La nuova Direttiva UE n. 1937/2019 ha introdotto nuove misure per la protezione dei whistleblowers tanto nel settore pubblico quanto in quello privato: abbiamo introdotto l’argomento nell’articolo “Whistleblowing”: quali le novità per gli enti privati?
Come già anticipato, la Direttiva impone agli enti privati che abbiano più di 50 dipendenti – a prescindere dall’adozione o meno di un modello organizzativo 231 – di mettere in campo procedure che consentano loro di dare seguito alle segnalazioni provenienti dai segnalanti e dai facilitatori, preservandone la riservatezza: di qui la necessità che gli enti istituiscano canali di segnalazione di illeciti interni, esterni e pubblici.
Forse anche considerata la complessità organizzativa e operativa che un simile apparato “comunicativo” richiede, il legislatore europeo ha ammesso la possibilità per gli enti di ricorrere a terzi per la gestione delle segnalazioni interne, inclusi fornitori di piattaforme, a patto che siano in ogni caso rispettati i requisiti di indipendenza, riservatezza, protezione dei dati e segretezza.
Nell’ambito del whistleblowing, infatti, l’adeguata protezione dei dati personali, in particolare l’identità del segnalante, coincide con l’obbligo di garantire che essa non venga divulgata, visti i rischi di condotte ritorsive nel contesto lavorativo.
La gestione delle segnalazioni di illeciti comporta infatti da parte dell’ente un trattamento di dati personali che dovrà necessariamente essere svolto nel rispetto dei principi previsti dal Regolamento UE 679/2016. Ed infatti, in Italia, con provvedimento n.1 dell’11 gennaio 2023, l’Autorità Garante per la protezione dati ha fornito parere favorevole allo schema di decreto attuativo della Direttiva sul whistleblowing, in quanto recettivo delle indicazioni di protezione dei dati fornite in precedenza dalla medesima autorità.
L’obbligo di svolgimento della valutazione d’impatto
L’implementazione del canale per le segnalazioni degli illeciti dev’essere necessariamente anteceduta dalla valutazione d’impatto sulla protezione dei dati come prevista dall’art. 35 del GDPR (“DPIA”). Il Garante privacy ha infatti sottolineato che la gestione delle segnalazioni di illeciti presenta rischi elevati per i diritti e le libertà degli interessati. In particolare, viene reputato “elevato” – di qui l’obbligatorietà della DPIA – il rischio che si verifichino effetti ritorsivi e discriminatori a danno del segnalante qualora non siano rispettate le garanzie di segretezza previste dalla normativa di settore.
La normativa prevede infatti l’obbligo per l’ente di astenersi dal raccogliere (con immediata cancellazione in caso di raccolta accidentale) i dati personali manifestamente non utili alla gestione di una specifica segnalazione.
La scelta del fornitore della piattaforma di gestione delle segnalazioni e il principio di privacy by design
La valutazione d’impatto è finalizzata all’individuazione delle misure di sicurezza in grado di mitigare i rischi correlati al trattamento di dati svolto. Perciò, laddove l’ente decida di ricorrere a piattaforme fornite da terzi, dovrà necessariamente considerare anche le modalità di funzionamento della piattaforma e le misure di sicurezza nella stessa implementate.
A questo riguardo occorre innanzitutto precisare che, mettendo a disposizione una piattaforma di gestione delle procedure di whistleblowing, il fornitore si troverà a svolgere attività di trattamento dei dati personali per conto dell’ente, configurandosi quindi quale suo responsabile del trattamento, come previsto dall’art. 28 GDPR. Di conseguenza, l’ente/titolare dovrà ricorrere “unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a proteggere i diritti e le libertà dell'interessato”. È infatti prevista la responsabilità dell’ente/titolare per culpa in eligendo del fornitore, laddove tale scelta ricada su soggetti e prodotti non compliant al GDPR.
Il fornitore/responsabile sarà quindi chiamato a adempiere gi obblighi che la normativa pone direttamente a suo carico e ad attenersi alle istruzioni fornite dal titolare medesimo.
In particolare, il GDPR incoraggia i fornitori di prodotti, servizi e applicazioni che trattano dati personali ad implementare i principi privacy sin dalla fase del loro sviluppo e progettazione (considerando 78), così da immettere sul mercato prodotti – come le piattaforme di gestione delle segnalazioni – che raccolgono di default i soli dati necessari e che siano corredate da misure di sicurezza tecniche adeguate a proteggere i dati personali dal rischio che, nel nostro caso, ne vengano violate la riservatezza e la segretezza.
Il consiglio per gli enti è quindi quello di effettuare una valutazione delle soluzioni presenti sul mercato e di scegliere attentamente fornitori che diano evidenza dell’aderenza della piattaforma alla normativa di protezione dei dati.
Le sanzioni del Garante privacy nell’ambito del whistleblowing
Sul punto, vale la pena evidenziare che il Garante Privacy è intervenuto nell’ultimo anno con provvedimenti che hanno colpito svariate organizzazioni per violazioni in materia di whistleblowing, con riferimento alle piattaforme, ma non solo.
Tra queste, nel settore sanitario ha di recente sanzionato un’azienda ospedaliera e la società informatica che ne gestiva il servizio di whistleblowing, entrambe per 40.000 euro.
Più in dettaglio, i sistemi di accesso alla piattaforma di whistleblowing erano configurati in maniera scorretta, poiché registravano e conservavano i dati di navigazione degli utenti.
In sostanza, consentivano, in questo modo, l’identificazione di chi la utilizzava, tra cui soggetti che effettuavano le segnalazioni.
Inoltre, l’ospedale non aveva:
- fornito al personale l’informativa privacy
- inserito l’attività di whistleblowing nel registro dei trattamenti
- predisposto la valutazione di impatto
A sua volta, la società informatica che, in qualità di responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing si era avvalsa di un sub-fornitore senza dargli specifiche istruzioni sul trattamento dei dati e senza rispettare l’obbligo di informarne l’azienda ospedaliera.