Premessa
Parola d’ordine: riservatezza! E la riservatezza del segnalante, cd “whistleblower”, passa anche e soprattutto attraverso l’applicazione dei principi di privacy by design e privacy by default allo strumento utilizzato quale canale di segnalazione.
Finalmente in data 10 marzo 2023 è stata recepita in Italia la Direttiva UE 10937/2019 (“Direttiva whistleblowing”), che ha esteso la platea delle aziende e degli enti obbligati a predisporre un canale sicuro di segnalazione di illeciti o violazioni. Per quanto riguarda l’oggetto delle violazioni ci si riferisce alle violazioni del diritto dell’Unione, fra cui: appalti, ambiente, salute pubblica, privacy, sicurezza della rete e sistemi informatici.
Le disposizioni del decreto legislativo hanno effetto a decorrere dal 15.07.2023 – ad eccezione dei soggetti del settore privato che, nell’ultimo anno, hanno impiegato una media di lavoratori fino a 249, i quali hanno tempo fino al 17 dicembre 2023. La sicurezza del canale adibito alla segnalazione deve essere accuratamente valutata da ogni azienda ed ente, relativamente all’adeguatezza allo scopo nonché alla della sicurezza che lo stesso garantisce lato riservatezza, a tutela del Whistleblower.
Alcuni spunti li possiamo inoltre trovare nell’ordinanza ingiunzione del Garante Privacy del 7 aprile 2022 [doc. web n. 9768363], mediante la quale quest’ultimo ha sanzionato un’azienda ospedaliera proprio in ambito whistleblowing. A seguito di un’attenta attività istruttoria riguardo alle modalità di trattamento dei dati personali acquisiti mediante il sistema di whistleblowing, l’Autorità ha messo in luce le irregolarità e violazioni relative al canale di segnalazione impostato, di cui ne vediamo di seguito alcune.
Cosa possiamo imparare dalle indicazioni del Garante Privacy?
L’informazione è il punto focale dell’intera disciplina privacy. Nella casistica sopra richiamata, mancava l’attività di informazione all’interessato. Infatti, l’azienda ospedaliera non ha provveduto a informare i propri dipendenti relativamente al trattamento di dati personali realizzato con la finalità di segnalazione degli illeciti. L’obbligo di informare gli interessati, stabilito dall’art.12 del Regolamento UE 2016/679 (“Il Titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 (..)” ), vale anche nell’ambito del whistleblowing.
Ogni trattamento di dati personali deve essere privacy compliant. Il trattamento deve essere valutato con un approccio basato sul rischio, con applicazione dei principi privacy by design e privacy by default, soprattutto quando implica l’adozione di una strumentazione tecnica. La piattaforma adottata dall’azienda ospedaliera, implicava l’utilizzo di una piattaforma web in cloud non correttamente configurata. La mancata configurazione ha comportato la registrazione e conservazione dei dati degli utenti che la utilizzavano, consentendo sostanzialmente l’identificazione degli utilizzatori della stessa. Fra questi, vi rientravano i whistleblower.
Devono essere applicate misure di sicurezza tecniche volte a tutelare la riservatezza del segnalante. L’adozione di specifiche cautele volte ad evitare la registrazione delle operazioni di navigazione sull’applicazione web utilizzata per l’acquisizione e gestione di segnalazioni in ambito whistleblowing è dunque, cruciale.
Non dimenticare di fornire istruzioni al responsabile del trattamento – e periodicamente, sottoporlo a verifiche.
Qualora ci si avvalga di un terzo, il Titolare non deve dimenticare che egli permane l’owner del trattamento: dovrà quindi fornire adeguate istruzioni al proprio responsabile del trattamento, esaminando regolarmente le operazioni di trattamento da esso svolte, al fine di valutare il rispetto dei principi privacy in adempimento degli obblighi assunti.
Nell’ambito dei servizi offerti, ReNorm ha ritenuto opportuno mettere a disposizione di strutture pubbliche e private – a cui si applica il quadro normativo di riferimento in materia #Whistleblowing – un canale online dedicato alla raccolta e gestione delle #segnalazioni. Tali segnalazioni possono essere effettuate dai #whistleblowers ovvero da persone che rilevano violazioni di disposizioni normative nazionali o dell’UE che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o della struttura privata di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato. Ulteriori informazioni sul nostro portale: www.renorm.it/reblowing La nostra è una #soluzione completa che permetterà alla Tua struttura soddisfare tutti i requisiti stabiliti nella direttiva (UE) recante la protezione dei whistleblowers.
ReBlowing è un portale #sicuro, #bilingue e di facile utilizzo sia per le pubbliche amministrazioni che per i soggetti privati che intendono avvalersi di tale figura.
Hai bisogno di aiuto? Noi saremo lieti di aiutarTi a trovare la soluzione per la Tua realtà.
Contattaci