Il Garante privacy ha espresso lo scorso dicembre il proprio parere sulle linee guida dell’Autorità Nazionale Anticorruzione in materia di whistleblowing. Ci offre così alcuni elementi di riflessione per incanalarlo su binari rispettosi dei diritti e delle libertà delle parti in gioco.
Il tutto a fronte di amministrazioni pubbliche a volte un po’ distratte e di operatori di mercato ancora poco maturi rispetto alla protezione dei dati personali.
L’inquadramento dell’attuale whistleblowing
Il tema è centrale per i nostri diritti fondamentali. Ricordiamo che il whistleblowing è lo strumento di cui si sono dotati molti Stati aderenti all’OCSE, tra cui l’Italia, per contrastare il fenomeno della corruzione: viene data la possibilità a soggetti interni alle organizzazioni, pubbliche e private, di segnalare fattispecie illecite rilevate, anche in modo incidentale, nel corso dell’attività lavorativa.
Per l’adozione di questo strumento, naturalmente, sono necessari una serie di pesi e contrappesi tali da tutelare tutti i soggetti coinvolti nella questione e, in particolare, il segnalante (il whistleblower cioè colui che rileva l’illecito e lo pone all’attenzione dell’organizzazione) ed il segnalato (ovvero colui che realizza l’azione illecita). La necessità di affinare queste garanzie ha richiesto, in Italia, un progressivo adattamento normativo che è culminato con la legge 179 del 30 novembre 2017 con la quale il legislatore ha inteso disciplinare:
- la tutela del dipendente pubblico che segnala illeciti;
- la tutela del dipendente o collaboratore che segnala illeciti nel settore privato;
- lo scudo, per chi segnala, da eventuali violazioni penali e civili del segreto d’ufficio, aziendale, professionale, scientifico e industriale.
Questi temi, seppur risalenti ad un paio d’anni fa, sono tornati d’attualità di recente giacché l’Autorità Nazionale Anticorruzione ha concluso il 15 settembre scorso la consultazione pubblica sulle “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis, del d.lgs. 165/2001 (whistleblowing)”, che si apprestano a sostituire le precedenti “Linee guida in materia di tutela del dipendente pubblico che segnala illeciti (c.d. whistleblower)” del 28 aprile 2015 ormai superate sia dalla Legge 179/2017 sia dal Reg. UE 2016/679 (GDPR). A valle della consultazione pubblica, le nuove Linee guida sono state sottoposte all’attenzione del Garante per la Protezione dei Dati Personali che ha espresso il proprio parere nella seduta del 4 dicembre scorso segnalando alcuni elementi di miglioramento che l’ANAC dovrà adottare nella versione finale.
Il whistleblowing e la protezione dei dati personali
È evidente che la dinamica dello strumento richiede una particolare riservatezza dei dati identificativi di segnalante e segnalato. La principale riflessione sul trattamento dei dati personali nell’utilizzo del whistleblowing è dovuta all’”Opinion 1/2006 on the application of EU data protection rules to internal whistleblowing schemes in the fields of accounting, internal accounting controls, auditing matters, fight against bribery, banking and financial crime” che il WP29 adottò in vigenza della direttiva 95/46/EC (la “mamma” del GDPR) che, in Italia, era stata recepita dal Dlgs. 196/2003 (il Codice privacy).
Benché l’opinion del WP29 scaturisse da una normativa indirizzata prevalentemente al settore privato (il Sarbanes-Oxley Act – SOX), molte indicazioni risultano applicabili anche al settore pubblico che, in Italia, è quello che genera il livello di attenzione più elevato.
In particolare, il WP29 punta l’attenzione su alcuni elementi essenziali della disciplina sulla protezione dei dati personali:
- necessità di fornire l’informativa sul trattamento dei dati personali ai soggetti coinvolti;
- diritti dei soggetti coinvolti (in particolare, diritti del segnalato);
- tempi e modalità di conservazione con particolare riguardo al trattamento effettuato tramite applicazioni software;
- misure tecniche ed organizzative per ridurre i rischi durante il trattamento.
A questi elementi nonché a quanto previsto dal GDPR e dal Codice privacy innovato dal Dlgs. 101/2018 si è ispirato il Garante per la Protezione dei Dati Personali nel parere del 4 dicembre scorso. Infatti, il Garante, pur esprimendo parere favorevole alle Linee guida dell’ANAC, ha precisato, tra l’altro, i seguenti aspetti:
- il soggetto segnalato, essendo un interessato con riferimento al trattamento dei suoi dati personali, non perde i diritti previsti dall’articolo 15 all’articolo 22 del GDPR; infatti, il Codice privacy, all’art. 2‑undecies prevede che l’esercizio dei diritti possa essere richiesto direttamente al Garante che effettua un bilanciamento tra il diritto invocato dal segnalato e la necessità di riservatezza dei dati identificativi del segnalante;
- la necessità di informare il segnalato della possibilità di esercitare i propri diritti previsti dall’articolo 15 all’articolo 22 del GDPR;
- la gestione del whistleblowing deve essere tale che esista una misura organizzativa e/o tecnica che consenta al solo custode dell’identità, cioè il Responsabile della Prevenzione della Corruzione e della Trasparenza (RPCT), di associare la segnalazione all’identità del segnalante; tutti gli altri soggetti interessati all’istruttoria non dovrebbero essere posti nelle condizioni di effettuare tale associazione, nemmeno con il consenso dell’RPCT;
- la gestione del whistleblowing deve rispettare il principio di minimizzazione contenuto nell’art. 5 del GDPR e, per esempio, evitare la proliferazione di comunicazioni (anche pr posta elettronica) al segnalante per informarlo dell’avanzamento dell’istruttoria.
L’esternalizzazione della piattaforma di whistleblowing
Una specifica attenzione, inoltre, è riservata, da parte del Garante, alla gestione del whistleblowing su piattaforme informatiche e, in particolare, su piattaforme fornite da soggetti esterni all’amministrazione nella modalità software‑as‑a‑service (SaaS). Il Garante precisa che il fornitore esterno della piattaforma agisce quale responsabile del trattamento secondo le previsioni dell’art. 28 del GDPR; in questa veste, come dice il primo comma dell’articolo 28, deve presentare “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.
Le garanzie minime che, secondo il parere del Garante, il fornitore deve offrire sono le seguenti:
- meccanismi di profilazione degli utenti (dipendenti “autorizzati” ad istruire le pratiche e quindi al trattamento dei relativi dati personali) sufficientemente granulari da consentire solo la visibilità necessaria al ruolo svolto;
- accesso selettivo ai dati delle segnalazioni prevedendo la possibilità al RPCT di assegnare segnalazioni specifiche al singolo soggetto istruttore in funzione di supporto;
- tracciamento delle operazioni svolte da parte dell’RPCT e da parte dei soggetti istruttori, escludendo la possibilità di tracciare anche le consultazioni che il segnalante effettua sull’evoluzione della propria segnalazione;
- autenticazione degli utenti basata su tecniche di strong authentication (per esempio, autenticazione basata su password ed OTP).
Inoltre, sebbene non presente nel parere del Garante, è ragionevole riflettere anche su un altro elemento essenziale del whistleblowing quando questo è basato su una piattaforma informatica esterna: è necessaria una valutazione d’impatto sulla protezione dei dati personali (DPIA), conformemente all’art. 35 del GDPR? Dalla lettura del primo paragrafo dell’art. 35: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”, sembra che tutto propenda per la necessità di una DPIA che, nel caso di SaaS, non può prescindere dalla stretta collaborazione tra amministrazione e fornitore della piattaforma. Quest’ultimo, peraltro, assume una forte responsabilità visto che, almeno potenzialmente, può essere il fornitore di un numero elevato di amministrazioni e, quindi, trattare un numero considerevole di dati personali riguardanti fattispecie illecite.
