Con l’entrata in vigore del d.lgs. n. 24/2023 a partire dal 15 luglio, sono state introdotte le nuove disposizioni sul whistleblowing, di cui abbiamo già parlato in questa rubrica.
Tutti i DPO degli Enti locali saranno interessati a questa nuova normativa, sotto un duplice punto di vista: da un lato, perché dovranno attuare misure tecniche ed organizzative per la tutela dei dati personali, da includere ed integrare nei modelli organizzativi privacy previsti all’interno degli Enti di competenza; dall’altro, perché la normativa del whistleblowing potrebbe interessare anche illeciti riguardanti la sfera dei dati personali.
Whistleblowing: le indicazioni per gli Enti locali
In questo articolo cercheremo quindi di fare chiarezza sulla normativa, riassumendo quanto già affrontato in precedenza ed aggiungendo utili indicazioni per gli Enti locali per affrontare la nuova sfida della gestione del whistleblowing in rapporto ai dati personali.
Ricordiamo brevemente il significato e la ratio del whistleblowing, che deriva da un termine anglosassone (il whistleblower è letteralmente il “soffiatore di fischietto”) e definisce il dipendente pubblico che segnala comportamenti o situazioni irregolari non di interesse personale, di cui è venuto a conoscenza a causa del suo ruolo di dipendente dell’amministrazione o del fornitore dell’azienda pubblica.
La nuova legge sul whistleblowing appena entrata in vigore, dopo un lungo iter, prevede la sua applicabilità a tutti i soggetti, pubblici e privati, indipendentemente dall’adozione del modello organizzativo 231/2001 (modello per la prevenzione degli illeciti dell’Ente, cioè la legge sulla responsabilità per fatto illecito delle persone giuridiche) e i lavoratori avranno tre canali (interno, esterno e pubblico) per segnalare gli illeciti.
La procedura potrà prevedere quattro modalità di segnalazione:
- la forma scritta;
- la forma orale, con un incontro di persona con personale addetto;
- attraverso linee telefoniche o altri sistemi di messaggistica vocale registrati o non registrati (in questo ultimo caso le conversazioni dovranno essere trascritte e firmate);
- tramite la piattaforma informatica messa a disposizione da ANAC (Autorità Nazionale Anti Corruzione) per la segnalazione esterna.
Tutti i whistleblower, che siano dipendenti o collaboratori, lavoratori autonomi o subordinati, liberi professionisti, volontari, tirocinanti (anche non retribuiti) hanno diritto alle tutele previste dal decreto.
In pratica, non possono, per il fatto di aver segnalato un illecito, subire ritorsioni di alcun tipo, tra cui:
- il licenziamento, la sospensione;
- la retrocessione di grado o la mancata promozione;
- il mutamento di funzioni, il cambiamento del luogo di lavoro, la riduzione dello stipendio, la modifica dell’orario di lavoro;
- la sospensione della formazione;
- le note di merito negative;
- l’adozione di misure disciplinari o di altra sanzione anche pecuniaria;
- la coercizione, l’intimidazione, le molestie o l’ostracismo;
- la discriminazione o comunque il trattamento sfavorevole;
- la mancata conversione di un contratto di lavoro a termine in un contratto di lavoro a tempo indeterminato, laddove il lavoratore avesse una legittima aspettativa a detta conversione;
- il mancato rinnovo o la risoluzione anticipata di un contratto di lavoro a termine;
- i danni, anche alla reputazione della persona, in particolare sui social media, o i pregiudizi economici o finanziari, comprese la perdita di opportunità economiche e la perdita di redditi;
- l’annullamento di una licenza o di un permesso;
- la richiesta di sottoposizione ad accertamenti psichiatrici o medici.
In ogni caso, sarà onere dell’Ente prevedere una apposita procedura per tutelare la riservatezza dei segnalatori e del contenuto della segnalazione, procedura che include anche l’effettuazione di una valutazione di impatto (DPIA, Data Protection Impact Assesment) ex art. 35 del GDPR. La valutazione di impatto è un adempimento formale oneroso per gli Enti, soprattutto per le pubbliche amministrazioni di dimensioni più modeste.
La valutazione sensi del GDPR dovrà contenere, come previsto dal dettato normativo:
- una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
- una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
- la valutazione dei rischi per i diritti e le libertà fondamentali degli interessati:
- le misure di sicurezza previste dal titolare per minimizzare i rischi e presidiarli.
La gestione del canale interno di segnalazione potrà essere affidata a una persona o a un ufficio interno – con personale specificamente formato – oppure a un consulente esterno. La protezione dei whistleblowers prevede tra l’altro il divieto di rivelarne l’identità senza il suo consenso a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni ed anche nell’ambito di procedimenti disciplinari a carico del segnalato.
Il whistleblowing e la tutela dei dati personali
Per quanto riguarda il trattamento dei dati, oltre al citato obbligo di DPIA, il decreto prevede:
- l’obbligo di informativa in capo ai soggetti che attivano i canali di segnalazione interni, Titolari del trattamento;
- la necessità di un accordo interno ai sensi dell’art. 26 GDPR per i soggetti che “condividono risorse per il ricevimento e la gestione delle segnalazioni”;
- la necessità di nomina a responsabile esterno di eventuali fornitori che trattano dati personali per loro conto.
In pratica che cosa sarà obbligatorio fare per gli Enti?
A far data dal 15 luglio, quindi, gli Enti pubblici e privati interessati dalla nuova normativa dovranno quindi attivare al proprio interno i processi aziendali necessari per dare attuazione al decreto, in particolare:
- effettuare una valutazione di impatto (Data Protection Impact Assesment) sul trattamento;
- attivare il canale di segnalazione interno;
- attuare le tutele in ambito di protezione dei dati (di concerto con il DPO);
- elaborare e portare a conoscenza di tutti i dipendenti una procedura che illustri gli illeciti da segnalare e le varie modalità per farlo;
- nominare e formare adeguatamente il personale interno (o il consulente esterno) incaricato della gestione del canale di segnalazione.
Gli illeciti riguardanti i dati personali
Come accennato in apertura, la nuova normativa esplicitamente include le violazioni riguardanti la tutela della vita privata e della protezione dei dati personali come oggetto di segnalazione (art. 2 comma 1.a.3). Inoltre, nonostante la brevità delle norme attualmente in vigore, non viene esclusa la possibilità di segnalazioni relative a violazioni della privacy.
Quali segnalazioni relative alla privacy potrebbero essere veicolate tramite il whistleblowing?
A titolo esemplificativo, si potrebbero ipotizzare i seguenti casi in cui, grazie alle protezioni previste dal whistleblowing, un soggetto legittimato potrebbe segnalare violazioni relative a:
- Trattamento illecito di dati personali previsti come reato nel Codice privacy.
- Trattamento di dati personali sensibili per presunti motivi di interesse pubblico che non rientrano nelle previsioni dell’art. 2-sexies del Codice privacy.
- Trattamento di dati personali relativi al rapporto di lavoro in modo non conforme alla normativa sulla privacy.
- Mancanze nell’organizzazione della privacy (ad esempio, mancata o irregolare nomina del Responsabile della Protezione dei Dati nel settore pubblico e privato, mancata emissione di informative sui trattamenti effettuati, sistemi informativi non protetti, mancata cancellazione dei dati personali nei tempi previsti, divulgazione dei dati a terzi in assenza di adeguati accordi con paesi extra-UE, ecc.).
- Inadeguatezza delle modalità di gestione del whistleblowing (canali di comunicazione, gestione delle segnalazioni, tutela della riservatezza, ecc.) che non garantiscono la protezione del segnalante.
Certamente, alcune delle situazioni ipotizzate potrebbero riguardare direttamente l’individuo, ma la loro rilevanza generale renderebbe comunque possibile la segnalazione tramite whistleblowing. Una volta effettuata la segnalazione, questa verrà trattata secondo le indicazioni del whistleblowing e delle Linee guida dell’ANAC (che, in base al decreto, dovrà emanare ulteriori Linee guida per le segnalazioni esterne).
È evidente che la valutazione delle segnalazioni potrebbe portare a situazioni che non possono essere risolte internamente all’organizzazione, e quindi la questione dovrebbe essere sottoposta alle Autorità competenti in base alla loro natura. In generale, anche il Garante per la protezione dei dati personali potrebbe essere coinvolto se la competenza fosse considerata di sua pertinenza o se la questione venisse segnalata all’Autorità Garante tramite un canale esterno e riguardasse le fattispecie penali menzionate in precedenza.
Inoltre, il ricorso alle segnalazioni potrebbe comportare ulteriori complessità:
- Segnalazioni esterne, coinvolgendo l’ANAC (come previsto nell’art. 54-bis, comma 1 del d.lgs. 165/2001 e in base alle future Linee guida), che potrebbe trasmettere la segnalazione ad altre Autorità competenti (tra cui potrebbe figurare anche il Garante per la protezione dei dati personali).
- Segnalazioni pubbliche, che dovrebbero avere un carattere residuale e potrebbero comportare una perdita della riservatezza per l’interessato (tuttavia, se la segnalazione viene effettuata attraverso giornalisti, la protezione del segreto professionale in relazione alla fonte della notizia viene mantenuta), ma rimangono in vigore le protezioni dalle ritorsioni, le limitazioni di responsabilità e le misure di sostegno previste dal decreto 24/2023.
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento