normative in azienda

Whistleblowing: come adeguarsi alle norme ed evitare errori

Home Sicurezza digitale Privacy
Indirizzo copiato

Come per la ristrutturazione di una casa, anche l’istituto del whistleblowing necessità di un nuovo impianto normativo su misura per l’organizzazione, di un “designer” che sappia come agire fin dalla progettazione.Tale approccio consente di limitare al minimo gli errori nell’applicazione delle nuove norme, anche in ambito privacy

Pubblicato il 27 lug 2023
Marco Catalano

Avvocato, Consulente privacy

Alfredo Zallone

Avvocato, Consulente privacy

whistleblowing_ hacker

L’istituto del “whistleblowing” non è una novità dell’ultima ora eppure, così come per la ristrutturazione di una casa, anch’esso necessita di un ammodernamento e di un aggiornamento rispetto al contesto sociale in cui le organizzazioni operano.

Whistleblowing: cosa cambia per le aziende, i nodi della nuova legge

L’intervento normativo, introdotto con il Decreto Legislativo n. 24 del 10 marzo 2023[1] (di seguito anche il “Decreto”), di attuazione della Direttiva UE 2019/1937[2] (di seguito anche la “Direttiva”), dimostra incontrovertibilmente che si sta andando verso questa direzione: assicurare una maggiore protezione e riservatezza del whisteblower (detto anche “segnalante”), mediante anche la progettazione di canali di segnalazione efficaci, riservati e sicuri. Questa nuova cornice legislativa contribuisce a prevenire e scoraggiare le violazioni delle normative europea e nazionale, determinandone inevitabilmente un rafforzamento dell’ambito applicativo.

Attenzione però: modellare il nuovo impianto normativo su misura per l’organizzazione, così come per una casa, necessità di un “designer” che sappia come agire fin dalla progettazione.

Tale approccio consente sicuramente di limitare al minimo gli errori nell’applicazione delle nuove norme, anche in ambito privacy.

Fase preliminare: tra Direttiva UE 2019/1937 e Decreto n. 24/2023

Per proseguire con la metafora dell’edilizia, il “piano regolatore europeo” e il “regolamento edilizio nazionale” applicabili al nostro caso sono, rispettivamente: i) la Direttiva che stabilisce l’obiettivo comune che tutti i paesi dell’UE devono conseguire; e ii) il Decreto che definisce le disposizioni normative per conseguire l’obiettivo, a livello nazionale, senza tralasciare certamente le ulteriori normative di settore, tra cui anche il Reg. UE n. 2016/679 (detto anche “GDPR”).

Prima di tutto, uno dei pilastri fondamentali su cui è eretta tutta la normativa è proprio la protezione del segnalante (anche dalle ritorsioni) e la tutela della sua riservatezza in quanto è lui e solo lui che ha il potere di portare alla luce le condotte illecite.

Proprio per comprenderne il ruolo cruciale di tale soggetto, a venirci incontro è il Considerando 1 della Direttiva che così recita: “Chi lavora per un’organizzazione pubblica o privata o è in contatto con essa nello svolgimento della propria attività professionale è spesso la prima persona a venire a conoscenza di minacce o pregiudizi al pubblico interesse sorti in tale ambito. Nel segnalare violazioni del diritto unionale che ledono il pubblico interesse, tali persone (gli «informatori – whistleblowers») svolgono un ruolo decisivo nella denuncia e nella prevenzione di tali violazioni e nella salvaguardia del benessere della società. Tuttavia, i potenziali informatori sono spesso poco inclini a segnalare inquietudini e sospetti nel timore di ritorsioni. In tale contesto, l’importanza di garantire una protezione equilibrata ed efficace degli informatori è sempre più riconosciuta a livello sia unionale che internazionale”.

Tale assunto non lascia spazio ad alcun dubbio. Il timore del segnalante di subire conseguenze negative a causa della segnalazione può essere superata solo se le organizzazioni riescono a mettere in campo un sistema gestionale capace di assicurare la riservatezza dell’identità del segnalante, non solo introducendo canali di segnalazione efficaci, riservati e sicuri ma anche garantendo una protezione efficace degli informatori dalle ritorsioni.

Oltre ai concetti di “riservatezza” e “protezione”, che già di per sé richiamano direttamente la normativa privacy, il riferimento alla stessa viene fornita proprio dalla Direttiva che sancisce all’art. 17 la necessità che ogni trattamento di dati personali, effettuato ai sensi della normativa europea, debba essere svolto nel rigore più assoluto delle norme del GDPR, prevedendo la raccolta dei soli dati necessari al trattamento e cancellando senza indugio quelli manifestatamente non utili per la finalità perseguita.

Proseguendo nel cammino interpretativo, il Decreto sancisce agli artt. 12 e 13 le regole in materia di riservatezza e di trattamento dei dati personali a cui ciascuna organizzazione (a cui la normativa si applica) deve ottemperare per assicurare una protezione efficace dell’identità del segnalante e garantire che il trattamento dei dati personali dei soggetti coinvolti nella segnalazione avvenga in conformità al GDPR.

Per tale motivo, ciascuna organizzazione deve essere consapevole che le segnalazioni non possono essere utilizzate oltre quanto necessario o che l’identità del segnalante non può essere rivelata, ad eccezioni di casi specifici per cui si rende necessario, comunque, il consenso del whistleblower. Allo stesso modo, il trattamento deve essere improntato ai principi di correttezza, liceità e trasparenza, nonché di tutela della riservatezza mediante misure di sicurezza che tutelano il segnalante contro eventuali possibilità di ritorsioni nei suoi confronti.

In tale contesto basti pensare, ad esempio, alla necessità di: informare in modo trasparente l’interessato, definire i ruoli privacy e le responsabilità di tutti gli attori coinvolti nel trattamento, formare e istruire in modo specifico il personale deputato alla gestione della segnalazione, eseguire la valutazione d’impatto (DPIA), e da ultimo, ma non per questo di poco conto, progettare canali di segnalazione che siano sicuri ed idonei a garantire la riservatezza delle informazioni e ad impedire l’accesso da parte del personale non autorizzato.

Fase progettuale: come realizzare i singoli adempimenti

La fase successiva, quindi, è quella della progettazione, seguita dai diversi professionisti coinvolti, con i quali l’organizzazione si deve confrontare per fare tutte le scelte opportune relative alla futura costruzione della casa.

Proprio in fase progettuale si dovranno scegliere i fornitori, le caratteristiche degli ambienti e la tipologia di impianti che si vorranno in casa. In tale contesto occorre definire il tipo di canale di segnalazione interno da istituire e la scelta, sebbene contemperata anche da ragioni di costi, non deve cadere su un impianto che non assicuri la riservatezza del segnalante e la sicurezza dello stesso.

Ed è qui che entra in gioco il ruolo del designer, non solo al momento della determinazione dei mezzi di trattamento ma anche all’atto del trattamento stesso.

Al di là del gioco di parole, è l’art. 25 del GDPR che impone, al fine di poter dimostrare la conformità con il GDPR, al titolare del trattamento di adottare politiche interne e mettere in atto misure tecniche e organizzative per rispettare i principi di privacy by design e privacy by default.

Anche perché, parlando apertamente, la mancata previsione di misure tecniche e organizzative idonee a proteggere i dati personali relativi alle segnalazioni potrebbe ritorcersi contro l’organizzazione, soprattutto se tali dati dovessero finire sotto attacco di un hacker e quindi oggetto di indagine in un data breach.

Una volta create mura perimetrali, stabili e robuste, è possibile pensare alla realizzazione delle singole camere. Anche in questo caso, la normativa fornisce numerose regole che, sebbene possano essere modellate sulla base del progetto della casa, devono essere perseguite e “pensate”, dall’organizzazione, come veri e propri presidi.

Pertanto, per non incorrere sin da subito in errore, si dovrà, ad esempio, ragionare sulla scelta e adeguatezza del personale, in termini di formazione e know how, deputato a gestire le informazioni riservatissime del segnalante. Ugualmente importante sarà prevedere se, quando e come richiedere i consensi specifici che le disposizioni impongono per rivelare l’identità del segnalante, valutandone anche la corretta gestione documentale. Infine, sarà essenziale conservare le informazioni e la relativa documentazione per il tempo necessario e comunque non oltre quanto indicato nel Decreto, adottando gli opportuni accorgimenti e cautele sul piano informatico (es. i profili di autorizzazione, l’utilizzo di protocolli sicuri e di strumenti – anche di crittografia – per la conservazione dei dati, modalità di accesso solo al personale autorizzato, sistemi di strong authentication etc.).

In ottica privacy, sono utili sia i chiarimenti forniti nei pareri del Garante per la protezione dei dati personali del 2019[3] e del 2023[4] sia l’ordinanza ingiunzione emessa dal Garante privacy nei confronti di un’azienda ospedaliera del 7 aprile 2022 [doc. web n. 9768363][5] in cui sono state evidenziate alcune criticità: accesso all’applicazione configurata in modo da registrare e conservare i dati di navigazione degli utenti, consentendone l’identificazione anche dei potenziali segnalanti, la non esecuzione della DPIA oppure una non corretta gestione delle credenziali di autenticazione.

Errori da evitare e riflessioni da fronteggiare

Quanto detto, consente a ciascuna organizzazione di eseguire le più opportune considerazioni, dato che è la stessa che definisce il proprio modello di ricevimento e gestione delle segnalazioni interne, ed evitare di sbagliare sin dall’inizio. Tale valutazione dovrà essere effettuata caso per caso anche in ragione delle specificità del contesto del trattamento, quali, ad esempio, la dimensione del titolare, il numero dei dipendenti, il settore di riferimento, il luogo in cui avviene e la ricorrenza di specifiche situazioni di criticità.

Per fare un esempio, il trattamento del whistleblowing potrebbe essere equiparato al ronzio di una zanzara nella notte: sebbene sia occasionale “quasi da renderlo innocuo” (in quanto di certo non può essere ricompreso nell’ambito di quei trattamenti ripetitivi, continuativi e abituali), lo stesso, se mal gestito, può risultare talmente fastidioso e molesto da non far dormire sonni tranquilli.

Accorgimenti per non commettere errori

Per la progettazione del canale di segnalazione interna, l’organizzazione può affidarsi ad un soggetto terzo, fornitore del software di gestione del whistleblowing. Tuttavia, non deve commettere l’errore di prendere per “buono” tutto il sistema ab origine, senza verificare prima che lo strumento risponda alle regole definite dal Titolare del trattamento, quali, ad esempio, comprendere l’ubicazione dei server e l’eventuale trasferimento dei dati extra UE.

Le domande da porsi per capire se il sistema di whistleblowing sia a norma, in pratica, sono davvero tante, ad esempio:

  • la DPIA effettuata dal fornitore potrebbe essere utilizzata dal Committente quale “garanzia” per il trattamento? Si ricorda che è compito del Titolare del trattamento eseguire la stessa sul trattamento di propria competenza;
  • è opportuno che l’organizzazione utilizzi una mail con dominio aziendale per la ricezione delle segnalazioni (whistleblowing@azienda.com)? Viene garantito in tal modo l’accesso solo al personale autorizzato? La semplice mail può essere considerata effettivamente sicura? Si badi bene come il ricorso alla posta elettronica ordinaria e certificata non è di per sé adeguato a garantire la riservatezza!
  • L’organizzazione ha tenuto in considerazione il caso in cui il dipendente usa per la segnalazione l’indirizzo e-mail aziendale e il PC in dotazione dell’azienda? Siamo sicuri che l’azienda per il tramite del personale IT non possa risalire all’identità dell’interessato? Viene realmente garantita la riservatezza dell’identità del segnalante?
  • L’organizzazione ha eseguito valutazioni mirate per comprendere quali siano le persone più idonee a cui affidare la gestione del canale di segnalazione, in termini di competenza, indipendenza e assenza di conflitto di interesse? In tal senso il Considerando 56 della Direttiva fornisce qualche spunto di riflessione: “[…] Nei soggetti più piccoli tale funzione potrebbe essere duplice e affidata a un funzionario che faccia capo direttamente al direttore organizzativo, come un responsabile della conformità o delle risorse umane, un responsabile dell’integrità, un responsabile delle questioni giuridiche o della privacy, un direttore finanziario, un revisore contabile capo o un membro del consiglio di amministrazione”.
  • Il modello di ricevimento e gestione delle segnalazioni interne, definito dall’organizzazione, contempla i passi da seguire per garantire l’efficacia della reazione alla segnalazione, il rispetto dei flussi informativi, la corretta esecuzione delle indagini interne nei limiti imposti dallo Statuto dei Lavoratori e dalla normativa privacy?
  • L’organizzazione ha valutato il caso in cui il personale autorizzato e deputato alla gestione della segnalazione non abbia competenze specifiche in ambito privacy? Nella definizione dei corretti flussi informativi, che ruolo assume, se lo assume, il DPO o il responsabile dell’Ufficio privacy? Sarebbero legittimati ad essere coinvolti come personale autorizzato al trattamento?
  • Il Titolare del trattamento, nella definizione del proprio modello, ha definito quali siano i punti di raccolta delle informazioni? Attenzione a non dimenticare di fornire agli interessati le specifiche informazioni sul trattamento dei dati personali!
  • Sono stati previsti opportuni accorgimenti e cautele al fine di non raccogliere dati personali che non siano necessari per la specifica finalità del trattamento? È opportuno che l’organizzazione ab origine non adotti form/moduli che richiedano informazioni non utili per la gestione della segnalazione oppure che il personale sia istruito a richiedere le sole informazioni necessarie, distruggendo o eliminando tutto ciò non attinente.

Conclusioni

In conclusione, a parere di chi scrive, la copertura del segnalante, tesa a far emergere condotte illecite poste a discapito del benessere della società, deve essere ragionata non solo in relazione alla protezione dalle ritorsioni ma anche (e soprattutto) alla tutela della riservatezza. Questa è la chiave di lettura vincente della norma per una corretta gestione del sistema di whistleblowing.

Note

[1] DECRETO LEGISLATIVO 10 marzo 2023, n. 24 Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. (23G00032) (GU Serie Generale n.63 del 15-03-2023)

[2]Direttiva UE n. 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione

[3] Parere sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)” – 4 dicembre 2019 [9215763]

[4] Parere su uno schema di decreto legislativo recante attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (cd. direttiva whistleblowing) – 11 gennaio 2023 [9844945] nonché il Parere favorevole sullo “Schema di Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali – procedure per la presentazione e gestione delle segnalazioni esterne” – Registro dei provvedimenti n. 304 del 6 luglio 2023 del Garante per la protezione dei dati personali.

[5] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9768363

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • common criteria

    Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

    06 Dic 2023

    di Garibaldi Conte

    Condividi

  • le rivelaziono

    Putin spiato dagli Usa: cos'è e come funziona il software Locomotive

    13 Mar 2024

    di Marco Santarelli

    Condividi

  • intelligenza artificiale

    #OpenAIF: colmare il gap formativo ai tempi dell IA

    19 Gen 2024

    di Beatrice Lomaglio e Vivaldo Moscatelli

    Condividi

Prossimo

Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

Articolo 1 di 4