Whistleblowing in attesa del recepimento della Direttiva europea
Risale al 25 gennaio scorso la consueta pubblicazione annuale della classifica sull’Indice della Percezione della Corruzione (Corruption Perceptions Index 2021) da parte di Transparency International, nota organizzazione non governativa dedita al monitoraggio dei fenomeni corruttivi in ambito internazionale. Sebbene si registri un passo in avanti dell’Italia nel ranking mondiale, emergono ancora alcune questioni da definire in modo più preciso.
Tra queste figura il recepimento della Direttiva UE 2019/1937 in materia di whistleblowing, che dovrebbe integrare l’attuale disciplina nazionale vigente (Legge 179/2017). A tal proposito, tuttavia, è utile ribadire che società ed enti, che intendano correttamente implementare un sistema per la gestione di segnalazioni di illiceità, debbano eseguire in qualità di Titolare del Trattamento una valutazione d’impatto sulla protezione dei dati acquisiti e gestiti (DPIA).
DPIA come strumento di tutela per segnalanti e segnalati
A seconda del numero di segnalazioni ricevute, talune imprese potrebbero erroneamente ritenere che non sia necessario effettuare una DPIA ai sensi dell’art. 35, Regolamento UE 2016/679 (c.d. GDPR), rispetto alla piattaforma whistleblowing implementata, “tenuto conto anche dell’esiguo numero dei dati trattati e degli interessati coinvolti dal trattamento in questione”. Di analogo avviso era la S.p.A. quotata, con partecipazione pubblica al 45% e gestore unico dell’aeroporto di un noto capoluogo di Regione italiano, verso cui il Garante Privacy ha emesso ordinanza ingiunzione il 10 giugno 2021. La società in questione, come emerso dall’attività istruttoria condotta nei suoi confronti, aveva adottato un proprio Modello di Organizzazione, Gestione e Controllo ai sensi del d.lgs. 231/2001, integrandone il contenuto con una specifica policy whistleblowing e impiegando un applicativo per la gestione delle segnalazioni, senza procedere a una preventiva DPIA. Al di là delle censure mosse verso lo specifico software adottato, che, peraltro, non utilizzava un protocollo di rete sicuro per la trasmissione dei dati (quale l’http) nonostante esposto su rete Internet, il Garante ribadisce come il trattamento dei dati acquisiti con tali strumenti presenti “rischi specifici per i diritti e libertà degli interessati”, considerando anche la vulnerabilità di questi ultimi nel contesto lavorativo. In tali circostanze, pertanto, il trattamento avrebbe dovuto essere effettuato solo dopo una valutazione d’impatto sui dati personali gestiti, necessaria a individuare misure specifiche per attenuare i rischi derivanti dal trattamento stesso.
Il rischio per i diritti e le libertà degli interessati funge da indicatore prevalente
D’altro canto, su tali aspetti il Garante si era già soffermato in precedenza con la pubblicazione di altri provvedimenti. Tra questi, in particolare, il Parere in argomento reso ad ANAC il 4 dicembre 2019, doc. web n. 925763, con cui si evidenzia che l’acquisizione e gestione delle segnalazioni dà luogo a trattamenti di dati personali appartenenti “a particolari categorie di dati e relativi a condanne penali e reati” comunque riferibili a persone fisiche identificate o identificabili (nello specifico sia il segnalante che il soggetto segnalato, cioè colui al quale le condotte sospette sono attribuite). Tale Parere si inserisce nel contesto di altri provvedimenti di portata più generale, come le “Linee Guida concernenti la valutazione d’impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento possa presentare un rischio elevato ai sensi del Regolamento 2016/679”, WP 248 rev.1, revisionate il 04 ottobre 2017, e il provvedimento denominato “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679”, 11 ottobre 2018, doc. web n. 9058979, con annesso Allegato 1. Quest’ultimo individua un elenco di 12 criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti dati che, presentando un rischio elevato, devono essere sottoposti a valutazione d’impatto, precisando che tale elenco non è esaustivo. È l’entità elevata del rischio per i diritti e libertà degli interessati a dover fungere da bussola per indirizzare il Titolare, che deve in tali ipotesi eseguire una valutazione d’impatto prima di procedere al trattamento dati. Dovrà inoltre sottoporre a successivo riesame, ad intervalli periodici, l’esito della valutazione o singole fasi della stessa, soprattutto con riferimento a trattamenti dinamici, soggetti a variazioni, considerando che la selezione di determinate misure tecniche od organizzative applicate al trattamento può influenzare la gravità o la probabilità dei rischi posti dal trattamento.
Normative e provvedimenti esaminati:
- Art. 35, Regolamento UE 2016/679 (c.d. GDPR)
- Parere sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)” - 4 dicembre 2019 [doc. web n. 9215763]
- Linee Guida concernenti la valutazione d’impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679, WP248 rev.1, revisionate il 04 ottobre 2017
- Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679 – 11 ottobre 2018 [doc. web. n. 9058979]
- Allegato 1 al Provvedimento n. 467 dell’11 ottobre 2018 [doc. web n. 9058979], Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto
La Direttiva UE sul Whistleblowing – Alla scoperta di ciò che cambierà
Una panoramica completa di tutti i requisiti e obblighi introdotti dalla Direttiva Europea sul Whistleblowing