati personali secondo quanto specificato nell’art. 13 del GDPR. L’informativa deve essere concisa, trasparente ed intellegibile per l’interessato. Occorre, dunque, utilizzare un linguaggio chiaro e semplice che sia consono ai destinatari della stessa.

Nel caso specifico, il titolare è tenuto ad informare tutti i suoi dipendenti (che possono effettuare le segnalazioni) in maniera generalizzata con la modalità che risulti più efficace considerando lo scopo da raggiungere, attraverso, ad esempio, il proprio sito web ma anche via mail o intranet o attraverso affissione nei locali interni dell’azienda.

Successivamente alla segnalazione risulta necessario dare specifiche informazioni al segnalante sulla ricezione della segnalazione, sulle modalità del relativo trattamento di dati personali oltre che sulle azioni intraprese.

L’obbligo di trasparenza si pone anche nei confronti del segnalato e dei terzi che sono individuati nella segnalazione, nel rispetto dell’art. 14 del GDPR.

Tale incombenza può essere omessa, in applicazione dell’art. 14, par. 5 del GDPR, nel caso (probabile) in cui il fornire informazioni rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento e dunque possa compromettere la attività di indagine.

L’informativa dovrà altresì contenere l’indicazione delle facoltà previste, in tema di esercizio dei diritti, dall’art. 2 undecies del codice privacy.

Occorre, da ultimo, ricordare che l’impostazione di fondo di ogni trattamento dei dati deve essere conforme al modello privacy by design e privacy by default (art. 25 GDPR), in base al quale la protezione dei dati deve essere rispettata fin dalla progettazione del trattamento e deve essere una impostazione predefinita di ogni singolo trattamento dei dati.

Nel predisporre una procedura di segnalazione degli illeciti il titolare è tenuto, dunque, a valutare fin dall’inizio le implicazioni relative al trattamento dei dati personali.

Whistleblowing nel settore privato: esercizio dei diritti

Il Regolamento 2016/679 (GDPR) ha previsto specificatamente i diritti che possono essere fatti valere dagli interessati disponendo che il titolare debba dare un riscontro alle richieste dell’interessato entro un mese dalla richiesta, anche in caso di diniego (art. 12 GDPR).

In una procedura di whistleblowing, in cui la protezione della identità del segnalante (e dei dati che possano comunque se pur indirettamente riportare a tale identità) risulta centrale, il pieno esercizio dei diritti degli interessati potrebbe vanificare tale finalità e dunque l’intero impianto della procedura. Per questo motivo, in attuazione dell’art. 23 del Regolamento, è stato introdotto nel nostro ordinamento dal D.lgs. 101/2018 l’art. 2 undecies del Codice Privacy con riferimento (anche) alle procedure di whistleblowing (comma 1, lett. f).

Tale norma prevede che i diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo all’autorità garante qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del dipendente che segnala l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio.

La norma suddetta specifica che l’esercizio dei medesimi diritti può, in ogni caso, essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare gli interessi tutelati dalla normativa in discorso.

I diritti dell’interessato possono essere esercitati anche tramite il Garante con le modalità di cui all’articolo 160 del Codice Privacy.

In tale ipotesi, il Garante deve informare l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale.

Sicurezza del trattamento dati

In una procedura di segnalazione di illeciti risulta fondamentale garantire la sicurezza del trattamento dei dati personali in ogni sua fase (art. 32 GDPR).

Il titolare del trattamento deve, in primo luogo, valutare i rischi inerenti al trattamento[12] e attuare misure per ridurre tali rischi e l’impatto sui soggetti interessati.

Nella logica del GDPR, dunque, le misure che il titolare deve predisporre dipendono dal sistema attuato e dal contesto operativo e sono commisurate al rischio specifico.

Si ritiene, inoltre, che il trattamento di dati personali effettuato nell’ambito di una procedura di whistleblowing sia tra quelli per i quali è necessaria una valutazione di impatto (Data protection impact assessment – DPIA, art. 35 del GDPR) potendo essere considerato un caso in cui il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche[13], sebbene il Garante italiano non abbia incluso tale trattamento in quelli in cui la DPIA è necessaria [14].

Con riferimento alle misure da attuare, possono essere segnalate alcune misure di sicurezza che sarebbe opportuno predisporre, in aggiunta alle misure di sicurezza di carattere generale che il titolare deve comunque approntare per l’ordinaria attività di impresa.

Il titolare deve, in primo luogo, verificare attentamente le modalità con cui la segnalazione può essere effettuata in modo da garantire la massima sicurezza già nella fase iniziale della procedura. In tal senso, è fondamentale predisporre una approfondita e specifica policy in modo da guidare il più possibile il segnalante nel percorso per eseguire la segnalazione e da indicare in maniera precisa i limiti della procedura.

Il titolare dovrebbe, poi, fornire dei moduli di segnalazione e, nel caso in cui si utilizzi una piattaforma informatica, verificare la sicurezza della piattaforma, limitare i dati che possono essere inseriti e prevedere forme di autenticazione informatica per l’accesso.

In caso di dati trattati nell’ambito delle procedure informatiche dovrebbero essere in ogni caso utilizzati strumenti di cifratura dei dati.

In particolare, per la trasmissione della segnalazione si dovrebbero utilizzare protocolli sicuri di trasporto dei dati (quali, il protocollo HTTPS) [15] che consentono di proteggere il contenuto del messaggio. Sarebbe, inoltre, opportuno l’utilizzo della rete TOR che, rendendo impossibile per il destinatario e per tutti gli intermediari nella trasmissione avere traccia dell’indirizzo internet del mittente, assicura una ragionevole aspettativa dell’anonimato del segnalante[16].

Con riferimento, poi, ai soggetti incaricati di gestire le segnalazioni, vanno previste misure tecniche per il controllo degli accessi, al fine di limitare l’accesso ai soli soggetti autorizzati dotati di credenziali di autenticazione e di uno specifico profilo di autorizzazione. Tali soggetti devono, inoltre, essere adeguatamente istruiti e formati sulle operazioni da compiere e sul rispetto delle normativa privacy.

Relativamente alla conservazione dei dati, infine, risulta necessario adottare politiche di sicurezza idonee a proteggere sia i documenti cartacei che quelli informatici. Con riferimento a questi ultimi, ad esempio, possono essere adottati strumenti di disaccoppiamento dei dati del segnalante rispetto alle informazioni relative alla segnalazione, crittografia dei dati e dei documenti.

Whistleblowing nel settore privato: le regole di accountability

Il titolare del trattamento ha una grande libertà e discrezionalità nell’organizzazione della propria attività di compliance, potendo parametrare gli adempimenti alla propria realtà organizzativa ed economica e scegliere il modo ritenuto più opportuno per rispettare le prescrizioni normative. Sulla base del principio di accountability il titolare sarà comunque sempre responsabile delle scelte attuate e dovrà essere in grado di dimostrare di aver adottato le misure idonee.

Quali sono allora le attività e i documenti che possono dimostrare che il titolare sia compliant?

Il documento probatorio principale in ottica privacy, nonché il primo documento richiesto dal Garante in caso di ispezione, è il registro dei trattamenti. Il registro è un documento avente forma scritta dove sono elencate le principali informazioni relative alle operazioni di trattamento di dati personali, sia quelle indicate nell’art. 30 GDPR sia informazioni ulteriori, che possono risultare importanti per fornire un quadro completo del trattamento e per testimoniare la correttezza del proprio operato (ad es., potrebbe essere utile inserire una sintetica valutazione dei rischi, lo svolgimento di una valutazione d’impatto, le modalità con cui si svolge il trattamento, le modalità di rilascio delle informazioni ex artt. 13 e 14 del GDPR).

Al fine di fornire un quadro generale potrà, poi, essere utile la policy redatta dal titolare, sebbene non sia propriamente un documento “privacy”. Anche da essa, invero, possono ricavarsi informazioni importanti per comprendere le misure approntate dal titolare.

Il titolare dovrà, ancora, dar prova di aver fornito agli interessati idonee informative, di aver sottoscritto con i responsabili del trattamento gli accordi ex art. 28 GDPR e di aver realizzato la valutazione di impatto (se ritenuta necessaria).

Con riferimento ai soggetti coinvolti nelle operazioni di trattamento sarà necessario dimostrare di aver specificatamente autorizzato, istruito e adeguatamente formato il personale, attraverso documenti di autorizzazione dei dipendenti e di svolgimento di attività formativa.

Potranno, poi, risultare utili i documenti dai quali si evincano le specifiche misure di sicurezza adottate (ad es. disciplinare strumenti informatici, documento sulle misure di sicurezza).

Il titolare potrà, dimostrare di essere compliant anche seguendo le linee guida del comitato europeo, le indicazioni fornite da un responsabile della protezione dei dati o con l’adesione ad un codice di condotta approvato o ad un meccanismo di certificazione[17].

Occorre, infine, sottolineare che l’implementazione di una procedura di segnalazione degli illeciti non potrà comunque prescindere da un collegamento ed un’integrazione con i sistemi di prevenzione dei rischi e di gestione della privacy adottati dall’azienda, attraverso un approccio olistico che dovrebbe condurre alla creazione di un sistema di gestione integrato.

NOTE

  1. Letteralmente “whistleblower” è il “soffiatore di fischietto”.
  2. Sono state emanate anche delle specifiche normative relative a particolari settori, quali l’attività bancaria, assicurativa e di intermediazione finanziaria. Inoltre, per il settore pubblico la normativa è contenuta nell’art. 54 del d.lgs 165/2001.
  3. La direttiva n. 2019/1937 del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione, che dovrà essere recepita dagli Stati membri entro il 17 dicembre 2021.
  4. “Dato personale” è qualsiasi informazione riguardante una persona fisica identificata o identificabile.
  5. Il Garante Privacy ha di recente espresso un parere sulla qualificazione da assegnare all’OdV in ambito privacy, escludendo, però, espressamente il diverso ruolo che l’OdV potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing.
  6. I principi di «liceità, correttezza e trasparenza»; «limitazione della finalità»; «minimizzazione dei dati»; «esattezza»; «limitazione della conservazione»; «integrità e riservatezza».
  7. Nel settore pubblico, invece, la base giuridica è costituita dall’obbligo giuridico e dal perseguimento di un interesse pubblico ex art. 6, par. 1, lett. c) e e).
  8. Si veda in tal senso il parere 1/2006 del gruppo di lavoro Articolo 29 nonché le linee guida della CNIL – “Relatif aux traitements de donnee a caractere personnel destines a la mise en œuvre d’un dispositif d’alerte” del 18.07.2019.
  9. Sono i dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
  10. Si vedano Linee guida CNIL del 18.07.2019.
  11. Si vedano in proposito le indicazioni contenute nel Parere 1/2006 del gruppo di lavoro Articolo 29 nonché nelle linee guida della CNIL del 18.07.2019.
  12. Secondo le Linee Guida del Gruppo di lavoro Articolo 29, WP 248, un “rischio” è uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità. La “gestione dei rischi”, invece, può essere definita come l’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione ai rischi.
  13. Si vedano le Linee Guida, WP 248. Il Garante Francese (CNIL) ha invece inserito i trattamenti aventi finalità di gestione delle allerte e segnalazioni in materia professionale tra quelli per cui la valutazione d’impatto è richiesta.
  14. Provvedimento Garante 11.10.2018, doc. web n. 9058979.
  15. Si veda in tal senso il provvedimento del Garante Privacy n. 215 del 4 dicembre 2019, doc. web n. 921576, nonché il provvedimento n. 17 del 23 gennaio 2020.
  16. https://www.torproject.org.
  17. Si vedano l’art. 32 e il considerando 77 del GDPR.
LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 5