Le nuove Linee Guida ANAC su Whistleblowing e gli orientamenti dell’Autorità sull’applicazione della disciplina delle segnalazioni appena introdotta in Italia. Parte 5 – Il trattamento dei dati personali.
27/09/2023 2023-09-27 8:07Le nuove Linee Guida ANAC su Whistleblowing e gli orientamenti dell’Autorità sull’applicazione della disciplina delle segnalazioni appena introdotta in Italia. Parte 5 – Il trattamento dei dati personali.
Le nuove Linee Guida ANAC su Whistleblowing e gli orientamenti dell’Autorità sull’applicazione della disciplina delle segnalazioni appena introdotta in Italia. Parte 5 – Il trattamento dei dati personali.
Quinto appuntamento con gli approfondimenti della Delibera ANAC n° 311 del 12 luglio 2023 contenente le “Linee Guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”.
Il focus riguarderà gli approfondimenti che ANAC propone con riferimento al trattamento dei dati personali.
1. Il trattamento dei dati personali nel sistema delle segnalazioni c.d. whistleblowing. Premessa.
Al fine di garantire il diritto alla protezione dei dati personali alle persone segnalanti o denuncianti, il legislatore ha previsto che l’acquisizione e gestione delle segnalazioni, divulgazioni pubbliche odenunce, ivi incluse le comunicazioni tra le autorità competenti, avvenga in conformità alla normativa in tema di tutela dei dati personali.
Qualsiasi scambio e trasmissione di informazioni che comportano un trattamento di dati personali da parte delle istituzioni, organi o organismi dell’UE deve inoltre avvenire in conformità al regolamento (UE) 2018/1725.
La tutela dei dati personali va assicurata non solo alla persona segnalante o denunciante ma anche agli altri soggetti cui si applica la tutela della riservatezza, quali il facilitatore, la persona coinvolta e la persona menzionata nella segnalazione in quanto “interessati” dal trattamento dei dati.
ANAC predispone, inoltre, il seguente prospetto riassuntivo:
Le qualifiche dei soggetti che trattano i dati personali | |
Titolari del trattamento | Soggetti pubblici e privati che istituiscono il canale interno;ANAC per il canale esterno; Altre autorità competenti a cui sono trasmesse le segnalazioni. |
Contitolari del trattamento | Enti pubblici e privati che condividono il canale interno (art. 4, co. 4, d.lgs. 24/2023). |
Responsabili del trattamento | Soggetti esterni gestori delle segnalazioni (ove sia stata loro affidata la gestione);Fornitori esterni. |
Persone autorizzate | Persone espressamente designate dal titolare o dai contitolari del trattamento che gestiscono e trattano le segnalazioni. |
La responsabilità in caso di violazione della disciplina sulla tutela dei dati personali ricade in capo al titolare del trattamento laddove tale violazione sia commessa delle persone autorizzate o dai responsabili del trattamento.
La responsabilità ricade in capo al responsabile del trattamento nel caso in cui la suddetta violazione è commessa da persone autorizzate da quest’ultimo.
In tali casi, il Garante per la protezione dei dati personali può adottare provvedimenti correttivi e, nei casi previsti dalla legge, applicare sanzioni amministrative pecuniarie.
Da notare, inoltre, che la persona coinvolta o la persona menzionata nella segnalazione, con riferimento ai propri dati personali trattati nell’ambito della segnalazione, divulgazione pubblica o denuncia, non può esercitare – per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata – i diritti che normalmente il GDPR (Regolamento (UE) 2016/679) riconosce agli interessati (il diritto di accesso ai dati personali, il diritto a rettificarli, il diritto di ottenerne la cancellazione o cosiddetto diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati personali e quello di opposizione al trattamento), in quanto dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante.
2. Il trattamento dei dati personali nel sistema delle segnalazioni c.d. whistleblowing. Approfondimenti di ANAC.
Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro
organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Pertanto, ai sensi del d.lgs. n. 24/2023 sono titolari del trattamento i soggetti del settore pubblico e privato che istituiscono canali di segnalazione interni, ANAC nell’ambito del canale di segnalazione esterno e le autorità competenti cui le segnalazioni vengono trasmesse.
2.1. Titolari, contitolari e responsabili.
Gli enti che condividono il canale interno per la ricezione e la gestione delle segnalazioni sono contitolari del trattamento.
La disciplina sulla tutela dei dati personali stabilisce che i titolari e i contitolari del trattamento prevedano, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
Da notare che ANAC sottolinea come si debba avere riguardo all’assetto organizzativo interno di ogni ente in modo da prevedere che le autorizzazioni al trattamento dei dati siano tali da ricomprendere tutte le persone che sono coinvolte nella gestione delle segnalazioni. Tali soggetti devono inoltre ricevere un’adeguata e specifica formazione professionale volta ad accrescerne le competenze specialistiche anche in materia di normativa sulla protezione dei dati personali, sicurezza dei dati e delle informazioni, nonché in tema di addestramento relativamente alle procedure predisposte.
2.2. Soggetti esterni per la ricezione e trattazione delle segnalazioni.
Il decreto prevede che si possano affidare la ricezione e la trattazione delle segnalazioni anche ad un soggetto esterno autonomo e con personale specificamente formato.
Tale soggetto, ai sensi della normativa in materia della tutela dei dati personali, assume la qualifica di responsabile del trattamento e deve essere in possesso di garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che garantiscano il rispetto della riservatezza, protezione dei dati e segretezza.
L’esecuzione dei trattamenti da parte dei responsabili del trattamento deve essere disciplinata da un contratto o da altro atto giuridico che preveda l’oggetto, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Peraltro, anche i responsabili del trattamento possono prevedere, sotto la propria responsabilità, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
2.3. Principi fondamentali per il trattamento dei dati personali nella gestione delle segnalazioni.
Infine, a conclusione della disamina di approfondimento, l’Autorità propone una sintesi dei principi fondamentali di cui si deve tener conto nell’ambito del trattamento dei dati personali coinvolti nella gestione delle segnalazioni:
- Principi di liceità, correttezza e trasparenza à trattare i dati in modo lecito, corretto e trasparente nei confronti dei soggetti interessati.
- Principio di limitazione della finalità à raccogliere i dati solo al fine di gestire e dare seguito alle segnalazioni, divulgazioni pubbliche o denunce effettuate da parte dei soggetti tutelati dal d.lgs. 24/2023.
- Principio di minimizzazione dei datià Garantire che i dati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. A tal riguardo, il decreto precisa, infatti, che i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati senza indugio.
- Principio di esattezza à Assicurare che i dati siano esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti relativi alla specifica segnalazione, divulgazione pubblica o denuncia che viene gestita.
- Principio di imitazione della conservazioneà Conservare i dati in una forma che consenta l’identificazione degli interessati per il tempo necessario al trattamento della specifica segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.
- Principio di integrità, disponibilità e riservatezza à Effettuare il trattamento in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. Nel contesto in esame, caratterizzato da elevati rischi per i diritti e le libertà degli interessati, il ricorso a strumenti di crittografia nell’ambito dei canali interni e del canale esterno di segnalazione, è di regola da ritenersi una misura adeguata a dare attuazione, fin dalla progettazione e per impostazione predefinita, al predetto principio di integrità e riservatezza. Le misure di sicurezza adottate devono, comunque, essere periodicamente riesaminate e aggiornate.
- Informativa sul trattamento dei dati personali à Rendere ex ante ai possibili interessati (ad es. segnalanti, segnalati, persone interessate dalla segnalazione, facilitatori, ecc.) un’informativa sul trattamento dei dati personali mediante la pubblicazione di documenti informativi ad esempio tramite sito web, piattaforma, informative brevi in occasione dell’utilizzo degli altri canali previsti dal decreto.
- Registro delle attività di trattamento à Assicurare l’aggiornamento del registro delle attività di trattamento, integrandolo con le informazioni connesse a quelle di acquisizione e gestione delle segnalazioni.
- Garantire il divieto di tracciamento dei canali di segnalazione à Nel caso in cui l’accesso ai canali interni e al canale esterno di segnalazione avvenga dalla rete dati interna del soggetto obbligato e sia mediato da dispositivi firewall o proxy, deve essere garantita la non tracciabilità – sia sulla piattaforma informatica che negli apparati di rete eventualmente coinvolti nella trasmissione o monitoraggio delle comunicazioni – del segnalante nel momento in cui viene stabilita la connessione a tali canali
- Garantire il tracciamento dell’attività del personale autorizzato à Garantire, ove possibile, il tracciamento dell’attività del personale autorizzato nel rispetto delle garanzie a tutela del segnalante, al fine di evitare l’uso improprio di dati relativi alla segnalazione. Deve essere evitato il tracciamento di qualunque informazione che possa ricondurre all’identità o all’attività del segnalante.
Avv. Adamo Brunetti