Whistleblowing e GDPR: ecco perché essere accountable è bello

Con il decreto legislativo 10 marzo 2023 n. 24 è stata data attuazione, all'interno del nostro ordinamento, alla direttiva (UE) 2019/1937 in materia di persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. 

È stata introdotta, seppur con notevole ritardo rispetto al termine inizialmente previsto, la disciplina relativa alla protezione dei c.d. "whistleblower", termine anglosassone che letteralmente sta ad indicare i "suonatori di fischietto", ovvero i soggetti che denunciano la commissione di eventuali illeciti all'interno di organizzazioni, enti, pubbliche amministrazioni ed aziende. 

Per le Aziende con più di 50 dipendenti l’ultima chiamata per applicarla sarà il 17 dicembre 2023.

La ratio di questa normativa, nata per evitare che i segnalatori (Whistleblowers) subiscano conseguenze negative successive e correlate alla propria condotta virtuosa e che per timore di ritorsioni desistano dai propri buoni propositi, permette all’azienda di gestire e risolvere internamente situazioni che potrebbero, se rese pubbliche o se sanzionabili, impattare negativamente dal punto di vista reputazionale con eventuali conseguenze anche economiche.

Le regole da applicare sono semplici: il titolare del trattamento, dovrà elaborare e mettere in atto il proprio modello organizzativo interno che permetta la corretta gestione delle segnalazioni; dovrà, ma avrà anche tutto l’interesse nel farlo, adottare sistemi informatici per la gestione che siano garantiti affinchè i dati personali trattati durante la segnalazione non siano soggetti a rischi di accesso abusivo, di perdita o di trattamento illecito, il tutto per evitare eventuali ricorsi ad ANAC o, peggio ancora, alla divulgazione pubblica.

Le segnalazioni, infatti, potranno avvenire attraverso i canali interni oppure direttamente all'ANAC – Autorità Nazionale Anticorruzione - in una serie di casi particolari, ad esempio laddove il canale di segnalazione interno non sia stato attivato, non sia adempiente agli obblighi normativi o se la segnalazione interna sia già stata effettuata ma non abbia avuto seguito o possa presentarsi il rischio effettivo di ritorsioni a carico del segnalante.

Il ricorso alla segnalazione pubblica (tramite la stampa, mezzi elettronici o mezzi di diffusione in grado di raggiungere un numero elevato di persone) è previsto invece nei casi, fra gli altri, in cui il segnalante non abbia ottenuto adeguato riscontro nonostante l’utilizzo degli altri canali o abbia fondato motivo di ritenere che la segnalazione comporti il rischio di ritorsioni.

Poste queste premesse, pare chiaro quanto scegliere una soluzione conforme al dettato normativo e garantista della riservatezza e confidenzialità, rappresenti per il titolare del trattamento non solo l’ennesimo onere da mal sopportare, ma una grande opportunità per salvaguardare l’immagine reputazionale e, a cascata, tutti gli interessi connessi.   

Passando alle ricadute sul fronte della privacy, l'ente che ha adempiuto agli obblighi in materia di whistleblowing tratterà i dati relativi in qualità di titolare del trattamento e quindi di tali trattamenti sarà chiamato a rispondere. 

Alla luce del principio dell'accountability introdotto dal GDPR, quindi, l'azienda dovrà organizzarsi internamente e adottare le misure di sicurezza necessarie per garantire la riservatezza e la sicurezza dei dati trattati per effetto delle segnalazioni raccolte. 

Dovrà preoccuparsi dei dati del segnalante, ma anche degli interessati oggetto delle segnalazioni e di eventuali terzi coinvolti, fornendo adeguate informative circa i trattamenti di cui siano oggetto (artt. 13 e 14 GDPR).

Il titolare, nell'elaborazione del proprio modello, dovrà fare riferimento alle prescrizioni del GDPR e, in particolare, a quanto prescritto dall’art. 32 in termini di sicurezza del trattamento.

Inoltre, il Decreto in esame fa esplicitamente riferimento alla valutazione di impatto sulla protezione dei dati regolata dall’art. 35 del Regolamento, c.d. DPIA (Data Protection Impact Assessment), che dovrà essere effettuata analizzando i rischi a cui sono soggetti i dati personali riferiti a tutti gli interessati coinvolti, progettando misure di sicurezza specifiche finalizzate alla riduzione del rischio residuale in termini di probabilità e di gravità. 

Gli obiettivi di riservatezza e sicurezza delle segnalazioni dovranno giocoforza essere raggiunti attraverso l'utilizzo di sistemi dedicati e che forniscano le adeguate garanzie; per intenderci non basterà più avere una casella e-mail anche fosse una pec per poter ricevere e gestire segnalazioni.

Il Titolare del trattamento dovrà prestare la massima attenzione nella scelta dei fornitori di questi servizi informatici e valutare nel dettaglio il loro livello di affidabilità, anche dal punto di vista della privacy compliance. 

Il fornitore dovrà essere nominato responsabile del trattamento ai sensi dell’art. 28 del GDPR, come peraltro esplicitato dal sesto comma dell’art. 13 del decreto. 

Diventerà così centrale la redazione del c.d. Data Protection Agreement, l'accordo di nomina a responsabile, che dovrà prevedere i diritti e i doveri delle parti e soprattutto espliciterà le misure di sicurezza con cui il fornitore proteggerà i trattamenti di dati personali svolti "per conto" del Titolare.

Parallelamente, i soggetti individuati internamente quali riceventi delle segnalazioni dovranno essere autorizzati e istruiti, oltreché opportunamente sensibilizzati sulla delicatezza e importanza del ruolo che andranno a ricoprire, precisando esplicitamente che, in ottemperanza a quanto disposto dall’art. 12 del decreto legislativo n. 24/2023, è fatto loro espresso divieto di violare l’obbligo di riservatezza gravante sui dati al cui trattamento sono autorizzati nello svolgimento dell’assegnata mansione all’interno della procedura di whistleblowing.

Da ultimo, l'art. 14 del Decreto sancisce le regole in termini di conservazione delle segnalazioni e quindi anche dei dati personali ivi contenuti. Viene indicato come parametro il tempo necessario alla gestione della segnalazione e comunque posto il limite dei 5 anni a decorrere dalla data della comunicazione dell'esito della stessa. 

La previsione è coerente con il principio della privacy by default e della minimizzazione del trattamento dei dati personali, che non ammette la conservazione perpetua. Il Titolare del trattamento dovrà quindi prevedere nell’ambito delle procedure anche le policy interne di cancellazione dei dati personali trattati.

Emerge dunque come la normativa in materia di whistleblowing sia strettamente connessa al tema privacy, non solo per quanto attiene al profilo della riservatezza dei dati, ma anche dei numerosi adempimenti specifici necessari per trattare correttamente le informazioni raccolte. 

Da considerare, infine, che gli illeciti in materia di privacy sono ricompresi all'interno dell'elenco delle fattispecie che potranno essere oggetto di segnalazione; con l’auspicio che questo aspetto possa dare una spinta anche alla diffusione e al miglioramento della cultura della privacy compliance.