1. Premessa

Dopo le indicazioni fornite negli articoli precedenti del 30 luglio e del 25 settembre, concludiamo la breve analisi delle azioni che le società devono porre in essere per adottare un sistema di segnalazione Whistleblowing, occupandoci degli adempimenti privacy che l’adozione di un tale sistema di segnalazione comporta. Per comodità rammentiamo che per Whistleblowing si intende quel sistema che prevede la possibilità, per il dipendente, di segnalare al proprio datore di lavoro comportamenti illeciti avvenuti all’interno dell’azienda o dell’ente.

Si segnala che nel piano ispettivo del Garante di questo semestre, pubblicato con deliberazione del 12 settembre 2019, sono indicati gli accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing). Le indicazioni che seguono, pertanto, possono essere utili spunti in vista di possibili Ispezioni dell’Autorità Garante rispetto a tali trattamenti.

2. Adempimenti in materia privacy: informative, autorizzazioni, registro dei trattamenti

Parallelamente alla previsione di oneri in materia 231, la presenza di un canale Whistleblowing impone di rendere conforme l’attività anche ai dettami del Regolamento EU 679/2016 (di seguito “GDPR” o “Regolamento”).

Anzitutto, occorre predisporre un’informativa privacy contenente tutti i requisiti di cui all’art. 13 del Regolamento, con cui informare il soggetto segnalante delle modalità di trattamento dei suoi dati personali in caso di segnalazione, nonché del periodo di conservazione del contenuto della segnalazione. Tale informativa dovrà essere resa disponibile a tutti i dipendenti (eventualmente anche in occasione della comunicazione con la quale viene inviata al personale la procedura di segnalazione), ove possibile pubblicandola nella intranet aziendale.

Parallelamente, occorre istruire adeguatamente le persone autorizzate e pertanto i riceventi le segnalazioni, fornendo loro un’autorizzazione al trattamento dei dati personali ai sensi dell’art. 2 quaterdecies del Codice privacy per come novellato dal D.lgs. 101/2018. Tale autorizzazione è integrativa e non sostitutiva della autorizzazione per così dire “generale” che il dipendente riceve in fase di assunzione.

In questo ambito, tuttavia si innesta un ulteriore tematica, ossia quella di inquadrare correttamente i ruoli privacy dei riceventi la segnalazione, nell’ipotesi in cui siano soggetti “interni” all’azienda (es. dipartimento Compliance, dipartimento Internal Audit, Legal, ecc.) ovvero siano membri “esterni” (es. ODV di membri esterni, consulente, ecc.). Ciò in quanto, se il ricevente è un incaricato, dipendente della società, vale quanto sopra, in quanto quest’ultimo agisce secondo le istruzioni impartite dal titolare del trattamento (di seguito “Titolare”) e con mezzi organizzativi predisposti da quest’ultimo.

Diversamente, qualora il ricevente sia un soggetto completamente esterno alla società, questo potrà essere inquadrato come responsabile del trattamento. Con riferimento a quest’ultima figura, si richiama la definizione contenuta nel Regolamento, ossia “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (di seguito “Responsabile”), oltre che l’Opinione 1/2010 denominato Article 29 Working Party (di seguito: “A29WP”), oggi Comitato Europeo per la Protezione dei Dati. L’Opinion citata chiarisce che gli elementi utili a distinguere il ruolo di titolare da quello di responsabile del trattamento risiedono nel concetto di “determinare”, e nei concetti di “finalità” e “mezzi” del trattamento. Quanto al primo, “determinare” significa, secondo il gruppo A29WP, che il titolare del trattamento è competente a decidere finalità e mezzi del trattamento, e tale competenza va verificata attraverso un’analisi delle circostanze di fatto, piuttosto che di elementi formali (ad esempio, i contratti). Per determinare se un soggetto sia titolare del trattamento, in altre parole, occorre analizzare le specifiche attività di trattamento e chiedersi per quale ragione il trattamento abbia luogo e chi abbia deciso di porlo in essere.

Una posizione di controllo circa la determinazione di mezzi e finalità del trattamento può derivare, secondo la citata Opinion, da tre situazioni: (i) dalla legge, quando è quest’ultima a stabilire che un determinato soggetto, nell’ambito di determinate operazioni di trattamento, agisce come titolare; (ii) da competenza implicita (implicit competence), che il gruppo A29WP individua nei casi in cui la capacità di determinare il trattamento non sia esplicitamente sancita dalla legge, ma derivi comunque, implicitamente, da previsioni normative o da prassi consolidate in varie aree quali quella giuslavoristica (il datore di lavoro rispetto ai dati dei dipendenti), commerciale (il venditore rispetto ai dati dei propri clienti) ecc., dove i ruoli tradizionali assumono un significato anche dal punto di vista del trattamento dei dati; (iii) da circostanze di fatto, la cui analisi può prendere in considerazione gli accordi contrattuali tra i soggetti coinvolti, ma non esserne influenzata in maniera decisiva se l’allocazione dei ruoli privacy a livello contrattuale non riflette le effettive circostanze di fatto.

Con riferimento ai “mezzi e finalità del trattamento”, l’Opinion del gruppo A29WP riporta testualmente le correnti definizioni di “purpose” (“an anticipated outcome that is intended or that guides your planned actions”) e di “means” (“how a result is obtained or an end is achieved”), vale a dire che le “finalità” si possono definire come il risultato che ci si prefigge di raggiungere o che guida le azioni che vengono intraprese, mentre i “mezzi” come il modo attraverso il quale il risultato viene ottenuto. In altre parole, le finalità rappresentano il “perché” del trattamento, i mezzi il “come” (“why” and “how”). Tuttavia, i mezzi possono essere costituiti da diversi elementi, sia tecnici che organizzativi, ma anche essenziali come quali dati trattare, quali dati cancellare, quali terze parti possono avere accesso a tali dati.

Sull’inquadramento del ruolo privacy dell’ODV, a dire il vero, vi sono opinioni contrastanti e l’auspicio è che l’Autorità Garante per la Protezione dei Dati Personali, ferme restando le sopra citate coordinate ermeneutiche entro le quali muoversi nelle more di tale determinazione, fornisca indicazioni chiare, univoche e definitive.

Da ultimo, tra gli adempimenti da porre in essere per rendere il trattamento conforme al Regolamento, occorrerà descrivere adeguatamente tale trattamento in una specifica sezione del registro dei trattamenti che il Titolare redige ai sensi dell’art. 30 del Regolamento.