Linee guida anac

Whistleblowing e protezione dati personali, i paletti del Garante privacy

Il Garante per la protezione dei dati personali ha espresso il proprio parere sulle linee guida Anac in materia di Whistleblowing, segnalando alcuni elementi di miglioramento che l’ANAC dovrà adottare nella versione finale. Ecco gli elementi di riflessione

07 Gen 2020
Francesco Maldera

Data Protection Officer e Data Specialist

anticorruzione

Il Garante privacy ha espresso lo scorso dicembre il proprio parere sulle linee guida dell’Autorità Nazionale Anticorruzione in materia di whistleblowing. Ci offre così alcuni elementi di riflessione per incanalarlo su binari rispettosi dei diritti e delle libertà delle parti in gioco.

Il tutto a fronte di amministrazioni pubbliche a volte un po’ distratte e di operatori di mercato ancora poco maturi rispetto alla protezione dei dati personali.

L’inquadramento dell’attuale whistleblowing

Il tema è centrale per i nostri diritti fondamentali. Ricordiamo che il whistleblowing è lo strumento di cui si sono dotati molti Stati aderenti all’OCSE, tra cui l’Italia, per contrastare il fenomeno della corruzione: viene data la possibilità a soggetti interni alle organizzazioni, pubbliche e private, di segnalare fattispecie illecite rilevate, anche in modo incidentale, nel corso dell’attività lavorativa.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Per l’adozione di questo strumento, naturalmente, sono necessari una serie di pesi e contrappesi tali da tutelare tutti i soggetti coinvolti nella questione e, in particolare, il segnalante (il whistleblower cioè colui che rileva l’illecito e lo pone all’attenzione dell’organizzazione) ed il segnalato (ovvero colui che realizza l’azione illecita). La necessità di affinare queste garanzie ha richiesto, in Italia, un progressivo adattamento normativo che è culminato con la legge 179 del 30 novembre 2017 con la quale il legislatore ha inteso disciplinare:

  • la tutela del dipendente pubblico che segnala illeciti;
  • la tutela del dipendente o collaboratore che segnala illeciti nel settore privato;
  • lo scudo, per chi segnala, da eventuali violazioni penali e civili del segreto d’ufficio, aziendale, professionale, scientifico e industriale.

Questi temi, seppur risalenti ad un paio d’anni fa, sono tornati d’attualità di recente giacché l’Autorità Nazionale Anticorruzione ha concluso il 15 settembre scorso la consultazione pubblica sulle “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis, del d.lgs. 165/2001 (whistleblowing)”, che si apprestano a sostituire le precedenti “Linee guida in materia di tutela del dipendente pubblico che segnala illeciti (c.d. whistleblower)” del 28 aprile 2015 ormai superate sia dalla Legge 179/2017 sia dal Reg. UE 2016/679 (GDPR). A valle della consultazione pubblica, le nuove Linee guida sono state sottoposte all’attenzione del Garante per la Protezione dei Dati Personali che ha espresso il proprio parere nella seduta del 4 dicembre scorso segnalando alcuni elementi di miglioramento che l’ANAC dovrà adottare nella versione finale.

Il whistleblowing e la protezione dei dati personali

È evidente che la dinamica dello strumento richiede una particolare riservatezza dei dati identificativi di segnalante e segnalato. La principale riflessione sul trattamento dei dati personali nell’utilizzo del whistleblowing è dovuta all’”Opinion 1/2006 on the application of EU data protection rules to internal whistleblowing schemes in the fields of accounting, internal accounting controls, auditing matters, fight against bribery, banking and financial crime” che il WP29 adottò in vigenza della direttiva 95/46/EC (la “mamma” del GDPR) che, in Italia, era stata recepita dal Dlgs. 196/2003 (il Codice privacy).

Benché l’opinion del WP29 scaturisse da una normativa indirizzata prevalentemente al settore privato (il Sarbanes-Oxley Act – SOX), molte indicazioni risultano applicabili anche al settore pubblico che, in Italia, è quello che genera il livello di attenzione più elevato.

In particolare, il WP29 punta l’attenzione su alcuni elementi essenziali della disciplina sulla protezione dei dati personali:

  • necessità di fornire l’informativa sul trattamento dei dati personali ai soggetti coinvolti;
  • diritti dei soggetti coinvolti (in particolare, diritti del segnalato);
  • tempi e modalità di conservazione con particolare riguardo al trattamento effettuato tramite applicazioni software;
  • misure tecniche ed organizzative per ridurre i rischi durante il trattamento.

A questi elementi nonché a quanto previsto dal GDPR e dal Codice privacy innovato dal Dlgs. 101/2018 si è ispirato il Garante per la Protezione dei Dati Personali nel parere del 4 dicembre scorso. Infatti, il Garante, pur esprimendo parere favorevole alle Linee guida dell’ANAC, ha precisato, tra l’altro, i seguenti aspetti:

  • il soggetto segnalato, essendo un interessato con riferimento al trattamento dei suoi dati personali, non perde i diritti previsti dall’articolo 15 all’articolo 22 del GDPR; infatti, il Codice privacy, all’art. 2‑undecies prevede che l’esercizio dei diritti possa essere richiesto direttamente al Garante che effettua un bilanciamento tra il diritto invocato dal segnalato e la necessità di riservatezza dei dati identificativi del segnalante;
  • la necessità di informare il segnalato della possibilità di esercitare i propri diritti previsti dall’articolo 15 all’articolo 22 del GDPR;
  • la gestione del whistleblowing deve essere tale che esista una misura organizzativa e/o tecnica che consenta al solo custode dell’identità, cioè il Responsabile della Prevenzione della Corruzione e della Trasparenza (RPCT), di associare la segnalazione all’identità del segnalante; tutti gli altri soggetti interessati all’istruttoria non dovrebbero essere posti nelle condizioni di effettuare tale associazione, nemmeno con il consenso dell’RPCT;
  • la gestione del whistleblowing deve rispettare il principio di minimizzazione contenuto nell’art. 5 del GDPR e, per esempio, evitare la proliferazione di comunicazioni (anche pr posta elettronica) al segnalante per informarlo dell’avanzamento dell’istruttoria.

L’esternalizzazione della piattaforma di whistleblowing

Una specifica attenzione, inoltre, è riservata, da parte del Garante, alla gestione del whistleblowing su piattaforme informatiche e, in particolare, su piattaforme fornite da soggetti esterni all’amministrazione nella modalità software‑as‑a‑service (SaaS). Il Garante precisa che il fornitore esterno della piattaforma agisce quale responsabile del trattamento secondo le previsioni dell’art. 28 del GDPR; in questa veste, come dice il primo comma dell’articolo 28, deve presentare “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.

Le garanzie minime che, secondo il parere del Garante, il fornitore deve offrire sono le seguenti:

  • meccanismi di profilazione degli utenti (dipendenti “autorizzati” ad istruire le pratiche e quindi al trattamento dei relativi dati personali) sufficientemente granulari da consentire solo la visibilità necessaria al ruolo svolto;
  • accesso selettivo ai dati delle segnalazioni prevedendo la possibilità al RPCT di assegnare segnalazioni specifiche al singolo soggetto istruttore in funzione di supporto;
  • tracciamento delle operazioni svolte da parte dell’RPCT e da parte dei soggetti istruttori, escludendo la possibilità di tracciare anche le consultazioni che il segnalante effettua sull’evoluzione della propria segnalazione;
  • autenticazione degli utenti basata su tecniche di strong authentication (per esempio, autenticazione basata su password ed OTP).

Inoltre, sebbene non presente nel parere del Garante, è ragionevole riflettere anche su un altro elemento essenziale del whistleblowing quando questo è basato su una piattaforma informatica esterna: è necessaria una valutazione d’impatto sulla protezione dei dati personali (DPIA), conformemente all’art. 35 del GDPR? Dalla lettura del primo paragrafo dell’art. 35: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”, sembra che tutto propenda per la necessità di una DPIA che, nel caso di SaaS, non può prescindere dalla stretta collaborazione tra amministrazione e fornitore della piattaforma. Quest’ultimo, peraltro, assume una forte responsabilità visto che, almeno potenzialmente, può essere il fornitore di un numero elevato di amministrazioni e, quindi, trattare un numero considerevole di dati personali riguardanti fattispecie illecite.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati