di Marco CASSARO
Che la tutela e la protezione dei dati, ad ormai quattro anni dall’entrata in vigore del Regolamento Ue 679/2016 cd. GDPR, sia diventata a tutti gli effetti uno dei pilastri per il raggiungimento della cd. compliance integrata, è un dato di fatto.
Oggi più che mai le Azienda, di fronte agli innumerevoli adempimenti che la normativa gli pone davanti (e.g. D.Lgs 231/2001, Whistleblowing, D.Lgs 81/2008, ESG etc.), si trovano a dover valutare una determinata tematica sotto innumerevoli aspetti.
Con particolare riferimento al whistleblowing ed alla tutela e protezione dei dati, l’interesse del legislatore è stato quello, inevitabilmente, di regolamentare non solo diritti e tutele del soggetto segnalante ma anche quello di garantire, richiamando la privacy, la tutela alla sua riservatezza nonché la limitazione ad un trattamento dei dati che potesse risultare non pertinente, non adeguato ed eccedente.
Purtroppo, però, le sanzioni dell’Autorità Garante per la Protezione dei dati in materia durante il periodo 2020-2022, ancora una volta sottolineano non solo le difficoltà nel trovare un connubio tra le due diverse normative (Privacy e Whistleblowing) ma anche l’importanza, in un’ottica di responsabilizzazione delle Società, di porre in essere tutti gli accorgimenti necessari per rispettare il dettato normativo.
Ecco, dunque, con spirito propositivo e volutamente sbilanciato sul tema privacy, alcuni adempimenti da attuare.
1. Prima visione d’insieme
Prima di tutto è fondamentale inquadrare l’ambito normativo all’interno del quale ci stiamo muovendo.
Per quanto riguarda il whistleblowing (to blow the whistle, letteralmente “soffiare nel fischietto”), come ormai ben tutti sanno, scriviamo di un concetto che risale ormai agli anni ’70. Con questa parola si descrive molto spesso la segnalazione da parte di un soggetto (whistleblower/segnalante) di attività illecite o fraudolente poste da un terzo sul posto di lavoro.
In Italia, è solo con:
- la Legge n. 190 del 2012 in materia di anticorruzione, che istituiva un sistema volto alla lotta alla criminalità, favorendo il dialogo tra dipendente e autorità; e successivamente
- con la legge 179 del 30 novembre del 2017;
che si è arrivati per quanto possibile ad una formalizzazione di norme specifiche in materia di tutela del “segnalante” e gestione delle segnalazioni.
Da ultimo, non possiamo non citare, il Parlamento europeo, il quale nel dicembre 2019 ha approvato la nuova direttiva in materia (Direttiva EU 2019/1937) con “l’auspicio” che tutti gli Stati membri adeguassero le rispettive legislazioni nazionali entro la fine del 2021.
Come sappiamo, con particolare riferimento all’Italia, ancora siamo in attesa del relativo atto di recepimento ma ciò che è certo è che sulla scorta di un requisito numerico, specificatamente previsto dalla direttiva molte aziende (quelle con più di 250 dipendenti in modo immediato e quelle con più di 50 e meno di 250 dipendenti entro il 2023) si troveranno a dover istituire e gestire canali di segnalazione in accordo con la normativa applicabile e con la Privacy.
Per quanto riguarda, invece, la tutela e protezione dei dati ci muoviamo all’interno dei principi previsti dal GDPR, dal D.Lgs 101/2018 che ha integrato e modifica il D.Lgs 196/2003 cd. Codice Privacy nonché di tutti i provvedimenti e linee guida che nel corso del tempo si sono succeduti in materia, sui quali vale la pena certamente citare:
- Linee guida sul trattamento di dati personali dei lavoratori privati – 23 novembre 2006 [1364939] – Autorità Garante per la protezione dei dati;
- Linee Guida del Working Party 29 (WP29) ora EDPB n. 117 in materia di: applicazione della normativa UE sulla protezione dei dati alle procedure interne per la denuncia delle irregolarità riguardanti la tenuta della contabilità, i controlli contabili interni, la revisione contabile, la lotta contro la corruzione, la criminalità bancaria e finanziari;
- Parere sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)” – 4 dicembre 2019 [9215763] – Autorità Garante per la protezione dei dati;
- Linee guida degli altri Garanti europei con particolare riferimento a quello francese (CNIL).
A quanto detto sopra, ovviamente, si aggiungono una serie di ulteriori disposizioni normative per specifico ambito di destinazione che al loro interno richiamano da un lato le segnalazioni dall’altro la necessità di garantire la riservatezza ed il rispetto delle norme in materia di tutela e protezione dei dati (e.g. le disposizioni di vigilanza per le Banche, il Testo unico bancario, la normativa in materia di salute e sicurezza sul lavoro, il D.Lgs 231/2001 in materia di responsabilità amministrativa degli enti etc.).
Ora, affinché la pratica del whistleblowing risulti come una pratica efficace, sicura e conforme alle disposizioni normative è necessario affrontarla con un occhio di riguardo rispetto all’obiettivo che le medesime si pongono e cioè: garantire degli strumenti di segnalazione che tutelino l’identità del segnalante. Non è, infatti, un caso che sia all’interno della nuova Direttiva così come anche della L. 179 del 2017 indicatori quali “protezione dei dati personali”, “riservatezza” e “anonime” vengano citati innumerevoli volte; principi che, come sappiamo, sono alla base del GDPR così come di tutte le disposizioni in materia di protezione dei dati personali.
Ma come possiamo muoverci in questo labirinto normativo raggiungendo l’obiettivo di conformità?
Una mano tesa ci viene dai provvedimenti, che fra poco andremo ad analizzare, che nel corso del tempo l’Autorità Garante ha emesso e che contengono al loro interno importanti suggerimenti nonché riferimenti agli obblighi su cui le Aziende devono porre particolare attenzione.
2. Alcune recenti sanzioni dell’Autorità Garante per la protezione dei dati
Una prima menzione merita sicuramente, il Provvedimento correttivo e sanzionatorio emesso il 23 gennaio 2020 nei confronti dell’Università La Sapienza di Roma per il valore di Euro 30.000(1).
A tal proposito, a seguito di una violazione dei dati persona (cd. “Data breach”) notificato all’Autorità, la medesima, contestualmente alle sue attività istruttorie, aveva constatato che seppur la violazione era risultata accidentale, il data breach derivava da diverse carenze dal punto di vista delle misure tecniche ed organizzative nella gestione della tematica whistleblowing. Tra queste:
- i dati identificativi dei segnalanti presenti in alcune delle pagine web dell’applicativo whistleblowing, erano indicizzati e liberamente rintracciabili in rete con l’ausilio di comuni motori di ricerca web da chiunque;
- l’accesso all’applicativo whistleblowing avveniva mediante protocollo di rete “http” (hypertext transfer protocol) utilizzato per il trasporto dei dati il quale non garantisce una comunicazione sicura sia in termini di riservatezza e integrità dei dati scambiati che di autenticità del sito web visualizzato;
- il mero recepimento da parte dell’Università delle scelte progettuali dell’azienda che ha fornito l’applicativo whistleblowing che non prevedevano la cifratura dei dati personali.
Altrettanto di rilevanza risulta l’Ordinanza di ingiunzione del 10 giugno 2021 nei confronti dell’Aeroporto Marconi di Bologna e del relativo fornitore – aiComply S.r.l. – per un valore contestuale di Euro 40.000 e 20.000 per aver violato quanto prescritto dalla normativa in materia di protezione dei dati(2).
A tal proposito, dall’attività istruttoria dell’Autorità era emerso come, benché la società aeroportuale avesse correttamente adottato un modello di organizzazione, gestione e controllo come disciplinato dal D. lgs. 231/2001 e l’applicativo utilizzato per le segnalazioni fosse offerto dal fornitore, designato come Responsabile del trattamento, in modalità SaaS, vi erano diverse carenze dal punto di vista delle misure tecniche ed organizzative adottate per garantire la riservatezza e la tutela dei dati personali trattati attraverso l’applicativo. Tra queste:
- mancato utilizzo di tecniche crittografiche per il trasporto e la conservazione dei dati nonché utilizzo di protocollo http (hypertext transfer protocol), che non garantisce l’integrità e la riservatezza dei dati;
- tracciamento degli accessi all’applicativo;
- mancata esecuzione di una valutazione d’impatto sulla protezione dei dati.
Infine, si cita l’Ordinanza ingiunzione nei confronti dell’Azienda Ospedaliera di Perugia del 7 aprile 2022 e del suo fornitore ISWEB S.p.A.(3). Anche in questo caso l’istruttoria dell’Autorità che nasceva nell’ambito di un ciclo di attività ispettive sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, aveva rilevato carenze dal punto di vista delle misure tecniche ed organizzative adottate per garantire la riservatezza e la tutela dei dati personali. Tra queste:
- l’utilizzo di un software open source che, non essendo stato correttamente configurato, registrava e conserva i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti;
- l’assenza di specifica informativa privacy;
- mancata esecuzione di una valutazione d’impatto sulla protezione dei dati;
- il mancato aggiornamento del registro delle attività di trattamento;
- una non corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web;
- con riferimento al Fornitore, quale responsabile al trattamento dei dati, l’utilizzo di ulteriore altro-responsabile per il servizio di hosting senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria.
3. Le regole di compliance che possiamo desumere
Sulla base di quanto sopra riportato è chiaro come la disciplina del whistleblowing e la normativa in materia di tutela e protezione dei dati debbano oggi essere gestite in un’ottica di integrazione.
Da un lato, dunque sarà necessario adottare e strutturare un sistema organizzativo di segnalazione in linea con il dettato normativo ad esso riferibile (sul quale lascio relativi approfondimenti a fonte più autorevole) dall’altro integrando quanto implementato o creato tenendo conto di ciò che la normativa ed i provvedimenti ut supra citati dispongono in materia privacy. Detto in altro modo gestire la tematica fin dalla progettazione, by design, cercando di coprire le due facce della stessa moneta.
Pertanto, ciò che sarà necessario verificare o premurarsi di aver fatto prima di proclamare la conformità sarà sicuramente:
- aggiornamento del Registro delle attività di trattamento in accordo con l’art. 30 (1) del GDPR;
- elaborazione e messa a disposizione di adeguata informativa privacy al segnalante in accordo con l’art. 13 del GDPR garantendo che la stessa contenga almeno la descrizione delle modalità e le basi giuridiche del trattamento, le misure di sicurezza adottate e le informazioni necessarie per esercitare i propri diritti, come ad esempio il diritto di accesso garantito al segnalato alle informazioni che lo riguardano.
- svolgimento di specifica valutazione d’impatto in accordo con l’art. 35 del GDPR che valuti le misure tecniche ed organizzative adottate prima del trattamento medesimo;
- in caso di esternalizzazione del servizio per la gestione delle segnalazioni, specifica formalizzazione dell’atto di nomina e delle misure di sicurezza adottate dal Responsabile nominato in accordo con l’art. 28 del GDPR e contestuale verifica della catena di sub-fornitura. Anche al fine di scongiurare eventuali trasferimenti di dati all’estero (Paesi Extra-UE) e con l’obiettivo di tenere vigilata la catena delle responsabilità;
- verifica e implementazione delle misure di sicurezza atte a garantire la riservatezza, l’integrità e la non divulgazione dei dati del segnalante. A tal proposito:
o misure quali: la cifratura, la segregazione e gestione degli accessi e delle credenziali di autenticazione, protocolli https etc. sono mandatorie;
o la verifica dovrà avere un taglio specifico sulla soluzione tecnologica utilizzata e non generica;
- garantire una data retention idonea al tipo di dato trattato e alla finalità facendo attenzione a quanto previsto alle Linee guida del WP n.117 nonché degli artt. 13 e 5 in materia di limitazione della conservazione del GDPR;
- garantire un trattamento del dato minimizzato, adeguato, pertinente e non eccedente;
- adottare un sistema organizzativo interno (lettere di autorizzazione) che consenta la segregazione delle funzioni e dei compiti nonché la conoscenza dei dati del segnalante/segnalato solo a determinate figure identificate,
- rispettare i principi di cui agli artt. 15 a 22 in materia di esercizio dei diritti del soggetto interessato con particolare riferimento alle limitazioni imposta dall’art. 2 undecies del Codice Privacy.
Conclusioni
Come è ben chiaro affrontare la tematica del whistleblowing con una propensione anche al rispetto alla tutela e protezione dei dati non è certamente cosa banale.
Se da un lato (gestione normativa whistleblowing) si riesce ad affrontare il problema in modo esaustivo:
- adottato un regolamento per la gestione delle segnalazioni;
- istituendo flussi informativi nei confronti dell’Organismo di Vigilanza;
- nominando uno specifico Responsabile delle segnalazioni,
- facendo formazione;
- etc;
dall’altro (gestione tutela e protezione dei dati) una visione miope e superficiale può comportare sanzioni non irrilevanti oltre che a conseguenza di natura reputazionale.
Ecco perché è fondamentale, dalla scelta del fornitore terzo, all’implementazione della parte documentale agli aspetti più tecnologici, affidarsi a professionisti interne o esterni in grado di valutare la problematica sotto innumerevoli aspetti. Ciò anche al fine di trasformare l’ennesima imposizione per le Aziende in un vantaggio competitivo e di compliance integrata.
Quello che è certo è che nei prossimi mesi:
- chi non si è dotato di un sistema di segnalazioni dovrà e potrà farlo, fin dalla progettazione, in accordo con il provvedimento di recepimento e la nuova direttiva europea in materia di whistleblowing e della tutela e protezione dei dati;
- chi, invece, ne ha già uno, a fronte anche della particolare attenzione che l’Autorità garante ha dato negli ultimi anni alla tematica, dovrà rivalutare periodicamente quanto implementato verificando gli impatti che la nuova Direttiva porterà ma anche e soprattutto i presidi adottati in materia privacy.
Intervento di:
Marco CASSARO, Avv. Responsabile Ufficio Legale & DPO di Gruppo | Kirey Group
Paola CALABRESE, Dott.ssa Privacy Specialist | Kirey Group
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Provvedimento Università degli studi di Roma La Sapienza – Garante Privacy
(1) Whistleblowing non sicuro: Università degli studi di Roma La Sapienza
(2) Ingiunzione Aeroporto Marconi di Bologna e del fornitore aiComply S.r.l.
(3) Ingiunzione Azienda Ospedaliera di Perugia e del fornitore ISWEB S.p.A.
(3) Whistleblowing senza privacy: Azienda Ospedaliera di Perugia