Il nuovo decreto legislativo 24/2023 introduce importanti disposizioni a tutela della riservatezza dei dati personali sia di chi segnala i presunti illeciti, sia delle persone segnalate, che di eventuali terzi coinvolti. Diverse sono quindi le implicazioni in materia di protezione dei dati personali e di tutela della privacy.
Pertanto, quali sono gli adempimenti in tema privacy che le imprese dovranno affrontare a seguito dell’attivazione di un canale di segnalazione interno?
L’art. 13, comma 5, del d.lgs. 24/2023 prevede la stipula di un apposito accordo di contitolarità tra i diversi titolari che si trovino a condividere le risorse del sistema di ricevimento e gestione delle segnalazioni interne, con conseguente obbligo di disciplinare le rispettive responsabilità.
Viene altresì resa obbligatoria la disegnazione a responsabile del trattamento di tutti quegli ulteriori eventuali soggetti, fornitori esterni, che trattino i dati personali per conto dei titolari, nell’ambito della gestione delle segnalazioni, nonché degli individui sotto la diretta autorità del titolare del trattamento, espressamente autorizzati a trattare i dati personali di tutti i soggetti coinvolti nell’ambito del sistema.
In ossequio al principio di accountability, disciplinato dal regolamento europeo in materia di protezione dei dati personali 679/2016 (GDPR) viene imposto in capo al titolare l’obbligo di svolgere una valutazione d’impatto sulla protezione dei dati personali (DPIA) fondamentale per definire gli aspetti relativi alla struttura privacy by design e by default del proprio sistema di ricevimento e gestione delle segnalazioni interne, garantendone così una conformità alla normativa di riferimento.
Il titolare sarà pertanto tenuto a configurare il proprio canale di whistleblowing con specifiche caratteristiche a garanzia della riservatezza e della protezione dei dati personali dei soggetti coinvolti.
Di seguito alcuni esempi di misure di sicurezza:
- crittografia del canale di segnalazione;
- formazione ad hoc del personale incaricato alla gestione del canale;
- specifiche misure tecniche per la conservazione delle segnalazioni.
Fondamentale sarà anche la gestione delle richieste di esercizio dei diritti da parte degli eventuali interessati coinvolti, come previsti dagli artt. 15-22 del GDPR, ovvero valutando se da tale servizio possa derivare un pregiudizio effettivo e concreto per la riservatezza del whistleblower.
Proprio a tutela dell’identità del segnalante, nell’ambito del principio generale per cui le segnalazioni non possono essere utilizzate se non per darvi adeguato seguito, il titolare e/o i titolari dovranno:
- garantire la riservatezza dell’identità del segnalante, del contenuto della segnalazione e della relativa documentazione;
- assicurare che l’identità del segnalante non sia rivelata a persone diverse dagli individui specificatamente autorizzati, fatta eccezione esclusivamente per i casi in cui sia stato ottenuto espresso ed esplicito consenso del segnalante;
- nell’eventuale contesto di procedimenti disciplinari interni avviati a seguito della segnalazione, il titolare dovrà ottenere previamente il consenso espresso del segnalante alla rivelazione della propria identità (ove la contestazione dell’addebito disciplinare sia fondata in tutto o in parte sulla segnalazione), mentre l’identità del segnalante non potrà essere rivelata ove la contestazione dell’addebito disciplinare sia fondata su accertamenti ulteriori e distinti rispetto alla segnalazione;
- sottrarre le segnalazioni alle richieste di accesso ai documenti amministrativi e di accesso civico (con particolare riferimento ai titolari soggetti pubblici);
- garantire i presidi di cui sopra per tutte le altre persone eventualmente coinvolte o menzionate nella segnalazione.
È previsto, inoltre, in capo ai titolari l’obbligo di astenersi dal raccogliere informazioni non utili al trattamento di una specifica segnalazione e, se raccolte accidentalmente, procedere alla loro immediata cancellazione. Ultimo ma non per importanza, vi è l’obbligo di conservare i dati personali, il contenuto della segnalazione e la relativa documentazione per il solo periodo strettamente necessario al trattamento della medesima e, in ogni caso, per un periodo non eccedente i 5 anni dalla data della comunicazione dell’esito finale della procedura di segnalazione (tale termine è stato ritenuto congruo e condiviso sia dall’autorità garante per la protezione dei dati personali che dall’autorità nazionale anticorruzione, ANAC).
L’IMPORTANZA DELL’IMPLEMENTAZIONE DI MISURE DI SICUREZZA DEI DATI
Le aziende e gli enti della pubblica amministrazione dovranno trattare i dati conformemente alle norme sul trattamento dei dati contenute nel nuovo decreto e disciplinate dal GDPR. Questo significa che il software di whistleblowing dovrà prevedere intrinsecamente una serie di misure di sicurezza e rispettare di conseguenza i principi di privacy by design e privacy by default previste dal regolamento europeo sulla protezione dei dati.
La piattaforma tecnologica utilizzata per le segnalazioni di illeciti deve rispettare rigorosi standard di sicurezza informatica al fine di proteggere l’identità dei whistleblower e garantire la riservatezza delle informazioni contenute nella segnalazione. Il software per il whistleblowing deve basarsi su architetture informatiche progettate fin dall’inizio con tecniche avanzate di crittografia, per assicurare la protezione dei dati, e tecnologie di anonimato per proteggere l’origine delle segnalazioni.
Nel caso specifico in cui l’accesso al canale di segnalazione sia mediato da dispositivi firewall o proxy, per garantire la non tracciabilità del segnalante nel momento in cui viene stabilita la connessione, l’utilizzo di un protocollo di trasporto https e l’accesso mediato dalla rete TOR, sono caratteristiche da valutare nella scelta del software di whistleblowing, in quanto si tratta di misure necessarie per garantire l’anonimizzazione.
Per soddisfare i massimi livelli di sicurezza informatica, i provider devono utilizzare componenti tecnologiche sottoposte a numerosi test di sicurezza, revisionare il codice e effettuare attività di peer review e, per garantire la disponibilità del sistema, è fondamentale l’adozione di misure per la prevenzione da possibili attacchi denial-of-service che causano interruzioni del sistema.
Un altro aspetto rilevante riguarda le misure adottate per il controllo degli accessi. Dato il valore delle informazioni gestite attraverso il software di whistleblowing e l’obbligo per l’azienda o l’ente pubblico di garantire la riservatezza dell’identità del segnalante e delle informazioni contenute nella segnalazione, il software di whistleblowing deve implementare sistemi di autenticazione informatica basati su tecniche di strong authentication per evitare l’accesso alle informazioni da parte di soggetti non autorizzati.
A cura di: Dott.ssa Alessandra Gervasi