La nuova disciplina del “whistleblowing”, dettata dal D.lgs. del 10 marzo 2023 n. 24, pone particolare attenzione alla tutela della privacy e della riservatezza prevendendo una serie di misure orientate alla protezione dei dati personali.
Tra queste, c’è la DPIA citata specificamente nell’art. 13 co. 6 il quale recita che: “I soggetti di cui all’articolo 4 definiscono il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base di una valutazione d’impatto sulla protezione dei dati, e disciplinando il rapporto con eventuali fornitori esterni che trattano dati personali per loro conto ai sensi dell’articolo 28 del regolamento (UE) 2016/679 o dell’articolo 18 del decreto legislativo n. 51 del 2018”.
Whistleblowing, è obbligatoria la DPIA: quali impatti per le aziende
Indice degli argomenti
La DPIA nella nuova disciplina del whistleblowing
La DPIA è uno degli elementi di maggiore rilevanza nella disciplina europea sul trattamento dei dati personali perché esprime chiaramente la responsabilizzazione (“accountability”) dei titolari nei confronti dei trattamenti da questi effettuati.
Tale sofisticata misura, richiamata dal GDPR all’articolo 35, deve essere concepita da chi all’interno dell’organizzazione è incaricato ad implementare l’applicazione di tale decreto ossia il Titolare del trattamento. D’altro canto, in presenza di un DPO, il Titolare è supportato da quest’ultimo con lo scopo di valutare tale documento e validare il processo.
La DPIA dev’essere interpretata come una valutazione del trattamento afferente al processo di segnalazione il quale prevede almeno due canali, quello orale e quello scritto, come riportato anche dalle Linee Guida dell’ANAC adottate con delibera n. 311 del 12 luglio 2023 (rif. 3.1. “I canali interni”); si riscontra che in molti contesti la DPIA viene limitata alla mera piattaforma che di fatto costituisce una parte del trattamento messo in opera dal Titolare.
Non di meno anche all’interno della Guida operativa di Confindustria del 27 ottobre 2023 viene chiarito che “la scelta della modalità attraverso la quale effettuare la segnalazione tra quella scritta od orale, riguarda il segnalante. Per l’impresa, invece, è obbligatorio predisporre sia il canale scritto – analogico e/o informatico – che quello orale, dovendo mettere entrambi a disposizione del segnalante. L’alternatività riguarda, quindi, solo la forma scritta: l’impresa potrà decidere se utilizzare lo strumento della piattaforma on-line oppure optare per la posta cartacea (in via esemplificativa, prevedendo il ricorso a lettere raccomandate)”.
La differenza è sostanziale: la DPIA della piattaforma (ammesso che l’organizzazione abbia deciso di scegliere una piattaforma come canale scritto ed eventualmente orale) è da considerare come un elemento in ingresso alla DPIA dell’organizzazione che deve esaminare l’intero processo di gestione dei dati anche oltre la piattaforma stessa e soprattutto oltre il mero canale di segnalazione scritto.
Alcuni elementi di criticità
Il flusso dei dati in molti casi potrebbe fuoriuscire dal portale per ovvi motivi si pensi alle attività istruttorie utili a dar seguito alle segnalazioni, comprensive di audizioni e/o acquisizioni documentali. Non solo la stessa modalità di segnalazione orale potrebbe portare alla redazione di documenti comprovanti l’identità dell’interessato piuttosto che dei segnalati o terzi.
Tutti questi dati personali possono non essere contenuti esclusivamente all’interno della piattaforma ma anzi, circolare materializzati o dematerializzati all’interno dell’organizzazione innescando un trattamento di dati personali ad alto rischio che dev’essere considerato in una DPIA e se del caso, attenuato con misure adeguate.
Il trattamento dei dati con modalità di tipo verbale
Un ulteriore elemento di criticità è rappresentato dal trattamento con modalità di tipo verbale, per la cui verbalizzazione è richiesto il consenso del segnalante come richiede il Decreto.
Tale modalità, per quanto non citata mai dal GDPR è invece considerata dalla Linea Guida UNI CEI EN ISO/IEC 27002:2023 “Sicurezza delle informazioni, cybersecurity e protezione della privacy – Controlli di sicurezza delle informazioni” e nello specifico nel controllo 5.14 “trasferimento delle informazioni” sotto-controllo “Trasferimento orale”. La Linea Guida fornisce peraltro utili indicazioni in merito ai trasferimenti effettuati con strumenti elettronici e tramite supporti di memorizzazione fisica che possono essere applicate anche al tema in esame.
Vero è che nel caso di utilizzo di un portale lo stesso fornitore può facilitare il lavoro del Titolare del trattamento; il fornitore potrebbe avere redatto una propria DPIA utile per la valutazione del trattamento eseguito dal Titolare ma potrebbe ben limitarsi in quanto Responsabile del trattamento a condividere le sole misure di sicurezza a supporto del canale on line.
Analizzare il ciclo di vita dei dati nel whistleblowing
È pertanto doveroso analizzare, all’interno della DPIA, il ciclo di vita dei dati sia tramite l’utilizzo del canale scritto quanto l’utilizzo del canale orale. Solo in tal modo si soddisfa completamente quanto richiesto dal Decreto al succitato articolo 13. La DPIA dovrà essere approvata, laddove presente da un DPO, e coinvolgere gli stakeholder del caso.
In presenza di una piattaforma gli step da analizzare partono sicuramente dall’attivazione e la configurazione della stessa, non dimenticando la possibile dismissione con conseguente cancellazione sicura di quanto conservato, anche lato backup.
Da tenere sotto controllo i termini previsti di conservazione dei dati personali ovvero non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione (vedasi art. 14 D. Lgs. 24/23), anche in presenza di migrazione su un’altra piattaforma/archivio.
Nel caso della soluzione che prevede il canale scritto (con il meccanismo della busta chiusa) sarà necessario vagliare attentamente le misure tecniche organizzative del personale dedito alla ricezione e trasmissione delle segnalazioni. Si dovranno attuare comportamenti adeguati e adottare archivi fisici che garantiscono la sicurezza delle informazioni.
In aggiunta anche la forma orale può innescare rischi che devono essere valutati in tutti gli aspetti di probabilità e pericolosità in termini di riservatezza.
Procediamo con ordine: che cosa dobbiamo considerare?
Lato segnalazione (scritta o orale) è necessario regolare tutto il processo composto dalle seguenti macro-attività:
- modalità di acquisizione della segnalazione (forma scritta od orale);
- analisi dei dati personali che possono essere trattati nella ricezione e gestione della segnalazione;
- valutazione della pertinenza;
- valutazione della fondatezza;
- smistamento alle funzioni competente;
- indagine;
- cancellazione.
Le attività sopra citate prevedono comunicazioni da attivare di volta in volta verso il segnalante/il soggetto segnalato/l’organo di governo, ed eventualmente altri organismi come ad esempio l’ODV eccetera.
Cosa deve contenere la DPIA
La valutazione d’impatto sulla protezione dei dati personali ai sensi dell’art. 35 del GDPR co. 7 come minimo deve contenere:
- una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal Titolare del trattamento;
- una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
- una valutazione dei rischi per i diritti e le libertà degli interessati;
- le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Per la redazione di questo documento non è previsto un modello standard ma viene rimessa in capo al Titolare la formulazione del testo di DPIA ma soprattutto dev’essere eseguita prima della messa in atto del trattamento.
La nomina dei soggetti deputati a ricevere le segnalazioni
La scelta del canale è solo una parte del processo di segnalazione. Di fatto, internamente il Titolare dovrà individuare e nominare il soggetto o i soggetti deputati a ricevere le segnalazioni (cd “Organo di gestione”), siano essi interni od esterni all’organizzazione con conseguente incarico formale e dovrà garantire che gli stessi siano formati.
Questa scelta dovrà considerare che almeno un canale necessita la previsione di soggetti diversi dall’Organo di gestione, stante il fatto che detti membri potrebbero essere segnalati, così facendo si mira a impedire eventuali conflitti di interesse nella gestione delle segnalazioni.
Il fornitore del canale di segnalazione è soggetto alla disciplina ex art. 28 GDPR qualora si limita alla mera fornitura della piattaforma. Pertanto, sarà necessario provvedere a documentare il sistema utilizzato e formalizzare una nomina a Responsabile esterno del trattamento.
La DPIA nel whistleblowing: l’importanza della formazione
Altra misura da adottare è quella di operare sulla consapevolezza. La formazione è indispensabile anche per mitigare il rischio insito nelle varie attività che compongono il processo. La pianificazione, l’esecuzione e la registrazione della formazione al membro o ai membri dell’Organo di gestione consente di sensibilizzare i soggetti, Responsabilizzarli in vista del ruolo da svolgere che implica un trattamento di dati personali e, di conseguenza, permette di limitare i rischi sul processo di segnalazione.
Non dimentichiamo il segnalante. Anche il “whistleblower” dovrà avere a disposizione una procedura sotto forma di istruzione con la quale viene indirizzato sulle modalità di segnalazione consentite.
È importante evitare segnalazioni veicolate a soggetti o canali errati perché potrebbero far insorgere rischi ed inconvenienti all’interno dell’organizzazione.
L’ultimo passo per essere realmente conformi
Una volta definiti tutti gli step del processo di segnalazione (scritto e orale), valutati i rischi e messo in atto il trattamento non illudiamoci che sia tutto concluso.
Per essere veramente conformi si dovrà preventivare di eseguire a distanza di qualche tempo dalla reale applicazione della procedura sin qui descritta un possibile audit sulla conformità del processo e sulle misure messe in atto. Tale attività è a carico del DPO o del Titolare. Non è detto che tutto fili liscio come riportato in procedura.
In ultimo, elemento caratterizzante una DPIA è che essa non rappresenta un documento statico, ma è dinamico.
Si dovrà rivalutare ogni qualvolta risulti necessario ad esempio sulla base delle segnalazioni ricevute e/o delle risultanze di audit, a seguito di eventuali provvedimenti normativi in materia e in caso di aggiornamenti delle misure organizzative adottate, modifiche rilevanti alla piattaforma e/o al fornitore della stessa.
