Data Protection e Whistleblowing: gli aspetti privacy da adeguareArticolo a cura di Alessandra D'Andrea, Manager di Macfin Group
- 27 Novembre, 2023
Whistleblowing: adeguare gli aspetti privacy
-
Integrare il framework di data protection
- Revisionare ed integrare l’organigramma privacy
- Condurre una valutazione di impatto (DPIA)
Gli adempimenti GDPR
L’introduzione per i soggetti pubblici e privati dei nuovi obblighi in materia di Whistleblowing estende i propri effetti anche all’ambito della Data Protection.
Il D.Lgs. 24/2023 richiede infatti ai Titolari del trattamento dei dati personali di predisporre un’informativa ad hoc verso gli interessati, nominare dei preposti al trattamento dei dati, formalizzare una procedura organizzativa per la gestione delle segnalazioni, implementare ulteriori e specifiche misure di sicurezza, e altro ancora.
Cerchiamo quindi di fare un po’ d’ordine: se volessimo categorizzare gli adempimenti richiesti dal D.Lgs. 24/2023 potremmo raggrupparli in 3 principali ambiti:
- Integrazione del framework di data protection
- Revisione ed integrazione dell’organigramma privacy
- Conduzione di una valutazione di impatto (DPIA)
Il framework di Data Protection
Il D. Lgs. 24/2023, come sappiamo, amplia il novero dei possibili segnalanti travalicando i confini aziendali e aprendo a soggetti esterni (ad esempio fornitori, partner commerciali, ex dipendenti, candidati) e richiede ai Titolari del trattamento di rendere ex ante ai possibili interessati – interni ed esterni all’organizzazione – un’idonea informativa sul trattamento dei dati personali, che disciplini tra gli altri:
- la finalità del trattamento e la base giuridica del trattamento
- le modalità del trattamento
- i soggetti che gestiscono i dati (ad esempio: ufficio preposto alla gestione delle segnalazioni, Organismo di Vigilanza, Responsabili esterni)
- il periodo di conservazione dei dati personali
Sulla base delle esperienze sul campo, ho constatato che le organizzazioni si sono attivate per “sanare“ eventuali gap che avessero un impatto verso l’esterno, in primis revisionando le informative e rendendole facilmente accessibili, ad esempio in una sezione dedicata del sistema informatico adottato per l’acquisizione e gestione delle segnalazioni.
Rispetto al periodo di data retention, il D.Lgs. 24/2023, prevede che le segnalazioni interne ed esterne, nonché la relativa documentazione, debba essere conservata nel rispetto del principio di limitazione della conservazione, per un periodo non superiore a 5 anni dalla data dell’esito finale della procedura di segnalazione. I dati non utili devono essere immediatamente cancellati, nel rispetto dei principi di finalità e minimizzazione del trattamento.
Altri aspetti da considerare, conseguenti ai primi rappresentati, sono:
- l’aggiornamento del registro delle attività di trattamento nel quale va censito, al pari degli altri trattamenti dei dati personali, anche quello relativo al ricevimento e alla gestione delle segnalazioni
- il divieto di tracciamento dei canali di segnalazione, e ove possibile, il tracciamento dell’attività del personale autorizzato nel rispetto delle garanzie a tutela del segnalante.
- Le misure di sicurezza per tutelare la riservatezza delle informazioni, prevedendo l’individuazione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi del trattamento e promuovendo anche il ricorso a strumenti di crittografia.
L’Organigramma Privacy
La normativa sul Whistleblowing prevede l’obbligo di riservatezza dei dati del segnalante e impone quindi l’adozione di specifiche nomine ai soggetti che partecipano al processo di gestione della segnalazione.
La nomina riguarda sia soggetti interni all’Ente – si pensi all’ufficio dedicato alla gestione delle segnalazioni – sia soggetti esterni, ad esempio possibili outsourcer.
Secondo le Linee Guida ANAC occorre considerare l’assetto organizzativo interno di ogni ente in modo da prevedere che le autorizzazioni al trattamento dei dati siano tali da ricomprendere tutte le persone che sono coinvolte nella gestione delle segnalazioni.
I soggetti autorizzati al trattamento dei dati devono possedere adeguate competenze, anche in materia di normativa sulla protezione dei dati personali, sicurezza dei dati e delle informazioni, nonché in tema di addestramento relativamente alle procedure predisposte, ricevendo un’adeguata e specifica formazione professionale volta ad accrescerne le competenze specialistiche
Nel caso di adozione di specifica piattaforma per le segnalazioni, il responsabile del trattamento potrà essere individuato nel fornitore della medesima, anche se non ha visibilità sui dati gestiti. Infatti, si configura un trattamento ogni qualvolta si compie un’operazione con o senza l’ausilio di processi automatizzati e applicate a dati personali, quali ad esempio: la raccolta, la registrazione, l’organizzazione, la conservazione, la modifica, l’estrazione, la consultazione, la diffusione o la cancellazione.
La valutazione d’impatto (DPIA)
I soggetti destinatari della normativa, come indicato dalla disciplina Whistleblowing, devono adottare le misure idonee a proteggere i dati personali dei segnalanti sulla base di una valutazione d’impatto.
In particolare, il Garante chiarisce che, i titolari del trattamento devono definire il proprio modello di ricevimento e gestione delle segnalazioni svolgendo una valutazione d’impatto sulla protezione dei dati, considerato che il trattamento dei dati mediante i sistemi di gestione delle segnalazioni presenta rischi specifici per i diritti e le libertà degli interessati, in ragione dei seguenti aspetti:
- la delicatezza delle informazioni trattate
- la vulnerabilità degli interessati nel contesto lavorativo
- lo specifico regime di riservatezza dell’identità del segnalante
La valutazione d’impatto deve anche prendere in considerazione i rischi inerenti ai fornitori che partecipano al processo di segnalazione.
L’applicazione del GDPR implica una preventiva analisi circa le garanzie offerte dai responsabili del trattamento, quali l’adozione di misure specifiche, fra cui la protezione da trattamenti non autorizzati o illeciti, dalla perdita, distruzione o danno accidentali. L’onere di verificare che sussistano dette misure ricade sul Titolare del trattamento.
I rischi e le sanzioni
Infine, in tema di regime sanzionatorio, le Linee Guida ANAC distinguono – per le varie fattispecie – tra persona fisica e giuridica ritenuta responsabile e quindi destinataria della sanzione:
- nelle ipotesi di mancata istituzione del canale, mancata adozione delle procedure o adozione di procedure non conformi, il responsabile è individuato nell’organo di indirizzo
- nelle ipotesi in cui non sia stata svolta l’attività di verifica e analisi delle segnalazioni ricevute, nonché quando sia stato violato l’obbligo di riservatezza, il responsabile è il gestore delle segnalazioni, ovvero la persona fisica. Pertanto, eventuali inadempimenti prevedono l’applicazione delle sanzioni sancite da Contratto Collettivo Nazionale applicabile.
Inoltre, l’azienda che non applica il GDPR nella fase di progettazione e implementazione del sistema Whistleblowing rischia una pesante sanzione economica, con multe fino a 20 Milioni di Euro o al 4% del fatturato annuo.
Contenuti correlati
Alessandra D'Andrea
Manager
RICHIEDI UN INCONTRO
Desideri avere maggiori informazioni o richiedere un incontro con i nostri consulenti?