Whistleblowing e GDPR: cosa fare per dotarsi di un canale comunicativo compliant

A seguito del provvedimento del Garante n. 235 del 10 giugno 2021 nei confronti dell’Aeroporto G. Marconi di Bologna, individuiamo i punti da valutare per l’implementazione del canale di segnalazione illeciti conforme.

Continua il dialogo tra segnalazioni illeciti da parte dei c.d. whistleblower e quanto prescritto dal GDPR in materia di protezione dati personali. Come sempre, le pronunce del Garante guidano i titolari del trattamento verso un’applicazione compliant della normativa, talvolta vaga, confusa, lacunosa. Il casus belli sfruttabile, da un punto di vista interpretativo, riguarda il provvedimento del Garante adottato nei confronti dell’Aeroporto Guglielmo Marconi di Bologna (per 40.000 euro) e la società fornitrice del software “WB Confidential” finalizzato alla ricezione delle segnalazioni (per 20.000 euro).

Attraverso una semplificazione del provvedimento tentiamo di estrapolare alcune best practices utilizzabili per l’implementazione di un canale di segnalazione illeciti conforme al Regolamento UE 679/2016 (GDPR).

Innanzitutto, una breve riflessione circa l’importanza dell’adozione, all’interno delle imprese, di canali di rilevazione illeciti commessi dalla società titolare e segnalabili da chiunque: interni ed esterni. Tale procedura è regola consolidata per le aziende che adottano un Modello organizzativo di gestione e controllo ai sensi del D.lgs. 231/2001 e diventerà obbligatoria, per le aziende che contano più di 50 dipendenti, grazie all’entrata in vigore della direttiva europea avvenuta a fine 2019 (da recepirsi entro il dicembre 2021), indipendentemente dall’adozione o meno di un modello organizzativo 231.

Volendo, quindi, conformarsi alle prescrizioni europee, si rende necessario individuare fornitori di software che siano idonei alla gestione, ex art. 28 GDPR, del dato personale circolante sull’applicativo, in un’ottica di accountability e nel rispetto dei principi di “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento).

Di seguito, i punti salienti del provvedimento.

Al fine di tutelare l’identità dei whistleblowers, protetta da uno specifico regime di garanzia e riservatezza previsto dalla normativa di settore, vista la particolare delicatezza delle informazioni trattate e per gli elevati rischi di ritorsioni e discriminazioni nel contesto lavorativo, il titolare del trattamento che voglia avvalersi di tale servizio sarà chiamato a valutare:  

• Lo svolgimento di una DPIA (sebbene la quantità di dati possa essere esigua il Titolare deve valutare di procedere allo svolgimento di una DPIA in considerazione della “vulnerabilità” dei soggetti segnalanti);
• L’implementazione di un sistema di cifratura dei dati (raccomandazioni ANAC - cfr. le raccomandazioni sull’utilizzo di “strumenti di crittografia end-to-end per i contenuti delle segnalazioni e dell’eventuale documentazione allegata”, Linee guida in materia di tutela del dipendente pubblico che segnala illeciti (c.d. whistleblower), adottate con determinazione n. 6 del 28 aprile 2015);
• L’implementazione di un protocollo https (insufficiente il mero http perché tale protocollo di rete non è in grado di garantire l’integrità e la riservatezza dei dati scambiati tra il browser dell’utente e il server che ospita l’applicativo in questione, e non consente agli utenti di verificare l’autenticità del sito web con il quale stanno interagendo);
• Procedere ad un’adeguata valutazione dei fornitori che forniscono infrastrutture informatiche per la gestione delle applicazioni di segnalazioni whistleblowing (cfr. provv. 17 dicembre 2020, n. 282, doc. web n. 9525337, ma già provv. 7 marzo 2019, n. 81, doc. web n. 9121890). Il Garante, infatti, ha proceduto a sanzionare altresì la società fornitrice del software WB Confidential sia per la violazione degli obblighi in materia di sicurezza, sia per la mancata regolamentazione del rapporto con altre due società che trattavano i dati per proprio conto.