Whistleblowing: divieti, limitazioni, qualificazioni soggettive e adempimenti per il trattamento dei dati personali
Il D.lgs. n. 24/2023, in G.U. n. 63 del 15.03.2023, vigente al 30.03.2023, attua la direttiva UE 2019/1937, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle normative nazionali. In particolare, l’art. 13 (della succitata disposizione normativa) è dedicato al “trattamento dei dati personali”.
Appare singolare la previsione all’interno del testo normativo in esame di una specifica disposizione dedicata al trattamento dei dati personali, segno tangibile dell’impatto significativo che l’applicazione di tale legge può avere in ambito data protection.
Al contempo, si segnala che nella legge si intravede un ritorno “nazionale” alle indicazioni specifiche, con spazio residuale per l’accountability (di matrice europea) del titolare del trattamento, confinata al rispetto dei principi fondamentali.
Al primo comma dell’art. 13 viene indicata la cornice normativa, con esplicito richiamo alle disposizioni applicabili in materia di privacy e protezione dei dati personali, ovvero il Regolamento UE 2016/679 (GDPR), il D.lgs. 196/2003, il D.lgs. 51/2018 e il Regolamento Ue 2018/1725. Ogni trattamento dei dati personali deve essere effettuato nel rispetto delle succitate disposizioni di legge, le quali sono dirette ai soggetti privati ed anche all’ambito pubblico, relativamente alla protezione delle persone fisiche con riguardo ai trattamenti da parte delle autorità competenti ai fini di accertamento dei reati (D.lgs. n. 51/2018) e alla tutela delle persone fisiche in relazione al trattamento da parte di situazioni e degli organismi dell’Unione (Reg. Ue 1725/2018).
Il secondo comma prevede uno specifico divieto di raccolta di dati personali non utili al trattamento di una specifica segnalazione, con il correlato obbligo di cancellazione immediata nel caso di raccolta accidentale, che costituisce evidente applicazione del principio di “minimizzazione dei dati” di cui all’art. 5, co. 1, lett. c) del GDPR. Risulta evidente che il rispetto di tale obbligo non è più lasciato alla mera responsabilizzazione del titolare del trattamento, ai sensi dell’art. 5, co. 2, GDPR, bensì stabilito in maniera cogente. Dal lato pratico e operativo il titolare del trattamento dovrà predisporre misure tecniche, organizzative e di formazione del personale, per impedire la raccolta ex ante di dati personali non utili alla specifica segnalazione, verificare tempestivamente la stessa, individuando appunto i dati personali non utili, e provvedere, se del caso, alla cancellazione ex post.
Il terzo comma prevede una limitazione all’esercizio dei diritti degli interessati, disciplinati dagli artt. 15-22 del GDPR, in correlazione con l’articolo 2-undecies del decreto legislativo 30 giugno 2003, n. 196, di talché non potranno essere esercitati, per previsione di legge, i diritti da cui possano derivare pregiudizi effettivi e concreti:
a) agli interessi tutelati in base alle disposizioni in materia di riciclaggio;
b) agli interessi tutelati in base alle disposizioni in materia di sostegno alle vittime di richieste estorsive;
c) all’attività di Commissioni parlamentari d’inchiesta istituite ai sensi dell’articolo 82 della Costituzione;
d) alle attività svolte da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità;
e) allo svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria;
f) alla riservatezza dell’identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte, ai sensi del decreto legislativo recante attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione, ovvero che segnala violazioni ai sensi degli articoli 52-bis e 52-ter del decreto legislativo 1° settembre 1993, n. 385, o degli articoli 4-undecies e 4-duodecies del decreto legislativo 24 febbraio 1998, n. 58;
f-bis) agli interessi tutelati in materia tributaria e allo svolgimento delle attività di prevenzione e contrasto all’evasione fiscale.
Nei casi di cui al comma 1, lettere a), b), d), e), e f-bis) i diritti di cui al medesimo comma sono esercitati conformemente alle disposizioni di legge o di regolamento che regolano il settore, che devono almeno recare misure dirette a disciplinare gli ambiti di cui all’articolo 23, paragrafo 2, del Regolamento. L’esercizio dei medesimi diritti può, in ogni caso, essere ritardato, limitato o escluso con comunicazione motivata e resa senza ritardo all’interessato, a meno che la comunicazione possa compromettere la finalità della limitazione, per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell’interessato, al fine di salvaguardare gli interessi di cui al comma 1, lettere a), b), d), e), f) e f-bis). In tali casi, i diritti dell’interessato possono essere esercitati anche tramite il Garante con le modalità di cui all’articolo 160. Il Garante informa l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, nonché del diritto dell’interessato di proporre ricorso giurisdizionale. Il titolare del trattamento informa l’interessato di tali facoltà.
Per la corretta gestione di tali limitazioni ai diritti degli interessati i titolari del trattamento dovranno adottare specifiche misure organizzative e di formazione per il personale addetto.
Il quarto comma qualifica espressamente i soggetti privacy e disciplina gli adempimenti specifici.
Infatti, in tale comma avviene la qualificazione soggettiva, come titolari del trattamento, dei soggetti che trattano i dati personali relativi al ricevimento e alla gestione delle segnalazioni, i quali dovranno operare nel rispetto dei principi di cui agli articoli 5 e 25 (privacy by design e by default) del Regolamento (UE) 2016/679, nonché nel rispetto degli articoli 3 e 16 del Decreto legislativo n. 51 del 2018 (liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione, integrità, riservatezza e responsabilizzazione), fornendo idonee informazioni alle persone segnalanti e alle persone coinvolte ai sensi degli articoli 13 e 14 del medesimo regolamento (UE) 2016/679 o dell’articolo 11 del citato decreto legislativo n. 51 del 2018.
Ne consegue che il titolare del trattamento, ovvero il soggetto pubblico o privato tenuto agli adempimenti di cui al D.lgs. n. 24/2023, è tenuto a predisporre idonee informative privacy, nel rispetto degli artt. 13 e 14 del GDPR, fornendole ai soggetti segnalanti e procedendo, in un’ottica residuale di accountability, alla verifica del rispetto dei principi di cui all’art. 5 GDPR.
Il quinto comma prevede espressamente la necessità di stipulare accordi di contitolarità, ai sensi dell’art. 26 del GDPR, laddove si condividano i canali di segnalazione interna e la relativa gestione, ai sensi dell’art. 4 del D.lgs. n. 24/2023. Di interesse tale indicazione specifica, che non lascia spazio a interpretazioni o differenti applicazioni sotto il profilo accountability ma individua in maniera certa e netta l’applicabilità dell’art. 26 cit. al verificarsi di un presupposto.
Infine, il sesto comma prevede gli adempimenti correlati all’analisi dei rischi specifici, indicando la necessità di effettuare una DPIA e la nomina di eventuali fornitori esterni mediante accordo sul trattamento dei dati personali, ai sensi dell’art. 28 GDPR. La legge pertanto definisce con chiarezza che trattasi di un trattamento che può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, senza lasciare dare adito o spazio a valutazioni differenti, indicando la necessità di effettuare una valutazione di impatto ai sensi dell’art. 35 GDPR.
Articolo ripreso da FederPrivacy