Il whistleblowing è uno strumento di compliance aziendale, in base al quale il whistleblower (letteralmente: “colui che soffia nel fischietto”) segnala eventuali frodi, reati o altri rischi per l’azienda. Ma il processo di segnalazione è molto delicato e, per tutelare l’identità di chi segnala le frodi e rischia ritorsioni e per mettere in sicurezza i canali di segnalazione, il whistleblowing deve rispettare la normativa della privacy e deve seguire le linee guida dell’Organizzazione internazionale per la normazione (ISO).
Purtroppo finora il Garante privacy ha riscontrato gravi omissioni, opportunamente sanzionate, in questo efficace strumento di compliance proattiva.
Le sanzioni del Garante Privacy per tutelare il whistleblowing
Poiché il whistleblower rischia ritorsioni e discriminazioni nel contesto lavorativo, il regime che ne protegge l’identità è basato su specifiche garanzie e deve assicurare la riservatezza delle informazioni trattate.
Riguardo a tali garanzie, il titolare del trattamento deve perciò attenersi alla disciplina sulla protezione dei dati ed assicurare la conformità dell’intero processo delle segnalazioni di whistleblowing.
Le sanzioni recentemente comminate dal Garante della Privacy hanno individuato aspetti che specificatamente riguardano l’applicativo per l’acquisizione e la gestione delle segnalazioni di condotte illecite (il canale whistleblowing), le misure tecniche ad esso connesse.
Whistleblowing “rafforzato”, cosa cambia per le aziende con la direttiva Ue
Il whistleblowing e la protezione dei dati
Dall’ingiunzione è emerso il mancato utilizzo della crittografia nella trasmissione e nella conservazione dei dati, condotte quindi che più in generale riguardano la mancata applicazione dei principi di protezione dei dati per la tutela degli interessati (art. 5) ed osservanza del principio della privacy by design, quindi della “protezione dei dati fin dalla progettazione” (art. 25) [1].
Le violazioni sulla mancata tutela dei dati personali riguardano la società aeroportuale di Bologna, in qualità di Titolare del trattamento, ed il suo fornitore di servizi software, quale Responsabile, sanzionati rispettivamente per importo di 40.000 e 20.000 euro.
Gli aspetti tecnici connessi alla norma del settore di seguito trattati, insieme a quelli organizzativi, procedurali e contrattuali, sono complessivamente quelli che il Titolare deve assumere nella gestione del rischio connessa alle segnalazioni degli illeciti.
L’evoluzione della disciplina whistleblowing
Per inquadrare tale disciplina è utile far cenno alla sua evoluzione. Originariamente riferita ai soli soggetti pubblici, quella del whistleblowing è stata successivamente integrata e modificata dalle “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”; progredisce nella direzione della maggior tutela del dipendente nell’ambito della segnalazione degli illeciti, nonché della protezione dei dati personali in applicazione del Regolamento Europeo. In questo quadro normativo, hanno inciso indirizzi e, più in generale, misure volte a proteggere la divulgazione dell’identità del segnalante, allo scopo di prevenire l’esercizio di misure discriminatorie nei confronti dello stesso [2].
I trattamenti di dati personali effettuati dai soggetti obbligati e considerati necessari per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento, sono stati non di meno riferiti ad un regime particolare [3].
La disciplina del settore ha inteso, infatti, tutelare il trattamento dei dati del dipendente che segnala illeciti, tramite “norme più specifiche” la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” in linea con il Regolamento.
Il Parere del Garante alle “Linee guida” sul whistleblowing di ANAC ha
fornito non solo una fondamentale ricognizione sul diritto applicabile, ma anche indicazioni determinanti per l’impostazione sia della procedura e sia l’allestimento del canale delle segnalazioni [4].
Il Parere è pertanto fondamentale nell’implementazione del whistleblowing, soprattutto se letto assieme al menzionato Provvedimento che richiamando alcuni aspetti tecnici, pure contestualizza e identifica i reali rischi del trattamento.
Aspetti e standard dell’ISO su disciplina e strumenti del whistleblowing
Nei dettagli del Provvedimento, il mancato utilizzo di strumenti di crittografia per il trasporto e la conservazione dei dati è attribuito all’applicativo, disponibile al Titolare del trattamento, attraverso il fornitore in modalità SaaS (Software as a Service), per l’acquisizione e la gestione delle segnalazioni di condotte illecite [5].
Il mancato utilizzo delle tecniche crittografiche per il trasporto riguarda il protocollo applicato alla rete. In tal senso, l’accesso all’applicativo mediante il protocollo di rete Http non è stato ritenuto idoneo in quanto, non garantisce l’integrità e la riservatezza dei dati scambiati tra il browser dell’utente e il server che ospita l’applicativo in questione (cifratura del traffico ed integrità del traffico), non permette di verificare l’autenticità del sito web con il quale stanno interagendo (autenticazione server e utente).
In considerazione della mancata applicazione di misure non idonee a garantire un adeguato livello di sicurezza, ne consegue il possibile accesso e l’acquisizione dei dati da parte di terzi (pure nella situazione rappresentata dalla società, in cui cioè le segnalazioni sono limitate e generalmente di “scarsa utilità” per l’eventuale accesso da parte di terzi alle informazioni contenute nelle segnalazioni acquisite mediante l’applicativo).
La crittografia end-to-end è l’idonea misura tecnica
Il mancato utilizzo delle tecniche crittografiche riguarda anche la conservazione, in quanto l’applicazione non aveva previsto la cifratura dei dati personali, intesi quali dati identificativi del segnalante, le informazioni relative ai fatti oggetto della segnalazione, eventuale documentazione allegata.
La crittografia end-to-end è la tecnica già menzionata nel Parere del 2015 e che nel menzionato Provvedimento indica come idonea misura tecnica. Gli obblighi richiamati dal Garante derivano dalle norme in materia di protezione dei dati personali degli artt. 24 e 32 e dal principio di accountability (a tal riguardo, la società ha rappresentato come le implementazioni sarebbero misure sproporzionate, specie rispetto al costo complessivo del servizio, ad ogni modo ingiustificate in quanto i dati in questione potevano essere consultati esclusivamente dai tecnici del fornitore, i quali non avevano alcun interesse per la consultazione, la comunicazione o diffusione degli stessi) [6].
Anche sul tracciamento degli accessi all’applicativo, sono fornite importanti indicazioni.
L’acceso dei dipendenti dalle postazioni di lavoro o dispositivi personali connessi alla rete aziendale, viene comunemente eseguito tramite “firewall” la cui configurazione consente il tracciamento (l’indirizzo IP del dispositivo utilizzato per la connessione all’applicativo e username della persona connessa). La registrazione e la conservazione dei log firewall e di qualsiasi informazione relativa alla connessione all’applicativo consentirebbe la tracciabilità dei soggetti che lo utilizzano, ivi inclusi, i segnalanti.
Pertanto, l’efficacia di qualsiasi misura adottata per tutelare la riservatezza dell’identità dei segnalanti, deve essere stimata non solo in relazione ai dati che il tracciamento fornisce (se ad esempio, l’utente ha visitato una determinata pagina), ma all’esiguo numero di connessioni all’applicativo.
Il canale per le segnalazioni degli illeciti
L’implementazione del canale per le segnalazioni degli illeciti è vincolata alla valutazione d’impatto sulla protezione dei dati, in ragione degli elevati rischi per i diritti e le libertà degli interessati a cui sono sottoposte le informazioni trattate. Nello specifico nei termini dei possibili effetti ritorsivi e discriminatori per il segnalante, la cui identità è protetta da uno specifico regime di garanzia e riservatezza, come previsto dalla normativa di settore [7].
Il rischio classificato è elevato, in quanto determinato dalla delicata situazione entro la quale si trovano i soggetti interessati (segnalante e segnalato) ed il contesto lavorativo in cui si svolge il trattamento [8].
Il richiamo del Garante Privacy
Il Garante richiama il Titolare all’osservanza dei principi in materia di protezione dei dati (art. 5) e le garanzie che il Titolare deve fornire nell’ambito di questo trattamento che dovrà garantire in ogni punto del processo un’adeguata sicurezza e protezione; quindi, all’individuazione e all’applicazione delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti in esame, obblighi che si estendo al rapporto con il Responsabile del trattamento [9].
Quest’ultimo quando agisce come fornitore di servizi o provider, viene incaricato a svolgere il trattamento dati conto del Titolare dello stesso riceve specifiche istruzioni.
Nel nuovo approccio che il Regolamento ha voluto significare, il Responsabile non è soggetto passivo poiché è tenuto a prendere parte al business proattivamente, agendo, quindi, in conformità dei principi della “protezione dei dati fin dalla progettazione” e della “protezione per impostazione predefinita”, perciò determinando con il Titolare un adeguato modello di gestione delle segnalazioni, entro il quale condurrà appropriate competenze [10].
Questo è un tema cruciale ed attuale che in questa sede almeno nei cenni non manchiamo di menzionare, in quanto riguarda anche la scelta del provider di servizi, quindi la valutazione e la selezione dello stesso fornitore, ma più profondamente le politiche e Governance del Titolare.
Nel quadro descritto dobbiamo considerare il documento ISO 37002:2021 pubblicato il 27 luglio 2021, che ha lo scopo di fornire una guida alle organizzazioni per creare un sistema di gestione del whistleblowing basato sui principi di fiducia, imparzialità e protezione; tale sistema può migliorare la politica e le procedure di whistleblowing esistenti o a conformarsi alla legislazione applicabile in materia di whistleblowing.
Il documento indica quattro step su cui strutturare il sistema:
- ricezione segnalazioni di illeciti (specificando le modalità di presentazione e ricezione delle segnalazioni);
- valutazione segnalazioni di illeciti (specificando il processo di valutazione delle segnalazioni ricevute);
- indagine sulle segnalazioni di illeciti (imparziale e tempestiva, con indicazione delle misure di protezione e sostegno efficaci e tempestive e il monitoraggio appropriato per il segnalante e le altre persone coinvolte);
- conclusione delle indagini.
La nuova figura del Whistleblowing Management Function
Una novità è sicuramente rappresentata dalla figura del Whistleblowing Management Function con precise responsabilità come, ad esempio, quella di garantire che il sistema di gestione delle segnalazioni sia progettato e dotato di risorse per garantire una valutazione completa delle segnalazioni e dei rischi di pregiudizio, indagini imparziali e tempestive delle segnalazioni e disposizioni di protezione e supporto.
Tale funzione potrà essere ovviamente rivestita esclusivamente da chi non ha, all’interno dell’organizzazione, conflitti di interesse o problemi di fiducia e imparzialità.
Conclusioni
Novità altrettanto importante è il richiamo alla consapevolezza degli organi apicali. Infatti, qualsiasi persona che abbia ruoli, responsabilità e autorità all’interno del sistema di gestione delle segnalazioni deve essere formata sul funzionamento della politica e su come gestire le segnalazioni di illeciti.
Il documento riconosce l’importanza della data protection in quanto può comportare un impatto sugli aspetti significativi del sistema di gestione delle segnalazioni, quali ad es. i diritti alla protezione dei dati personali del segnalante, del/i soggetto/i della segnalazione e degli altri soggetti interessati implicati nell’illecito.
Sarà interessante vedere come il sistema di gestione delle segnalazioni dovrà tenere conto di quanto stabilito dal Garante.
Note
- Ordinanza ingiunzione nei confronti di Aeroporto Guglielmo Marconi di Bologna S.p.a. – 10 giugno 2021 [9685922]. Specifica, la mancata realizzazione di misure tecniche e organizzative adeguate applicate e dei principi di protezione dei dati per la tutela degli interessati (art. 5) ed attuazione del principio della “protezione dei dati fin dalla progettazione” (art. 25). In particolare, il Cons. 83; “il titolare del trattamento… dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura”; Art. 5, par. 1, lett. f), e art. 32 del Regolamento par. 1, lett. a); Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione
e per impostazione predefinita. 20 ottobre 2020 Comitato europeo per la protezione, vedi punti 7 e 39.↑ - Art. 54-bis del d.lgs. 30 marzo 2001, n. 165, introdotto dall’art. 1, comma 51, della l. n. 190/2012; L. 30 novembre 2017, n. 179. Così come disciplinato dalla c.d. legge Severino (L. 190/2012), trova una più completa formalizzazione con la L. 179/2017 che ha previsto l’adozione del sistema delle segnalazioni anche nel settore privato. Si consideri che la normativa W. è connessa alla D.Lgs 231/2001 in materia di responsabilità amministrativa degli enti (Art. 2 della l. n. 179/2017 che ha aggiunto il comma 2-bis all’art. 6 del d.lgs. 8 giugno 2001, n. 231).↑
- Artt. 6, par. 1, lett. c), 9, par. 2, lett. b), e 10 del Regolamento.↑
- Art. 88, par. 1, del Regolamento. Cfr. provv. 4 dicembre 2019, doc. web n. 9215763, parere del Garante sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a
conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (cosiddetto whistleblowing)”;
di ANAC.↑ - Rapporto con il fornitore è regolamentato ai sensi dell’art. 28 GDPR.↑
- Applicazione di misure tecniche e organizzative in relazione all’art. 25 (adeguate tenuto conto dello stato dell’arte, dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto, delle finalità e dei rischi connessi al trattamento).↑
- Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019 riguardante la protezione
delle persone che segnalano violazioni del diritto dell’Unione.↑ - Vedi, “Linee guida concernenti la valutazione di impatto sulla protezione dei dati”, WP 248 del 4 aprile 2017; Parere del Garante sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità” (c.d. whistleblowing), di ANAC.↑
- Cit. “mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” Artt. 5, par. 1, lett. f), del Regolamento.↑
- Artt. 24, 25 e 32 e cons. 81, artt. 4, punto 8), 28 del Regolamento.↑