21 Giu Whistleblowing: due nuove pronunce da parte del Garante

Posted at 16:29h in Privacy and Data Protection by

Autori: Valentina Sapuppo, Luciana Di Vito e Marco Emanuele Carpenelli.

Brevi cenni sul Whistleblowing e sui principali e più recenti arresti giurisprudenziali sul tema

Il Whistleblowing è ormai da tempo all’attenzione del Garante per la protezione dei dati personali (infra, per brevità, anche solo “Garante”), il quale negli ultimi anni ha avuto modo di pronunciarsi sul tema in diverse occasioni[1]. In questo contesto, la mancata attuazione della Direttiva (UE) 2019/1937 (di seguito, “Direttiva”)[2] da parte del legislatore non ha certamente agevolato l’adeguamento delle organizzazioni alla normativa di riferimento (segnatamente, l’art. 6, c. 2-bis del D.lgs. 231/2001 per quanto concerne le organizzazioni private; l’art. 54-bis del D.lgs. 165/2001 per quanto attiene invece alle pubbliche amministrazioni), che ancor oggi appare scarsamente organica.

La suddetta Direttiva, infatti, che impone l’obbligo per gli Stati membri di dettare norme minime comuni, atte a garantire – mediante una regolazione organica sia per il settore privato che per quello pubblico – una protezione efficace dei Whistleblowers[3], non risulta ancora recepita nel nostro ordinamento, essendo ormai inutilmente decorso il termine ultimo del 17 dicembre 2021 relativo all’esercizio della delega per la sua attuazione da parte del Governo[4].

Recentemente, il Garante è ritornato sul tema del Whistleblowing, ribadendo che “PA e imprese devono prestare la massima attenzione nell’impostazione e gestione dei sistemi di Whistleblowing, garantendo la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite”. Lo scorso 7 aprile, infatti, per il tramite di due distinti provvedimenti, il Garante ha rilevato violazioni della normativa in materia di protezione dei dati personali con specifico riferimento al tema del Whistleblowing, e così comminato sanzioni amministrative all’Azienda ospedaliera di Perugia[5] e alla società ISWEB S.p.A.[6], quale responsabile del trattamento che opera per conto della prima ai sensi dell’art. 28 del Regolamento (UE) 679/2016 (di seguito, anche solo “GDPR”), ciascuna per un totale di € 40.000.

L’aspetto principale messo in luce dai citati provvedimenti, come vedremo meglio anche nel paragrafo che segue, è da rinvenirsi ancora una volta nella necessità di preservare la riservatezza dei Whistleblowers, quale garanzia che deve permeare tutte le fasi del trattamento. Stesse valutazioni sono state ribadite rispetto alle misure di sicurezza da implementare sulla piattaforma di gestione delle segnalazioni di Whistleblowing.

Si tratta della stessa linea interpretativa adottata già da tempo dal Garante[7]. Sul punto, infatti, si ricordi il provvedimento verso l’Aeroporto Guglielmo Marconi di Bologna S.p.A. e al suo fornitore aiComply S.r.l., condannati al pagamento di una sanzione amministrativa pecuniaria di € 40.000 il primo[8] e di € 20.000 il secondo.

 

Il caso di specie: le violazioni imputate all’Azienda ospedaliera di Perugia e a ISWEB S.p.A.

Venendo all’esame dei provvedimenti qui in rilievo, si osserva come il Garante ha rilevato che l’Azienda ospedaliera di Perugia, oltre a profili legati all’inadeguatezza delle misure di sicurezza implementate sull’applicativo in uso (software open source GlobalLeaks)[9], abbia operato in contrasto con i “principi di “liceità, correttezza e trasparenza” e senza fornire agli interessati le informazioni relative al trattamento, in violazione degli artt. 5, par. 1, lett. a), 13 e 14 del Regolamento” e abbia agito “in maniera non conforme ai principi di “integrità e riservatezza”, della “protezione dei dati fin dalla progettazione” e della “protezione dei dati per impostazione predefinita”, in violazione degli artt. 5, par. 1, lett. f), e 25 del Regolamento” nonché – s’aggiunga – dell’art. 30 del GDPR, “non avendo [la Società] riportato nel registro dei trattamenti le attività di acquisizione e gestione delle segnalazioni di condotte illecite”; infine, in esito agli accertamenti istruttori condotti dal Garante, è risultato omesso anche lo svolgimento della necessaria valutazione di impatto ai sensi dell’art. 35 del GDPR.

Circa le violazioni imputate alla società ISWEB S.p.A., quale società fornitrice del software di gestione del programma di Whistleblowing, viene in particolare contestata l’assoluta mancanza di regolamentazione dei rapporti ai sensi dell’art. 28 del GDPR con Seeweb S.r.l., fornitore hosting del primo responsabile, i cui sistemi ospitavano l’applicativo Whistleblowing in uso dall’Azienda ospedaliera di Perugia. Alla menzionata omissione consegue, ad avviso del Garante, l’illiceità dell’intero trattamento posto in essere per la finalità di gestione delle segnalazioni di Whistleblowing, che risultava sprovvisto di un’adeguata regolamentazione a monte, venendo di fatto lo stesso eseguito in assenza delle necessarie istruzioni, tecniche e non solo (come ad esempio, in merito alla nomina di sub-responsabili, e di adeguati meccanismi di verifica delle misure di sicurezza garantite dal fornitore in aggiunta alla mancata esplicitazione delle modalità e delle finalità del trattamento.

 

Conclusioni e raccomandazioni pratiche

Dalla lettura dei sopra citati provvedimenti, emerge sempre con maggior evidenza la necessità che le organizzazioni che decidono di dotarsi di sistemi di segnalazione Whistleblowing prestino un’estrema attenzione al rispetto della tutela dei dati personali che vengono trattati per il tramite del sistema implementato. In tal senso, risulta quindi imprescindibile:

    • verificare attentamente le misure di sicurezza anche e soprattutto se attuate per il tramite responsabili e sub-responsabili del trattamento;
    • assicurare e rafforzare le garanzie, nel corso dell’intero trattamento, di riservatezza dell’identità del segnalante;
    • gestire l’intero sistema in conformità alla disciplina vigente, attraverso:
        • la somministrazione di un’adeguata informativa agli interessati;
        • il rilascio di adeguate istruzioni ai riceventi le segnalazioni;
        • la dettagliata descrizione del trattamento nel Registro delle attività di trattamento;
        • la predisposizione di autorizzazioni e data processing agreement;
        • lo svolgimento e, se del caso, l’aggiornamento costante di una valutazione di impatto.

 

 

 

[1] Per un approfondimento sul tema, si vedano i precedenti contributi offerti da ICTLC:

https://www.ictlc.com/whistleblowing-a-che-punto-siamo-arrivati/

https://www.ictlc.com/piano-ispettivo-luglio-dicembre-whistleblowing/

https://www.ictlc.com/piano-ispettivo-del-garante-per-la-protezione-dei-dati-personali-per-il-periodo-luglio-dicembre-2019/

https://www.ictlc.com/whistleblowing-adempimenti-in-pillole/

https://www.ictlc.com/whistleblowing-adempimenti-in-pillole-2-parte/

https://www.ictlc.com/whistleblowing-adempimenti-in-pillole-3a-parte/ 

[2] Cfr. Direttiva (UE) 2019/1937 del Parlamento Europeo e del Consiglio del 23 ottobre 2019 riguardante la protezione delle persone che segnalazioni violazioni del diritto dell’Unione,

https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32019L1937&from=RO

[3] I Whistleblowers sono coloro che segnalano, quali informatori, eventuali violazioni del modello organizzativo o del codice etico dell’organizzazione di appartenenza e, più in generale, azioni e condotte illecite.

[4] Sono attualmente al vaglio delle istituzioni legislative nazionali nuovi disegni di legge intesi a rinnovare il nuovo per l’esercizio della delega da parte del Governo ai fini del recepimento della Direttiva nel nostro ordinamento. Al riguardo, può essere d’interesse notare anche come, nel corso dell’audizione del Garante dell’8 marzo 2022 sul ddl di delegazione europea 2021 [doc. web n. 9751458], sia stato ribadito che, nell’esercizio della suddetta delega, è necessario “realizzare un congruo bilanciamento tra l’esigenza di riservatezza della segnalazione – funzionale alla tutela del segnalante, la necessità di accertamento degli illeciti e il diritto di difesa e al contraddittorio del segnalato. La protezione dei dati personali è, naturalmente, un fattore determinante per l’equilibrio tra queste istanze e perciò è opportuno un coinvolgimento del Garante in fase di esercizio della delega”.

[5] Cfr. Ordinanza ingiunzione nei confronti di Azienda ospedaliera di Perugia del 7 aprile 2022 [Doc-Web 9768363],

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9768363

[6] Cfr. Ordinanza ingiunzione nei confronti di ISWEB S.p.A. del 7 aprile 2022 [Doc-Web 9768387],

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9768387

[7] Per il 2009, si veda la Segnalazione del Garante al Parlamento e al Governo, sull’individuazione, mediante sistemi di segnalazione, degli illeciti commessi da soggetti operanti a vario titolo nell’organizzazione aziendale – 10 dicembre 2009 [doc-Web 1693019].

Per il 2019, si veda la Deliberazione del 12 settembre 2019 – Attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo luglio-dicembre 2019 [Doc-Web 9147297].

Per il 2020, si veda la Deliberazione del 1° ottobre 2020 – Attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo luglio-dicembre 2020 [Doc-Web 9468750].

[8] Cfr. Ordinanza ingiunzione nei confronti di Aeroporto Guglielmo Marconi di Bologna S.p.A. ove si legge che la società aveva posto in essere trattamenti di dati personali di dipendenti e altri interessati, mediante l’utilizzo dell’applicativo per l’acquisizione e gestione delle segnalazioni illecite, in maniera non conforme ai principi di “integrità e riservatezza”, della “protezione dei dati fin dalla progettazione” e della “protezione dei dati per impostazione predefinita”, in violazione degli artt. 5, par. 1, lett. f), e 25 del Regolamento; in assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, in violazione dell’art. 32 del Regolamento; non avendo effettuato una valutazione di impatto sulla protezione dei dati, in violazione dell’art. 35 del Regolamento.[…] In tale quadro, i soggetti obbligati al rispetto delle richiamate disposizioni devono trattare i dati necessari all’acquisizione e gestione delle segnalazioni nel rispetto anche della disciplina in materia di protezione dei dati personali.

[9] Cfr. Parere sullo schema diLinee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)– 4 dicembre 2019 [Doc-Web 9215763] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9215763

Tags:
, , , , ,
ICTLC Italy
italy@ictlegalconsulting.com