Whistleblowing e tutele privacy

Il Decreto Legislativo n. 24 del 10 marzo 2023 fornisce nuove e più dettagliate indicazioni per la corretta gestione del whistleblowing rafforzando le garanzie di protezione e riservatezza del whisteblower (detto anche “segnalante”), attraverso la la progettazione di canali di segnalazione efficaci, riservati e sicuri.

Per poter strutturare correttamente tutto il processo e progettare adeguatamente i canali da utilizzare è necessario però tenere ben a mente i criteri definiti dal GDPR in materia di privacy.

Garantire la riservatezza del segnalante

In tutto il processo di whistleblowing uno dei pilastri fondamentali su cui si regge tutta la normativa è proprio la protezione del segnalante (anche dalle ritorsioni) e la tutela della sua riservatezza in quanto è lui e solo lui che ha il potere di portare alla luce le condotte illecite ma spesso è poco incline a segnalarle nel timore di ritorsioni. In tale contesto, l’importanza di garantire una protezione equilibrata ed efficace degli informatori è sempre più riconosciuta come elemento chiave per il corretto svolgimento dell’intero processo.

Questo può quindi risultare efficace solo se le organizzazioni riescono a mettere in campo un sistema gestionale capace di assicurare la riservatezza dell’identità del segnalante, non solo introducendo canali di segnalazione efficaci, riservati e sicuri ma anche garantendo una protezione efficace degli informatori dalle ritorsioni.E’ qui che si inseriscono le tutele previste dal GDPR, in particolare per quanto riguarda la raccolta dei soli dati necessari al trattamento e la cancellazione  senza indugio di quelli manifestatamente non utili per la finalità perseguita.

Quindi bisogna tenere a mente che:

• le segnalazioni non possono essere utilizzate oltre quanto necessario
• l’identità del segnalante non può essere rivelata, ad eccezioni di casi specifici per cui si rende necessario, comunque, il consenso del whistleblower.
• il trattamento deve essere improntato ai principi di correttezza, liceità e trasparenza, coinvolgendo solo incaricati adeguatamente formati e impostando precise procedure
• bisogna tutelare il segnalante contro eventuali possibilità di ritorsioni nei suoi confronti

Questo si traduce operativamente, ad esempio, nella necessità di: informare in modo trasparente l’interessato, definire i ruoli privacy e le responsabilità di tutti gli attori coinvolti nel trattamento, formare e istruire in modo specifico il personale deputato alla gestione della segnalazione, eseguire la valutazione d’impatto (DPIA), e da ultimo, ma non per questo di poco conto, progettare canali di segnalazione che siano sicuri ed idonei a garantire la riservatezza delle informazioni e ad impedire l’accesso da parte del personale non autorizzato.

Le scelte operative

Per quanto riguarda il canale di segnalazione individuato, questo deve essere progettato secondo i principi di privacy by design e by default previsti dall’art. 25 del GDPR con la conseguente adozione di idonee misure tecniche e organizzative atte a proteggere i dati personali relativi alle segnalazioni che potrebbero scaturire in ritorsioni, soprattutto se sotto attacco di un hacker e quindi oggetto di data breach.

Una volta individuato lo strumento, bisogna definirne le regole di utilizzo quali:

• chiara individuazione del personale deputato al suo utilizzo
• formazione dello stesso e stesura di chiare istruzioni operative
• chiara identificazione delle situazioni in cui è necessario chiedere il consenso
• definizione dei tempi e delle modalità di conservazione delle informazioni con gli opportuni accorgimenti e cautele sul piano informatico (es. i profili di autorizzazione, l’utilizzo di protocolli sicuri e di strumenti – anche di crittografia – per la conservazione dei dati, modalità di accesso solo al personale autorizzato, sistemi di strong authentication etc.).

Nello scegliere uno strumento proposto da terzi le domande da porsi sono, fra le altre:

• Il fornitore ha redatto una DPIA che possa funzionare da base per la valutazione che il titolare a  sua volta è tenuto a fare?
• Quale tipo di mail è stata individuata per la ricezione delle segnalazioni? Se è una mail aziendale è garantito l’accesso al solo personale autorizzato? Che livello di sicurezza viene garantito?
• E’ stata data chiara indicazione al personale su come inoltrare le segnalazioni in modo che non siano accessibili al personale aziendale (ad esempio all’amministratore di sistema ) e sia garantita la riservatezza? Infatti inviare una segnalazione utilizzando l’indirizzo e-mail aziendale e il PC in dotazione dell’azienda già rappresenta una criticità da questo punto di vista.
• Son state identificate e formate persone effettivamente idonee a svolgere il ruolo di referenti? Son state valutate dal punto di vista della competenza, indipendenza e assenza di conflitto di interesse?
• La procedura adottata per il  ricevimento e la gestione delle segnalazioni interne, garantisce l’efficacia della reazione alla segnalazione, il rispetto dei flussi informativi, la corretta esecuzione delle indagini interne nei limiti imposti dallo Statuto dei Lavoratori e dalla normativa privacy?
• Nella definizione delle procedure interne son stati coinvolti i referenti privacy o il DPO in modo da impostare tutto il trattamento in un’ottica di liceità e correttezza?
• E’ stata redatta idonea informativa agli interessati in modo che tutti siano consapevoli di come è impostato e gestito l’intero processo?
• Sono stati adottati moduli di raccolta dati che richiedano le sole informazioni effettivamente necessarie per gestire correttamente la segnalazione? Nel caso siano fornite informazioni in eccesso, gli incaricati sono istruiti in merito alla possibilità di cancellazione di tutte le informazioni in eccesso?