{"id":9183,"date":"2023-05-02T11:30:27","date_gmt":"2023-05-02T09:30:27","guid":{"rendered":"https:\/\/www.leexe.it\/?p=9183"},"modified":"2023-05-02T11:34:19","modified_gmt":"2023-05-02T09:34:19","slug":"tutti-pronti-al-whistleblowing","status":"publish","type":"post","link":"https:\/\/www.leexe.it\/en\/tutti-pronti-al-whistleblowing\/","title":{"rendered":"Tutti pronti al \u201cwhistleblowing\u201d?"},"content":{"rendered":"\t\t
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

L\u2019obbligo di istituzione di un canale di whistleblowing, che si applica nei confronti di soggetti pubblici e privati, pone alcuni punti di attenzione in materia di protezione dei dati personali.<\/strong><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

\u00c8 ormai noto che con il decreto legislativo n. 24\/2023 pubblicato in Gazzetta Ufficiale Serie Generale n. 63 del 15 marzo 2023 (il \u201cDecreto<\/strong>\u201d) \u00e8 stata data attuazione alla Direttiva (UE) 2019\/1937 del Parlamento europeo e del Consiglio riguardante la protezione delle persone che segnalano violazioni del diritto dell\u2019Unione (la \u201cDirettiva<\/strong>\u201d).<\/p>

In relazione all\u2019applicazione del Decreto, la normativa in materia di protezione dei dati personali rileva non solo per tutelare i soggetti coinvolti nel procedimento di segnalazione ma altres\u00ec in quanto il trattamento illecito di dati personali pu\u00f2 essere oggetto di segnalazione.<\/p>

La protezione dei c.d. whistleblowers, coloro che segnalano violazioni di disposizioni normative di cui siano venuti a conoscenza nel contesto lavorativo, si fonda, in primo luogo, sulla riservatezza e sulla protezione dei dati personali del segnalante.<\/p>

Tali tutele, come vedremo, si estendono, ai facilitatori e alle persone coinvolte nella segnalazione oltrech\u00e9 al contenuto della segnalazione stessa.<\/p>

I concetti di riservatezza e di protezione dei dati personali sono evidentemente tra loro interconnessi anche se differenti. La riservatezza (inteso come il diritto ad avere uno spazio personale il cui accesso \u00e8 precluso ad altri individui) \u00e8, infatti, un concetto pi\u00f9 ampio di quello di protezione dei dati personali, essendo quest\u2019ultimo ambito di protezione oggettivamente circoscritto.<\/p>

La presenza di due diversi diritti e due distinti oggetti di tutela emerge chiaramente dagli articoli 7 e 8 della Carta dei diritti fondamentali dell\u2019Unione europea, nonostante nel lessico comune, il termine privacy (che fa pi\u00f9 propriamente riferimento al diritto alla riservatezza) viene utilizzato sia per indicare uno spazio individuale di riservatezza che per riferirsi alla protezione dei dati delle persone fisiche.<\/p>

La distinzione tra questi due concetti, da un lato, e la loro frequente commistione, dall\u2019altro, emerge perfettamente in materia di whistleblowing che impone la predisposizione di un\u2019area protetta per il segnalante dove possa segnalare gli illeciti riscontrati senza timore di ripercussioni e, allo stesso tempo, la protezione dei dati personali del medesimo segnalante e degli ulteriori soggetti coinvolti, a vario titolo, nel procedimento.<\/p>

\u00c8 lo stesso Decreto a prevedere l\u2019attivazione di canali di segnalazione interni all\u2019organizzazione con specifiche garanzie di riservatezza (articolo 4).<\/p>

Le garanzie prescritte, che sono dirette a tutelare la riservatezza dell\u2019identit\u00e0 del segnalante, delle persone coinvolte e menzionate nella segnalazione nonch\u00e9 del contenuto della stessa, si traducono nell\u2019adozione di misure di sicurezza che impediscano l\u2019accidentale o illecita distruzione, perdita, modifica, divulgazione non autorizzata o l\u2019accesso ai dati personali (e non solo) trattati tramite la procedura di segnalazione.<\/p>

In virt\u00f9 del principio di accountability, centrale nell\u2019assetto normativo vigente, il titolare del trattamento \u2013tenuto all\u2019implementazione di un canale di segnalazione interno \u2013 decide autonomamente quali misure di sicurezza adottare considerando le prescrizioni del Regolamento UE 2016\/679 (il \u201cGDPR<\/strong>\u201d) e, specificamente, dell\u2019art. 32.<\/p>

L\u2019istituzione di canali di segnalazione interni comporta ulteriori adempimenti in materia di protezione dei dati personali.<\/p>

Qualora per la gestione di tale canale siano coinvolti soggetti interni all\u2019organizzazione del titolare del trattamento, questi ultimi dovranno essere appositamente autorizzati al trattamento e, del pari, laddove tali soggetti siano esterni all\u2019organizzazione e trattino dati personali per finalit\u00e0 di whistleblowing per conto del titolare, dovranno essere nominati quali responsabili del trattamento.<\/p>

Nell\u2019ottica di regolamentazione dei rapporti con i soggetti coinvolti, rileva inoltre il caso (molto frequente nella pratica) in cui ci si avvalga di fornitori di software dedicati per la gestione delle segnalazioni; anche in questo caso tali soggetti dovranno essere opportunamente incaricati dal titolare del trattamento.<\/p>

Al fine di rispettare le garanzie previste dal Decreto e le prescrizioni applicabili in ambito data protection, dopo aver individuato l\u2019identit\u00e0 e i ruoli dei soggetti coinvolti nella gestione del sistema whistleblowing, sar\u00e0 essenziale esplicitare negli atti di autorizzazione\/nomina misure di sicurezza (tecniche e organizzative) che garantiscano la riservatezza.<\/p>

Fermo quanto osservato con riferimento alle garanzie di riservatezza previste dal Decreto, che costituiscono un elemento centrale della nuova disciplina al fine di incoraggiare comportamenti che possano portare alla riduzione di illeciti in ambito aziendale, \u00e8 lo stesso Decreto a prevedere che l\u2019identit\u00e0 del segnalante possa essere rivelata a soggetti diversi da quelli a cui \u00e8 affidata la gestione della procedura di segnalazione (appositamente incaricati ai sensi della normativa privacy) previa raccolta del consenso del segnalante debitamente informato.<\/p>

Gli ulteriori obblighi in materia di protezione dei dati personali gravanti sugli enti tenuti al rispetto della disciplina del whistleblowing si ricavano \u2013 oltrech\u00e9 dalla normativa privacy \u2013 dall\u2019articolo 13 del Decreto.<\/p>

Tali soggetti agiscono in qualit\u00e0 di titolari del trattamento dei dati personali relativi al ricevimento e alla gestione delle segnalazioni con i conseguenti obblighi e responsabilit\u00e0.<\/p>

Tra questi si segnalano l\u2019obbligo di fornire al segnalante e alle persone coinvolte l\u2019informativa ai sensi degli artt. 13 e 14 del GDPR, le autorizzazioni\/nomine dei soggetti coinvolti nella procedura e l\u2019aggiornamento del registro dei trattamenti di cui all\u2019art. 30 del GDPR.<\/p>

Per altro verso, in materia di whistleblowing \u00e8 di centrale importanza, per espressa previsione normativa, il principio di minimizzazione dei dati: il trattamento deve essere limitato a quanto strettamente necessario per la gestione della procedura di segnalazione.<\/p>

Ulteriore tratto peculiare della materia concerne l\u2019esercizio dei diritti degli interessati che sono limitati qualora dal loro esercizio possa derivare un pregiudizio effettivo e concreto alla riservatezza dell\u2019identit\u00e0 del segnalante.<\/p>

Inoltre, l\u2019articolo 13 del Decreto prevede che chiunque debba adottare un sistema di gestione delle segnalazioni abbia l\u2019obbligo di effettuare una valutazione di impatto<\/strong> sulla protezione dei dati ai sensi dell\u2019art. 35 del GDPR: in questo caso la verifica dei presupposti che rendono necessaria tale valutazione \u2013 normalmente rimessa al titolare del trattamento \u2013 \u00e8 stata compiuta a priori dal legislatore nazionale.<\/p>

Il Decreto contiene un\u2019ulteriore utile indicazione per i soggetti destinatari della disciplina in materia di whistleblowing prevedendo che le segnalazioni e la relativa documentazione non possano essere conservati per un periodo di tempo superiore a cinque anni decorrenti dalla comunicazione dell\u2019esito finale della procedura. Elemento che non potr\u00e0 mancare nell\u2019informativa privacy per trattamenti per finalit\u00e0 di whistleblowing.<\/p>

Al fine di impedire che le segnalazioni di illeciti siano frenate dal timore dei whistleblowers di commettere una violazione in materia di protezione dei dati personali, \u00e8 previsto che qualora la segnalazione si fondi su trattamento di dati personali ai quali i whistleblowers non erano autorizzati ad accedere, siano esonerati da responsabilit\u00e0 ai sensi dell\u2019art. 167 del Codice Privacy<\/strong> a condizione che non via sia dolo specifico o nocumento all\u2019interessato.<\/p>

L\u2019adozione di sistemi di segnalazione di illeciti \u00e8 da tempo oggetto dell\u2019attenzione del Garante per la Protezione dei Dati Personali (il \u201cGarante<\/strong>\u201d) di cui si segnalano i provvedimenti nn. 134 e 135 del 7 aprile 2022.<\/p>

Dall\u2019esame dei provvedimenti \u00e8 possibile constatare l\u2019importanza che riveste per gli enti destinatari della normativa in materia di whistleblowing considerare, sin dalla progettazione del sistema di segnalazione, le implicazioni in materia di protezione dei dati personali.<\/p>

Con il primo, emesso nei confronti di un\u2019azienda ospedaliera, il Garante ha rilevato: l\u2019assenza di informativa agli interessati, il mancato aggiornamento del registro dei trattamenti, la presenza del tracciamento degli accessi all\u2019applicativo utilizzato per le segnalazioni, l\u2019inidoneit\u00e0 della gestione delle credenziali di autenticazione per l\u2019applicativo e l\u2019assenza di una valutazione di impatto sulla protezione dei dati personali. Dopo aver constatato l\u2019illiceit\u00e0 del trattamento, il Garante ha irrogato all\u2019azienda ospedaliera una sanzione amministrativa pari ad \u20ac 40.0000.<\/p>

Con il secondo, emesso questa volta nei confronti di un soggetto che fornisce e gestisce l\u2019applicativo utilizzato per l\u2019acquisizione delle segnalazioni di condotte illecite (fornitore peraltro della stessa azienda ospedaliera destinataria del precedente provvedimento citato), il Garante ha rilevato la carenza di regolamentazione del rapporto con il fornitore del servizio di hosting dei sistemi informatici che ospitano l\u2019applicativo whistleblowing, sia per i trattamenti effettuati in qualit\u00e0 di titolare che di responsabile del trattamento. Anche in questo caso il Garante ha ingiunto al fornitore dell\u2019applicativo per la segnalazione degli illeciti una sanzione amministrativa pecuniaria pari ad \u20ac 40.000.<\/p>

Il Decreto ha avuto il merito di sgombrare il campo da potenziali dubbi in merito agli adempimenti privacy da adottare nella gestione di un sistema di segnalazione di illeciti. Questo bench\u00e9, a onore del vero, anche prima dell\u2019entrata in vigore del Decreto, era evidente come l\u2019implementazione di un tale sistema non potesse avvenire senza la considerazione delle implicazioni in ambito di data protection<\/em>, come puntualmente rilevato dal Garante nei provvedimenti esaminati.<\/p>

Il costante interessamento del Garante in materia di whistleblowing trova conferma nel parere positivo espresso con riferimento allo schema del Decreto adottato dal legislatore nazionale per dare \u2013 tardivamente \u2013 attuazione alla Direttiva.<\/p>

In definitiva, l\u2019adempimento degli obblighi in materia di protezione dei dati personali dovr\u00e0 essere valutato dai soggetti tenuti ad istituire un canale di segnalazione interno delle violazioni, sin dalla progettazione, consideratone l\u2019importanza per la tutela del segnalante (e degli ulteriori soggetti coinvolti) e per la compliance aziendale.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

L’obbligo di istituzione di un canale di whistleblowing, che si applica nei confronti di soggetti pubblici e privati, pone alcuni punti di attenzione in materia di protezione dei dati personali. \u00c8 ormai noto che con il decreto legislativo n. 24\/2023 pubblicato in Gazzetta Ufficiale Serie Generale n. 63 del 15 marzo 2023 (il \u201cDecreto\u201d) \u00e8 […]<\/p>\n","protected":false},"author":10,"featured_media":9188,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"none","_seopress_titles_title":"Protezione Dati Personali e Whistleblowing: Regolamentazione e Misure di Sicurezza","_seopress_titles_desc":"Scopri come proteggere i dati personali per l';istituzione di canali di whistleblowing obbligatori imposti da una legislazione recente. Leggi di come un titolare di trattamento pu\u00f2 garantire la tutela dei c.d. whistleblowers e di altre persone coinvolte nelle segnalazioni.","_seopress_robots_index":"","iawp_total_views":11,"footnotes":""},"categories":[],"tags":[],"class_list":["post-9183","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry"],"_links":{"self":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts\/9183","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/comments?post=9183"}],"version-history":[{"count":0,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/posts\/9183\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/media\/9188"}],"wp:attachment":[{"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/media?parent=9183"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/categories?post=9183"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.leexe.it\/en\/wp-json\/wp\/v2\/tags?post=9183"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}