Da qualche giorno la normativa sul Whistleblowing è ormai efficace.
Così, ogni soggetto pubblico o privato, obbligato ad applicare la particolare disciplina, ha, quindi, già dovuto attivare il proprio canale di segnalazione interna, affidandone la relativa gestione a una persona o a un ufficio interno autonomo dedicato ovvero a un soggetto esterno.
Per assicurare il regolare funzionamento del canale di segnalazione interna, ciascun soggetto deve anche avere già realizzato tutti i necessari adempimenti “privacy” richiamati, in modo puntuale, dalla particolare disciplina.
Quindi in particolare deve avere già:
- eseguito una valutazione di impatto sulla protezione dei dati (c.d. DPIA);
- istruito e autorizzato allo specifico trattamento i dipendenti competenti a ricevere o a dare seguito alle segnalazioni;
- disciplinato il rapporto con eventuali soggetti esterni chiamati a gestire il canale di segnalazione interna, designandoli “responsabili del trattamento”.
Whistleblowing, la redazione della DPIA: un adempimento di processo, non di piattaforma
Il ruolo emergente del DPO tra silenzio normativo e necessità
È molto verosimile che si sia profilata la necessità di eseguire tutte queste attività con il supporto costante del DPO, quantunque la disciplina del Whistleblowing non riporti alcun riferimento a tale figura essenziale e necessaria per proteggere i dati personali.
I trend che guidano il mercato della cybersecurity in Italia
Eppure, tra silenzio normativo e necessità, è prevedibile che il DPO interpreterà un ruolo emergente e di rilievo nel sistema “Whistleblowing”.
Cerchiamo, allora, di comprendere come potrà essere svolto tale ruolo, esaminando alcuni concreti scenari che possono aiutare a dipanare la grande complessità del sistema.
Il DPO può diventare Whistleblower?
Prima di esaminare alcuni scenari concreti che possono aiutare ad avere contezza del ruolo che il DPO potrà svolgere nel sistema “Whistleblowing”, va subito chiarito che non sembra sussistere alcun dubbio circa la possibilità che un DPO, interno o esterno, nell’ambito di un’organizzazione pubblica o privata, possa diventare “Whistleblower”.
Ciò poiché il DPO, avendo tra propri compiti anche quello di sorvegliare l’applicazione della normativa privacy, risulta, di fatto, una “persona con funzioni di controllo e vigilanza” che, ai sensi dell’art.3, comma 3, lettera h) del D.lgs. 24/2023 può, appunto, segnalare violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui sia venuta a conoscenza nel contesto lavorativo in cui opera.
Scenario 1: il DPO acquisisce conoscenza di una violazione rientrante nel perimetro GDPR
Invero, un problema si pone solo quando un DPO, nel corso dello svolgimento dei suoi compiti, si trovi a conoscere una violazione della normativa in materia di protezione dei dati personali.
Si pensi, ad esempio, al caso di un DPO che, nel corso di un audit programmato all’area ICT, rilevi che dei server contenenti dati personali, anche di natura particolare, sono stati recentemente dismessi. Si ipotizzi poi che all’interno dell’organizzazione del titolare è anche disponibile la procedura che regolamenta la dismissione dell’hardware ma che, tuttavia, tale procedura non è stata applicata. Per cui, i server sono stati smaltiti senza rimuovere preventivamente i dati ivi contenuti.
In questa situazione, lo stesso DPO, al termine dell’audit, dovrà formulare una “Non Conformità” al principio di “integrità e riservatezza” fissato nel GDPR dall’art 5 par. 1 lettera f) e, contestualmente, fornire istruzioni e consulenza, in modo congruente a quanto previsto dall’art. 39, par. 1 lettera a) del GDPR, trattandosi di un data breach.
Si ipotizzi anche che, a seguito di tali istruzioni e consulenza il titolare non metta in atto alcuna azione, né per valutare l’incidente, né per gestirlo, né per prevenire, attraverso un’azione correttiva, il ripetersi di tale evento.
Come dovrebbe comportarsi lo stesso DPO in una tale situazione?
In questo caso, vi è una evidente frizione tra le disposizioni del D.lgs. 24/2023 e quelle del GDPR.
Analizziamo, allora, questo gap ed individuiamo una possibile soluzione.
Il D.lgs. 24/2023 disegna un sistema volto a garantire (anche ad un DPO) l’esercizio del diritto alla libertà di espressione e d’informazione, sancito dall’articolo 11 della Carta di Nizza e dall’articolo 10 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (vds. Considerando 31 e 109 della Direttiva (UE) 2019/1937 relativa al Whistleblowing).
Di contro, l’art. 39 del GDPR stabilisce il “dovere”, rectius: il “compito” del DPO di sorvegliare l’osservanza della normativa in materia di data protection nonché delle relative politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali. La stessa norma attribuisce al DPO anche, contestualmente, il compito di fungere da punto di contatto per l’Autorità Garante per qualunque questione connessa al trattamento.
Pertanto, non sembra revocabile in dubbio che il DPO che, nell’esercizio del suo compito/dovere di sorvegliante, venga a conoscenza di una possibile violazione della normativa privacy, deve attivare il titolare o responsabile del trattamento, fornendo specifiche informazioni e consulenze per rimettere in equilibrio il sistema dei trattamenti di dati personali.
Qualora resti inascoltato e le sue attivazioni del titolare o responsabile del trattamento non abbiano alcun esito, come “extrema ratio”, Egli dovrebbe segnalare la violazione direttamente all’Autorità Garante, senza avvalersi del canale di segnalazione interna del Whistleblower.
D’atra parte lo stesso GDPR già pone delle guarentigie e delle specifiche misure anti-ritorsive in favore del DPO. Infatti:
- il Considerando 97 del GDPR stabilisce che il DPO dovrebbe poter adempiere alle sue funzioni e ai suoi compiti in maniera indipendente;
- l’art. 38, paragrafo 3 prescrive che lo stesso DPO non può essere rimosso o penalizzato dal titolare o dal responsabile del trattamento per l’adempimento dei propri compiti.
D’altra parte, qualora il DPO segnali una violazione privacy non direttamente al Garante ma sul canale di segnalazione interna in veste di Whistleblower, l’organo gestore, auspicabilmente, dovrebbe evitare di dare seguito a detta segnalazione, invitando lo stesso DPO ad esercitare in modo rituale i compiti a lui attribuiti dal GDPR.
Scenario 2: il DPO acquisisce conoscenza, da un Whistleblower, di una violazione GDPR
Per continuare a comprendere e a delineare il possibile ruolo del DPO nella complessità del sistema Whistleblowing, si consideri il caso in cui un lavoratore venga a conoscenza di una violazione della normativa in materia di protezione dei dati nell’ambito dell’organizzazione in cui lavora e decida di segnalarla, in veste di Whistleblower, al DPO invece che al gestore del canale di segnalazione interna appositamente attivato.
In questa particolare situazione il DPO, in applicazione della regola posta dall’art. 13, comma 2 del D.lgs. 24/2023 dovrebbe cancellare la segnalazione pervenuta ed invitare il Whistleblower ad inoltrare una rituale segnalazione sul canale interno, seguendo le relative istruzioni. Potrebbe anche inoltrare la segnalazione ricevuta direttamente al gestore del canale interno, senza conservare alcuna documentazione ai propri atti e dandone contestualmente notizia al Whistleblower.
Inoltre, immediatamente dopo, in esecuzione dei compiti a lui attribuiti dall’art. 39 del GDPR, senza mai fare alcun riferimento al whistleblower, lo stesso DPO dovrebbe, comunque, anche aver cura di fornire istruzioni e consulenza al proprio titolare o responsabile del trattamento per elidere o mitigare le conseguenze dannose della violazione.
Ipotizzando che il titolare o il responsabile del trattamento non tenga in alcun conto le istruzioni e la consulenza ricevute, si profilerà lo scenario 1 precedentemente descritto. Il DPO dovrebbe quindi segnalare la violazione direttamente all’Autorità Garante, anticipando gli esiti della gestione della segnalazione del Whistleblower.
Scenario 3: il DPO acquisisce conoscenza di una violazione non rientrante nel perimetro GDPR
Un altro utile scenario potrebbe essere quello in cui un DPO nel corso di un audit programmato all’area ICT rileva che alcuni server contenenti dati personali, anche di natura particolare, sono stati recentemente dismessi.
Per quanto non siano presenti delle procedure specifiche, sono disponibili le registrazioni atte a dimostrare che prima della dismissione tutti i dati presenti sono stati preventivamente trasferiti su un altro supporto e quindi cancellati dai server che, infine, sono stati ripristinati alle condizioni di fabbrica.
I dati degli interessati non sono quindi più disponibili su tali dispositivi nel pieno rispetto di quanto previsto dal GDPR.
Nel corso della verifica emerge inoltre che non è stata rispettata la Direttiva RAEE (recepita dal D.lgs. 151/2005) relativamente allo smaltimento delle apparecchiature elettriche ed elettroniche. Il DPO, quindi, formula al proprio titolare/responsabile una raccomandazione sull’opportunità di dotarsi di una procedura per la dismissione e lo smaltimento dei rifiuti elettronici.
Nel rapporto non riporta alcun riferimento al mancato rispetto della Direttiva poiché considera tale ambito esterno al suo perimetro d’intervento.
In questa particolare situazione, però, il DPO potrebbe anche valutare di effettuare, quale Whistleblower, tramite il canale interno, una segnalazione di violazione della Direttiva RAEE, benché non siano state compromesse in alcun modo la riservatezza e disponibilità dei dati personali.
Scenario 4: il DPO acquisisce conoscenza di una violazione svolgendo altri compiti e funzioni
Un ulteriore scenario che può aiutare a comprendere l’ambito di operatività del DPO all’interno dell’ecosistema Whistleblowing può essere il caso di un DPO che, in linea con quanto previsto dall’art. 38 par. 6 del GDPR, svolga, non in conflitto di interesse, anche altri compiti diversi da quelli fissati dall’art. 39 del GDPR, come ad esempio quello di CFO.
In tale quadro, egli, se nel corso di un controllo interno, accerta che il Responsabile “Procurement” è stato corrotto da un fornitore, può, anche in questo caso, assumere la veste di whistleblower e segnalare la violazione accertata, tramite il canale di segnalazione interna, beneficiando così delle specifiche, particolari misure di protezione.
In tale contesto, infatti, non sta operando come DPO ma come collaboratore dell’azienda e deve pertanto essere garantita la sua tutela in accordo con quanto previsto dal D.lgs. 24/2023.
Conclusioni
In conclusione, si è cercato di evidenziare che il DPO, benché non sia menzionato esplicitamente nella disciplina sul Whistleblowing, potrebbe, plausibilmente, svolgere un ruolo emergente e cruciale, all’interno del particolare sistema.
Infatti, la sua elevata competenza in materia di privacy, insieme alla possibilità di agire come Whistleblower, lo posiziona al centro della tutela dei dati e dell’integrità organizzativa in un contesto di segnalazione di illeciti.
Questo insieme di circostanze conferisce al DPO un ruolo non solo di protettore dei dati personali, ma anche di promotore dell’etica e della legalità, contribuendo alla creazione di un ambiente organizzativo trasparente e responsabile.
Sei sicuro della conformità ESG dei tuoi prodotti? Elimina ogni dubbio scaricando l'eBook!
@RIPRODUZIONE RISERVATA