L’obbligo di istituzione di un canale di whistleblowing, che si applica nei confronti di soggetti pubblici e privati, pone alcuni punti di attenzione in materia di protezione dei dati personali.
È ormai noto che con il decreto legislativo n. 24/2023 pubblicato in Gazzetta Ufficiale Serie Generale n. 63 del 15 marzo 2023 (il “Decreto”) è stata data attuazione alla Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (la “Direttiva”).
In relazione all’applicazione del Decreto, la normativa in materia di protezione dei dati personali rileva non solo per tutelare i soggetti coinvolti nel procedimento di segnalazione ma altresì in quanto il trattamento illecito di dati personali può essere oggetto di segnalazione.
La protezione dei c.d. whistleblowers, coloro che segnalano violazioni di disposizioni normative di cui siano venuti a conoscenza nel contesto lavorativo, si fonda, in primo luogo, sulla riservatezza e sulla protezione dei dati personali del segnalante.
Tali tutele, come vedremo, si estendono, ai facilitatori e alle persone coinvolte nella segnalazione oltreché al contenuto della segnalazione stessa.
I concetti di riservatezza e di protezione dei dati personali sono evidentemente tra loro interconnessi anche se differenti. La riservatezza (inteso come il diritto ad avere uno spazio personale il cui accesso è precluso ad altri individui) è, infatti, un concetto più ampio di quello di protezione dei dati personali, essendo quest’ultimo ambito di protezione oggettivamente circoscritto.
La presenza di due diversi diritti e due distinti oggetti di tutela emerge chiaramente dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, nonostante nel lessico comune, il termine privacy (che fa più propriamente riferimento al diritto alla riservatezza) viene utilizzato sia per indicare uno spazio individuale di riservatezza che per riferirsi alla protezione dei dati delle persone fisiche.
La distinzione tra questi due concetti, da un lato, e la loro frequente commistione, dall’altro, emerge perfettamente in materia di whistleblowing che impone la predisposizione di un’area protetta per il segnalante dove possa segnalare gli illeciti riscontrati senza timore di ripercussioni e, allo stesso tempo, la protezione dei dati personali del medesimo segnalante e degli ulteriori soggetti coinvolti, a vario titolo, nel procedimento.
È lo stesso Decreto a prevedere l’attivazione di canali di segnalazione interni all’organizzazione con specifiche garanzie di riservatezza (articolo 4).
Le garanzie prescritte, che sono dirette a tutelare la riservatezza dell’identità del segnalante, delle persone coinvolte e menzionate nella segnalazione nonché del contenuto della stessa, si traducono nell’adozione di misure di sicurezza che impediscano l’accidentale o illecita distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali (e non solo) trattati tramite la procedura di segnalazione.
In virtù del principio di accountability, centrale nell’assetto normativo vigente, il titolare del trattamento –tenuto all’implementazione di un canale di segnalazione interno – decide autonomamente quali misure di sicurezza adottare considerando le prescrizioni del Regolamento UE 2016/679 (il “GDPR”) e, specificamente, dell’art. 32.
L’istituzione di canali di segnalazione interni comporta ulteriori adempimenti in materia di protezione dei dati personali.
Qualora per la gestione di tale canale siano coinvolti soggetti interni all’organizzazione del titolare del trattamento, questi ultimi dovranno essere appositamente autorizzati al trattamento e, del pari, laddove tali soggetti siano esterni all’organizzazione e trattino dati personali per finalità di whistleblowing per conto del titolare, dovranno essere nominati quali responsabili del trattamento.
Nell’ottica di regolamentazione dei rapporti con i soggetti coinvolti, rileva inoltre il caso (molto frequente nella pratica) in cui ci si avvalga di fornitori di software dedicati per la gestione delle segnalazioni; anche in questo caso tali soggetti dovranno essere opportunamente incaricati dal titolare del trattamento.
Al fine di rispettare le garanzie previste dal Decreto e le prescrizioni applicabili in ambito data protection, dopo aver individuato l’identità e i ruoli dei soggetti coinvolti nella gestione del sistema whistleblowing, sarà essenziale esplicitare negli atti di autorizzazione/nomina misure di sicurezza (tecniche e organizzative) che garantiscano la riservatezza.
Fermo quanto osservato con riferimento alle garanzie di riservatezza previste dal Decreto, che costituiscono un elemento centrale della nuova disciplina al fine di incoraggiare comportamenti che possano portare alla riduzione di illeciti in ambito aziendale, è lo stesso Decreto a prevedere che l’identità del segnalante possa essere rivelata a soggetti diversi da quelli a cui è affidata la gestione della procedura di segnalazione (appositamente incaricati ai sensi della normativa privacy) previa raccolta del consenso del segnalante debitamente informato.
Gli ulteriori obblighi in materia di protezione dei dati personali gravanti sugli enti tenuti al rispetto della disciplina del whistleblowing si ricavano – oltreché dalla normativa privacy – dall’articolo 13 del Decreto.
Tali soggetti agiscono in qualità di titolari del trattamento dei dati personali relativi al ricevimento e alla gestione delle segnalazioni con i conseguenti obblighi e responsabilità.
Tra questi si segnalano l’obbligo di fornire al segnalante e alle persone coinvolte l’informativa ai sensi degli artt. 13 e 14 del GDPR, le autorizzazioni/nomine dei soggetti coinvolti nella procedura e l’aggiornamento del registro dei trattamenti di cui all’art. 30 del GDPR.
Per altro verso, in materia di whistleblowing è di centrale importanza, per espressa previsione normativa, il principio di minimizzazione dei dati: il trattamento deve essere limitato a quanto strettamente necessario per la gestione della procedura di segnalazione.
Ulteriore tratto peculiare della materia concerne l’esercizio dei diritti degli interessati che sono limitati qualora dal loro esercizio possa derivare un pregiudizio effettivo e concreto alla riservatezza dell’identità del segnalante.
Inoltre, l’articolo 13 del Decreto prevede che chiunque debba adottare un sistema di gestione delle segnalazioni abbia l’obbligo di effettuare una valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 del GDPR: in questo caso la verifica dei presupposti che rendono necessaria tale valutazione – normalmente rimessa al titolare del trattamento – è stata compiuta a priori dal legislatore nazionale.
Il Decreto contiene un’ulteriore utile indicazione per i soggetti destinatari della disciplina in materia di whistleblowing prevedendo che le segnalazioni e la relativa documentazione non possano essere conservati per un periodo di tempo superiore a cinque anni decorrenti dalla comunicazione dell’esito finale della procedura. Elemento che non potrà mancare nell’informativa privacy per trattamenti per finalità di whistleblowing.
Al fine di impedire che le segnalazioni di illeciti siano frenate dal timore dei whistleblowers di commettere una violazione in materia di protezione dei dati personali, è previsto che qualora la segnalazione si fondi su trattamento di dati personali ai quali i whistleblowers non erano autorizzati ad accedere, siano esonerati da responsabilità ai sensi dell’art. 167 del Codice Privacy a condizione che non via sia dolo specifico o nocumento all’interessato.
L’adozione di sistemi di segnalazione di illeciti è da tempo oggetto dell’attenzione del Garante per la Protezione dei Dati Personali (il “Garante”) di cui si segnalano i provvedimenti nn. 134 e 135 del 7 aprile 2022.
Dall’esame dei provvedimenti è possibile constatare l’importanza che riveste per gli enti destinatari della normativa in materia di whistleblowing considerare, sin dalla progettazione del sistema di segnalazione, le implicazioni in materia di protezione dei dati personali.
Con il primo, emesso nei confronti di un’azienda ospedaliera, il Garante ha rilevato: l’assenza di informativa agli interessati, il mancato aggiornamento del registro dei trattamenti, la presenza del tracciamento degli accessi all’applicativo utilizzato per le segnalazioni, l’inidoneità della gestione delle credenziali di autenticazione per l’applicativo e l’assenza di una valutazione di impatto sulla protezione dei dati personali. Dopo aver constatato l’illiceità del trattamento, il Garante ha irrogato all’azienda ospedaliera una sanzione amministrativa pari ad € 40.0000.
Con il secondo, emesso questa volta nei confronti di un soggetto che fornisce e gestisce l’applicativo utilizzato per l’acquisizione delle segnalazioni di condotte illecite (fornitore peraltro della stessa azienda ospedaliera destinataria del precedente provvedimento citato), il Garante ha rilevato la carenza di regolamentazione del rapporto con il fornitore del servizio di hosting dei sistemi informatici che ospitano l’applicativo whistleblowing, sia per i trattamenti effettuati in qualità di titolare che di responsabile del trattamento. Anche in questo caso il Garante ha ingiunto al fornitore dell’applicativo per la segnalazione degli illeciti una sanzione amministrativa pecuniaria pari ad € 40.000.
Il Decreto ha avuto il merito di sgombrare il campo da potenziali dubbi in merito agli adempimenti privacy da adottare nella gestione di un sistema di segnalazione di illeciti. Questo benché, a onore del vero, anche prima dell’entrata in vigore del Decreto, era evidente come l’implementazione di un tale sistema non potesse avvenire senza la considerazione delle implicazioni in ambito di data protection, come puntualmente rilevato dal Garante nei provvedimenti esaminati.
Il costante interessamento del Garante in materia di whistleblowing trova conferma nel parere positivo espresso con riferimento allo schema del Decreto adottato dal legislatore nazionale per dare – tardivamente – attuazione alla Direttiva.
In definitiva, l’adempimento degli obblighi in materia di protezione dei dati personali dovrà essere valutato dai soggetti tenuti ad istituire un canale di segnalazione interno delle violazioni, sin dalla progettazione, consideratone l’importanza per la tutela del segnalante (e degli ulteriori soggetti coinvolti) e per la compliance aziendale.