La tutela dell’identità del segnalante nel quadro della disciplina dettata in materia di segnalazioni di condotte illecite (“whistleblowing”)

Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Massima (1) – In caso di adozione di un sistema di whistleblowing, il titolare del trattamento, in applicazione del principio di “liceità, correttezza e trasparenza”, ha l’obbligo di fornire preventivamente a tutta la platea dei possibili soggetti interessati (tra cui il segnalante, il soggetto segnalato e i terzi comunque coinvolti nei fatti segnalati) specifiche informazioni sul trattamento dei dati personali e deve adottare misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 del GDPR.

Massima (2) – Nell’ambito della disciplina relativa alla tutela del dipendente pubblico che segnala illeciti e di quella in materia di whistleblowing riferita ai soggetti privati, andata ad integrare la normativa in materia di responsabilità amministrativa delle persone giuridiche, il titolare del trattamento (considerata anche la particolare delicatezza delle informazioni potenzialmente trattate e la “vulnerabilità” degli interessati nel contesto lavorativo), anche quando utilizza prodotti o servizi realizzati da terzi oltre all’assolvimento dell’obbligo di rendere adeguate informazioni agli interessati deve eseguire, anche avvalendosi del supporto del responsabile della protezione dei dati ove nominato, una valutazione dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento.

Massima (3) – I trattamenti di dati personali effettuati per finalità di acquisizione e gestione di segnalazioni di condotte illecite (c.d. whistleblowing) vanno censiti nel registro delle attività di trattamento di cui all’art. 30 GDPR, che deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. La tenuta del registro è funzionale al rispetto del principio di “responsabilizzazione” del titolare (art. 5, par. 2, GDPR), in quanto costituisce uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione del titolare. Ciò risulta particolarmente rilevante con riguardo alle attività di valutazione e di analisi del rischio, costituendo, pertanto, un adempimento preliminare rispetto a tali attività.

Massima (4) – La registrazione e la conservazione, nei log degli apparati firewall, delle informazioni relative alle connessioni all’applicativo utilizzato per la segnalazione di condotte illecite (whistleblowing), che consentono la tracciabilità dei soggetti che utilizzano tale applicativo, tra i quali i segnalanti, non risulta conforme alla disciplina in materia di protezione dei dati personali, con particolare riferimento agli artt. 5, par. 1, lett. f) e 32 del GDPR, in materia di sicurezza e all’art. 25 GDPR, in tema di privacy by design e by default, in quanto le predette informazioni, direttamente identificative degli utenti dell’applicativo, finiscono per rendere del tutto inefficaci le altre misure adottate per tutelare la riservatezza dell’identità dei segnalanti.

Massima (5) – Le credenziali di autenticazione (una per verifica dell’anagrafica dei segnalanti e una per la gestione delle segnalazioni di attività illecite) assegnate ed utilizzate dal RPCT quale soggetto legittimato alla gestione del whistleblowing, devono essere immediatamente disattivate qualora lo stesso rassegni le proprie dimissioni, anche se abbia provveduto a consegnare le predette credenziali al responsabile dell’Ufficio prevenzione della corruzione, trasparenza e trattamento dei dati personali all’interno di una busta chiusa, affinché le stesse vengano consegnate al nuovo RPCT. Allo stesso modo va impedito che il RPCT dimissionario possa avere accesso alle notifiche dell’avvenuta iscrizione di un segnalante e della ricezione di una segnalazione, qualora l’applicativo web per la gestione del whistleblowing provveda a trasmettere tali informazioni ad un indirizzo di posta elettronica preimpostato.

Massima (6) – Il trattamento dei dati personali effettuato mediante i sistemi di acquisizione gestione delle segnalazioni di attività illecite (whistleblowing) presenta rischi specifici per i diritti e le libertà degli interessati, considerata anche la particolare delicatezza delle informazioni potenzialmente trattate, la “vulnerabilità” degli interessati nel contesto lavorativo, nonché lo specifico regime di riservatezza dell’identità del segnalante previsto dalla normativa di settore. In relazione a tale trattamento sussiste pertanto l’obbligo di effettuare preventivamente la valutazione di impatto di cui all’art. 35 GDPR, necessaria a individuare misure specifiche per attenuare i rischi derivanti da tale trattamento.

Provvedimento: GPDP, Docweb n. 9768363 dell’11 maggio 2022

Link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9768363

Keywords: Lavoro e previdenza, misure di sicurezza, lavoro pubblico, segnalazioni di attività illecite, whistleblowing, principio di liceità, principio di correttezza, principio di trasparenza, principio di integrità e riservatezza, principio di responsabilizzazione, accountability, informativa, misure di sicurezza, privacy by design e by default, credenziali di autenticazione, registro delle attività di trattamento, valutazione di impatto (DPIA)

Riferimenti normativi: art. 54-bis del d.lgs. n. 165/2001; art. 6, co. 2-bis, d.lgs. n. 231/2001; artt. 1, co. 2, e 2, l. n. 179/2017; artt. 5, par. 1, lett. a) e f), 13-14, 25, 30, 32 e 35 GDPR. Si veda anche: GPDP, provv. 4 dicembre 2019 n. 215, Docweb n. 9215763, parere del Garante sullo schema di «Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)» di ANAC.

Data del commento: 8 agosto 2022

Massime e Commento di Luca Petrone

1. Il caso

Nell’ambito di un ciclo di attività ispettive avente ad oggetto le principali funzionalità di alcuni tra gli applicativi per l’acquisizione e gestione delle segnalazioni di illeciti più diffusamente impiegati dai datori di lavoro pubblici e privati nel quadro della disciplina in materia di segnalazione di condotte

illecite (c.d. whistleblowing), che prevede specifiche garanzie a tutela dell’identità del segnalante, il Garante per la protezione dei dati personali (nel proseguo anche semplicemente “Garante” o “autorità di controllo”) ha eseguito specifici accertamenti, tra i quali quello rivolto all’Azienda Ospedaliera di Perugia e al relativo fornitore Isweb S.p.A. (cfr. provv. GPDP, doc. web n. 9768387 dell’11 maggio 2022) che mette a disposizione e gestisce l’applicativo utilizzato per l’acquisizione e la gestione delle segnalazioni di condotte illecite e che, in ragione di ciò, è stato, dalla stessa Azienda ospedaliera, individuato quale responsabile del trattamento.

2. Le questioni

Le questioni che il caso solleva ruotano tutte intorno al rapporto tra la disciplina in materia di tutela del dipendente che segnala illeciti e la disciplina in materia di protezione dei dati personali, con particolare attenzione all’assolvimento, da parte del titolare, degli obblighi informativi nei confronti degli interessati, della corretta indicazione di tale attività all’interno del registro delle attività di trattamento, dell’adozione di adeguate misure tecniche ed organizzative e dell’esecuzione di una valutazione d’impatto sulla protezione dei dati avente ad oggetto l’applicativo utilizzato per la gestione delle segnalazioni (DPIA).

2.1. Il whistleblowing ed il suo inquadramento giuridico: brevi cenni.

Il termine whistleblowing ha origine nella letteratura americana e fa riferimento alla condotta di chi, all’interno di contesti lavorativi organizzati, rivela (“to blow the whistle”) a terzi o pubblicamente l’esistenza di pratiche illegali.

Al fine di fornire una panoramica dell’istituto in questione, senza avere la pretesa di essere esaustivo, si ricorda che le prime disposizioni in materia sono state introdotte con la l. n. 190/2012 attraverso la quale il legislatore è prima di tutto intervenuto sulla disciplina generale del pubblico impiego (d.lgs. n. 165/2001) inserendo in tale contesto normativo l’art. 54-bis, rubricato «Tutela del dipendente pubblico che segnala illeciti», nel quale si è prevista una prima embrionale tutela a favore del whistleblower in tale settore. Di due anni successiva è l’attribuzione all’Autorità nazionale anticorruzione (ANAC) del potere di ricevere segnalazioni dei dipendenti pubblici ed anche di applicare sanzioni in caso di adozione di misure discriminatorie (d.l. n. 90/2014, convertito con l. n. 114/2014).

Successivamente la materia è stata riformata dalla legge n. 179/2017 con la quale, oltre ad intervenire sul testo del sopra citato art. 54-bis del d.lgs. n. 165/2001, si è modificato l’art. 6 del d.lgs. n. 231/2001 estendendo le tutele del segnalante al settore privato.

In particolare sono state introdotte misure volte a proteggere la divulgazione dell’identità del segnalante, allo scopo di prevenire l’adozione, da parte – ma non solo – del soggetto datoriale, di misure discriminatorie nei confronti dello stesso.

Nel quadro così delineatosi, infatti, «l’identità del segnalante non può essere rivelata» (art. 54-bis, co. 3), con alcuni contemperamenti in relazione ai procedimenti penali, contabili o disciplinari che dovessero seguire alla segnalazione; segnalazione che è stata inoltre sottratta all’accesso previsto dagli artt. 22 e seguenti della legge 7 agosto 1990, n. 241, e successive modificazioni (art. 54-bis, comma 4).

2.2. Whistleblowing e GDPR (informativa, valutazione dei rischi e disattivazione delle funzioni prive di connessione con una base giuridica, registro dei trattamenti, riservatezza dei segnalanti e log-file, gestione delle credenziali di autenticazione, valutazione di impatto)

Il contesto nel quale l’istituto del whistleblowing trova applicazione e le conseguenze che potrebbero derivare da una gestione disinvolta da parte dell’organizzazione dei dati dell’autore della segnalazione rende evidente la relazione con la tematica della protezione dei dati personali, dovendosi procedere con un congruo bilanciamento tra l’esigenza di riservatezza del segnalante, la necessità di accertare gli illeciti e il diritto di difesa del segnalato.

Se da un lato, infatti, la tutela dei dati personali di coloro che inoltrano la segnalazione avrebbe, in primo luogo, lo scopo di scongiurare l’eventuale adozione da parte del soggetto datoriale, nei loro confronti, di misure lato sensudiscriminatorie, dall’altro la corretta gestione delle informazioni acquisite si porrebbe anche a protezione delle persone fisiche (identificate o identificabili) indicate come possibili responsabili delle condotte illecite o a quelle a vario titolo coinvolte nelle vicende segnalate, tenendo conto che ci si troverebbe di fronte a “trattamenti” di dati personali anche appartenenti a particolari categorie di dati e relativi a condanne penali e reati, eventualmente contenuti nella segnalazione e in atti e documenti ad essa allegati,.

Fermo restando che in tale contesto i trattamenti di dati personali effettuati dai soggetti obbligati potrebbero essere considerati necessari per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento [artt. 6, par. 1, lett. c), 9, par. 2, lett. b), e 10 del Reg. UE 2016/679, in relazione all’art. 54-bis], in ragione della delicatezza di tale attività di trattamento, il Garante per la protezione dei dati personali ha assunto, mediante il provvedimento oggetto del presente commento e attraverso quelli pubblicati nel recente passato, un atteggiamento piuttosto rigoroso nel verificare il rispetto della disciplina in materia di privacy.

In particolare l’autorità di controllo ha evidenziato in più occasioni, oltre che nel provvedimento in esame:

a) l’assenza di un’adeguata informativa ai soggetti interessati ai sensi degli artt. 13-14 del GDPR in violazione dei principi di liceità, correttezza e trasparenza;

b) il mancato censimento nel registro delle attività di trattamento (art. 30 GDPR) dei trattamenti di dati personali effettuati per finalità di whistleblowing. Tale mancanza rappresenterebbe per l’autorità una violazione del più generale principio di “accountability” del titolare, essendo, il documento citato, uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione del titolare medesimo;

c) il mancato rispetto da parte del titolare del trattamento dei principi in materia di protezione dei dati, dovendo trattare quelli relativi al segnalante, al segnalato e ad eventuali terzi, con modalità tecniche ed organizzative tali da garantirne un’adeguata sicurezza e idonee a prevenire trattamenti non autorizzati o illeciti, nonché la perdita, la distruzione o danni accidentali (art. 5 GDPR) definendo un modello di gestione delle segnalazioni in conformità ai principi della “privacy by design” e della “privacy by default” (art. 25 del GDPR).

Nel corso dell’istruttoria eseguita nei confronti dell’Azienda ospedaliera destinataria del provvedimento oggetto del presente commento, l’autorità di controllo avrebbe accertato che l’applicativo per l’acquisizione e la gestione delle segnalazioni di condotte illecite, nonostante fosse accessibile esclusivamente da postazioni di lavoro attestate alla rete aziendale mediante sistemi firewall di nuova generazione, memorizzava in appositi file di log le operazioni di navigazione effettuate, unitamente a dati che consentivano di risalire anche indirettamente ai dipendenti o ad altri soggetti che le avevano effettuate, rendendo così inefficaci le misure adottate per tutelare la riservatezza dell’identità dei segnalanti.

In particolare i log generati dai predetti apparati firewall contenevano, tra gli altri, l’indirizzo IP della postazione di lavoro utilizzata per la connessione all’applicativo in questione e la username del soggetto che aveva effettuato l’accesso, consentendo così la tracciabilità dei soggetti che utilizzano tale applicativo. A ciò doveva aggiungersi che i log di navigazione, prima di essere sovrascritti, risultavano conservati su un server virtuale collegato al firewall citato fino al raggiungimento del limite dimensionale su di esso impostato (150 GB) e successivamente conservati per un ulteriore periodo nell’ambito delle procedure di backup.

Tali modalità di gestione non sono state ritenute conformi alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32 del GDPR che stabilisce che il titolare del trattamento debba mettere in atto misure per «assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento» [art. 32, par. 1, lett. b)] e che «nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati» (art. 32, par. 2).

Ovviamente l’obbligo di dotarsi di misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati, ha avuto modo di precisare il Garante, si estende anche ai trattamenti svolti per mezzo di un responsabile del trattamento che dovrebbero essere regolarmente esaminati e valutati dal titolare per garantire che continuino ad essere rispettati i principi sopra richiamati e permettano al medesimo di adempiere gli obblighi previsti dal Regolamento.

Oltre alle carenze organizzative e tecniche poc’anzi evidenziate, il Garante per la protezione dei dati personali, con il provvedimento in esame, ha affermato che il titolare del trattamento, oltre a rispettare il principio della “privacy by design” (art. 25, par. 1, GDPR) deve anche, in conformità al principio della “protezione dei dati per impostazione predefinita” o “privacy by default” (art. 25, par. 2, GDPR), effettuare scelte tali da garantire che venga effettuato, per impostazione predefinita, solo il trattamento strettamente necessario per conseguire una specifica e lecita finalità. Ciò comporta quindi che, per impostazione predefinita, il titolare del trattamento non deve raccogliere dati personali che non siano necessari per la specifica finalità del trattamento.

In tal senso, il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, dovrebbe eseguire, anche avvalendosi del supporto del responsabile della protezione dei dati ove nominato, una valutazione dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, in particolare, per ciò che in questa sede è di interesse, la disciplina in materia di whistleblowing.

Inoltre, sempre nel corso dell’istruttoria, l’autorità di controllo ha appreso che l’applicativo utilizzato per la gestione delle segnalazioni continuava ad inviare le notifiche dell’avvenuta iscrizione di un segnalante e della ricezione di una segnalazione al dimesso Responsabile della Prevenzione della Corruzione e della Trasparenza (RPCT) le cui credenziali, per altro, erano rimaste attive e consegnate ad altro responsabile operante all’interno dell’Azienda ospedaliera verificata.

Ovviamente è stato rilevato che, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, che comporta l’acquisizione e la gestione delle segnalazioni di condotte illecite, le modalità di gestione delle credenziali di autenticazione per l’accesso all’applicativo non fossero adeguate sotto il profilo della sicurezza.

Infatti, tenuto conto del particolare regime di riservatezza dell’identità del segnalante prevista dalla legge, tali circostanze determinavano un elevato e ingiustificato rischio per i diritti e le libertà degli interessati, in considerazione delle gravi conseguenze che sarebbero potute ad essi derivare da eventuali accessi non autorizzati alle segnalazioni pervenute nel periodo intercorrente tra le dimissioni del RPCT e la nuova nomina del suo sostituto.

In tal senso, le modalità adottate di gestione delle credenziali di autenticazione per l’accesso all’applicativo in questione non sono state ritenute conformi alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32 del GDPR.

Infine, il Garante ha avuto modo di precisare che, tenuto conto anche delle indicazioni fornite a livello europeo, sarebbe quanto mai opportuno procedere ad una preliminare valutazione d’impatto sulla protezione dei dati, in ragione del fatto che i trattamenti effettuati mediante applicativi per l’acquisizione e gestione delle segnalazioni illecite presentano rischi specifici per i diritti e le libertà degli interessati, considerata anche la particolare delicatezza delle informazioni potenzialmente trattate e la fragilità degli interessati nel contesto lavorativo, nonché lo specifico regime di riservatezza dell’identità del segnalante previsto dalla normativa di settore.

A conferma dell’attenzione che l’autorità di controllo italiana ha posto al tema, pare opportuno precisare che la stessa ha disposto che le garanzie tecniche ed organizzative sopra citate dovrebbero sussistere anche laddove non venisse acquisita e trattata alcuna segnalazione di condotte illecite mediante l’applicativo whistleblowing, a condizione, come nel caso fatto oggetto del presente commento, che il titolare abbia comunque posto in essere trattamenti di dati personali mediante la registrazione e la conservazione, all’interno dei log degli apparati firewall, di informazioni relative alle connessioni all’applicativo in questione da parte degli utenti, anche solo relative al mero accesso e consultazione delle pagine webdell’applicativo.

3. Precedenti

Sul rapporto tra disciplina in materia di whistleblowing e privacy il Garante è stato di recente più volte chiamato a pronunciarsi.

Tra i provvedimenti più significativi si vedano, ad esempio: (i) il provvedimento correttivo e sanzionatorio nei confronti di Università degli studi di Roma “La Sapienza” del 23 gennaio 2020, Docweb n. 9269618, mediante il quale il Garante ha ritenuto che la violazione di dati personali gestiti mediante la piattaforma utilizzata per l’acquisizione e la gestione delle segnalazioni di illeciti, accidentale e tempestivamente notificata da parte dell’Ateneo, fosse conseguenza di un trattamento di dati personali non conforme al rispetto dei principi di “liceità, correttezza e trasparenza”, in violazione dell’art. 5, par. 1, lett. a), del GDPR. Inoltre l’Ente universitario è stato ritenuto responsabile per assenza di idoneo presupposto normativo, in violazione dell’art. 2-ter, co. 1 e 3, del Codice in materia di protezione dei dati personali e dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del GDPR, oltre che per la violazione delle «norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro» ai sensi dell’art. 88, par. 1, del GDPR in relazione all’art. 54-bis del d.lgs. 30 marzo 2001, n. 165 e, infine per non aver adottato adeguate misure tecniche e organizzative volte a garantire la riservatezza e l’integrità dei dati personali trattati; (ii) l’ordinanza di ingiunzione nei confronti di Aeroporto Guglielmo Marconi di Bologna S.p.A. del 10 giugno 2021, Docweb n. 9685922, attraverso il quale è stata riconosciuta una responsabilità in capo alla società per aver trattato i dati mediante l’applicativo utilizzato per l’acquisizione e la gestione delle segnalazioni di condotte illecite in violazione dei principi di “integrità e riservatezza”, della “protezione dei dati fin dalla progettazione” e della “protezione dei dati per impostazione predefinita” [artt. 5, par. 1, lett. f), e 25 del GDPR], in assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento (art. 32 GDPR) e non avendo effettuato una valutazione di impatto sulla protezione dei dati (art. 35 GDPR).

4. Bibliografia

In materia di whistleblowing e privacy, seppur non sullo specifico tema di cui al provvedimento in esame, si veda A. Della Bella, Il whistleblowing nell’ordinamento italiano: quadro attuale e prospettive per il prossimo futuro, in Riv. it. dir. e proc. pen., 2020, 1, pp. 1403 ss.; A. Renzi, Quando la trasparenza non previene la corruzione: “whistleblowing” e riservatezza, in Giorn. dir. amm., 2020, 3, pp. 357-365; G. D’urgolo, La tutela del pubblico dipendente (e non solo) che segnala illeciti (c.d. “whistleblower”), in GiustAmm.it, 2018, 3, pp. 7 ss.Sulla protezione dei dati nell’ambito delle procedure interne per la segnalazione di illeciti vedasi anche il Parere n. 1/2006 del Working Party art. 29.