Integrità e riservatezza

• GPDP, Docweb 9768387, 11.5.2022 (1)

  Massima (1) – Il fornitore di servizi che mette a disposizione del titolare del trattamento apposita applicazione web per la gestione delle segnalazioni di illeciti nell’ambito della disciplina in materia di whistleblowing, oltre a dover garantire l’adozione di misure tecniche in grado di garantire l’integrità e la disponibilità dei dati trattati, non può esimersi dalla corretta definizione dei ruoli privacy, disciplinando espressamente il rapporto con eventuali terze parti coinvolte nella gestione delle segnalazioni –  e conseguentemente dei dati ivi contenuti – ed ottenendo la preventiva, quanto necessaria, autorizzazione da parte del titolare del trattamento a tale coinvolgimento al fine di consentire il mantenimento, da parte di quest’ultimo, del pieno controllo dei trattamenti che vengono effettuati per suo conto.

• La corretta definizione dei ruoli privacy, con riferimento alla subfornitura di hosting, nel quadro della disciplina dettata in materia di segnalazioni di condotte illecite (“whistleblowing”)

  GPDP, Docweb n. 9768387 dell’11 maggio 2022 | Massime e Commento di Luca Petrone

• GPDP, Docweb 9768363, 11.5.2022 (6)

  Massima (6) – Il trattamento dei dati personali effettuato mediante i sistemi di acquisizione gestione delle segnalazioni di attività illecite (whistleblowing) presenta rischi specifici per i diritti e le libertà degli interessati, considerata anche la particolare delicatezza delle informazioni potenzialmente trattate, la “vulnerabilità” degli interessati nel contesto lavorativo, nonché lo specifico regime di riservatezza dell’identità del segnalante previsto dalla normativa di settore. In relazione a tale trattamento sussiste pertanto l’obbligo di effettuare preventivamente la valutazione di impatto di cui all’art. 35 GDPR, necessaria a individuare misure specifiche per attenuare i rischi derivanti da tale trattamento.

• GPDP, Docweb 9768363, 11.5.2022 (5)

  Massima (5) – Le credenziali di autenticazione (una per verifica dell’anagrafica dei segnalanti e una per la gestione delle segnalazioni di attività illecite) assegnate ed utilizzate dal RPCT quale soggetto legittimato alla gestione del whistleblowing, devono essere immediatamente disattivate qualora lo stesso rassegni le proprie dimissioni, anche se abbia provveduto a consegnare le predette credenziali al responsabile dell’Ufficio prevenzione della corruzione, trasparenza e trattamento dei dati personali all’interno di una busta chiusa, affinché le stesse vengano consegnate al nuovo RPCT. Allo stesso modo va impedito che il RPCT dimissionario possa avere accesso alle notifiche dell’avvenuta iscrizione di un segnalante e della ricezione di una segnalazione, qualora l’applicativo web per la gestione del whistleblowing provveda a trasmettere tali informazioni ad un indirizzo di posta elettronica preimpostato.

• GPDP, Docweb 9768363, 11.5.2022 (4)

  Massima (4) – La registrazione e la conservazione, nei log degli apparati firewall, delle informazioni relative alle connessioni all’applicativo utilizzato per la segnalazione di condotte illecite (whistleblowing), che consentono la tracciabilità dei soggetti che utilizzano tale applicativo, tra i quali i segnalanti, non risulta conforme alla disciplina in materia di protezione dei dati personali, con particolare riferimento agli artt. 5, par. 1, lett. f) e 32 del GDPR, in materia di sicurezza e all’art. 25 GDPR, in tema di privacy by design e by default, in quanto le predette informazioni, direttamente identificative degli utenti dell’applicativo, finiscono per rendere del tutto inefficaci le altre misure adottate per tutelare la riservatezza dell’identità dei segnalanti.

• GPDP, Docweb 9768363, 11.5.2022 (3)

  Massima (3) – I trattamenti di dati personali effettuati per finalità di acquisizione e gestione di segnalazioni di condotte illecite (c.d. whistleblowing) vanno censiti nel registro delle attività di trattamento di cui all’art. 30 GDPR, che deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. La tenuta del registro è funzionale al rispetto del principio di “responsabilizzazione” del titolare (art. 5, par. 2, GDPR), in quanto costituisce uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione del titolare. Ciò risulta particolarmente rilevante con riguardo alle attività di valutazione e di analisi del rischio, costituendo, pertanto, un adempimento preliminare rispetto a tali attività.

• GDPD, Docweb 9768363, 11.5.2022 (2)

  Massima (2) – Nell’ambito della disciplina relativa alla tutela del dipendente pubblico che segnala illeciti e di quella in materia di whistleblowing riferita ai soggetti privati, andata ad integrare la normativa in materia di responsabilità amministrativa delle persone giuridiche, il titolare del trattamento (considerata anche la particolare delicatezza delle informazioni potenzialmente trattate e la “vulnerabilità” degli interessati nel contesto lavorativo), anche quando utilizza prodotti o servizi realizzati da terzi oltre all’assolvimento dell’obbligo di rendere adeguate informazioni agli interessati deve eseguire, anche avvalendosi del supporto del responsabile della protezione dei dati ove nominato, una valutazione dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento.

• La tutela dell’identità del segnalante nel quadro della disciplina dettata in materia di segnalazioni di condotte illecite (“whistleblowing”)

  GPDP, Docweb n. 9768363 dell’11 maggio 2022 | Massime e Commento di Luca Petrone

• GPDP, Decweb 9698724, 22.7.2021 (2)

  Massima (2) – Pur in presenza di un presupposto giuridico, ad ogni modo, il titolare del trattamento è comunque tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di «liceità, correttezza e trasparenza», «limitazione della conservazione» e «integrità e riservatezza» in base ai quali i dati sono «trattati in modo lecito, corretto e trasparente nei confronti dell'interessato», «conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati» e  «trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati» [art. 5, par. 1, lett. a), e) e f), GDPR]. Ove un ente locale tratti dati personali degli utenti con parchimetri modernizzati, che richiedano il necessario inserimento del numero di targa al fine di rendere non necessario l’esposizione del tagliando da parte degli interessati, occorre rendere loro un’adeguata e completa informativa (ai sensi dell’art. 13 GPR), definire i tempi di conservazione dei dati personali raccolti e dare in tal senso precise istruzioni alla società designata responsabile del trattamento. Ove non siano state adottate «misure adeguate a garantire che siano trattati solo i dati necessari, con particolare riferimento alla definizione dei tempi di conservazione dei dati personali», va considerato violato il principio di «limitazione della conservazione» e quello di «protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita» di cui agli artt. 5, par. 1, lett. e) e 25 GDPR. 

• La Data Protection fra le strade cittadine: le violazioni del GDPR relative alla “modernizzazione” dei parcometri per la gestione della sosta a pagamento

  GPDP, Docweb n. 9698724 del 22 luglio 2021 | Massime e Commento di Martina Voci