28 Nov Il piano ispettivo del semestre luglio – dicembre: focus sul whistleblowing

Il Garante ha recentemente pubblicato il provvedimento con il quale ha deliberato il piano ispettivo di questo semestre, richiamando tra i trattamenti oggetto di possibile ispezione: “1. limitatamente al periodo luglio-dicembre 2019, l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata:

a) ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (d. whistleblowing)”.

Background

Il Garante privacy italiano ha altresì emanato un proprio Regolamento n.1/2019 “concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali” con il quale ha dettagliato i compiti e le procedure da seguire nell’espletamento dei suoi compiti.

Aspetti principali

Agli artt. 21 e 22 del predetto Regolamento sono dettate le disposizioni relative alle ispezioni. In particolare, con riferimento alla prima delle due norme citate viene stabilito che: “nell’esercizio  dei   compiti   di   controllo   o   comunque esercitabili dal Garante, valutati gli elementi  in  suo  possesso  e anche  in  assenza  di  reclamo,  segnalazione  o  notificazione di violazione dei dati personali,  l’Autorità  può  avviare  d’ufficio un’istruttoria preliminare per verificare la  sussistenza  di  idonei elementi in ordine a possibili violazioni della disciplina  rilevante in materia di protezione dei dati personali”. Con la seconda delle due norme sopra citate, invece, viene stabilita la vera e propria procedura che verrà seguita in caso di attività ispettiva. In particolare, dai commi 5 e ss. di tale disposizione viene chiarito che: “l’ordine di servizio con cui è disposta l’attività ispettiva individua il titolare o il responsabile del trattamento destinatari del controllo, il luogo dove si svolge l’accertamento, il responsabile dell’attività e gli ulteriori partecipanti, designati d’intesa con i dirigenti dei dipartimenti, servizi o altre unità organizzative; l’ordine di servizio indica altresì le sanzioni previste ai sensi dell’art. 83, paragrafo 5, lettera e), del RGDP e degli articoli 166 e 168 del codice”. Inoltre, viene precisato che nel corso di tali attività possono essere richieste copie di documenti, informazioni/spiegazioni, può essere fatto accesso alle banche dati e agli archivi e può essere altresì estratta copia degli stessi. Da ultimo, viene infine confermato che, nel corso dell’attività ispettiva, il titolare del trattamento può essere assistito dai propri consulenti e può anche riservarsi di produrre ulteriore documentazione a sua difesa.

Le principali fonti dell’Ispezione, oltre a quelle individuate nel piano ispettivo, possono derivare da segnalazioni o reclami degli interessati, ovvero da data breach notificati.

Implicazioni pratiche

Anzitutto, nell’ambito di un’eventuale ispezione il Nucleo Ispettivo vorrà verificare quale sia la procedura adottata dalla società in ambito whistleblowing, ossia comprendere quali sono i canali prescelti per le segnalazioni, il flusso dei dati, verificare il tempo di conservazione della documentazione e comprendere se, nel caso in cui il ricevente la segnalazione sia un soggetto interno all’azienda, esistano riceventi, per così dire, di “secondo livello” preposti a ricevere una segnalazione che riguardi il ricevente principale.

Una volta verificata la procedura, potrà essere richiesto di esibire la documentazione privacy che dimostri la corretta gestione del trattamento dei dati personali dei soggetti coinvolti.

È verosimile, anzitutto, che venga richiesto il registro dei trattamenti, che dovrà adeguatamente riflettere tutti i flussi di dati coerentemente a quanto descritto nella procedura. Il registro infatti è la principale fotografia dei trattamenti posti in essere dalla società, e tale deve essere anche per questo tipo di attività.

Secondariamente, potrà essere chiesto al titolare del trattamento di esibire l’informativa privacy che descrive il trattamento, verificando eventualmente anche la corretta diffusione del documento presso  i dipendenti.

Inoltre, al titolare occorrerà dimostrare di aver correttamente regolamentato i rapporti con i fornitori coinvolti nel trattamento, ove presenti, mediante la sottoscrizione di contratti per il trattamento dei dati personali.

Infine, il titolare dovrà avere adeguatamente regolato l’inquadramento – lato privacy – dei riceventi le segnalazioni e, quale misura di accountability, in sede di ispezione potrà dover esibire un registro delle segnalazioni.