Whistleblowing in Modello 231 e GDPR: cos’è, cosa dice la legge e quali sanzioni si rischiano

Cos’è il Whistleblowing?

Gli ultimi anni hanno visto l’introduzione e la progressiva estensione di norme volte a garantire e regolamentare il c.d. Whistleblowing, da intendersi come possibilità per il dipendente di inviare segnalazioni di comportamenti illeciti verificatisi nell’ente o azienda in cui opera, nonché come insieme di garanzie e tutele rispetto ad eventuali azioni ritorsive e – non ultimo – di misure volte ad evitare l’abuso di questo potere/dovere di segnalazione.

Tale sistema di garanzie è stato dapprima introdotto per i dipendenti pubblici nel quadro delle norme in materia di prevenzione della corruzione, ed è stato successivamente esteso alle Società ed enti soggetti all’applicazione del D.lgs. 231/2001: i meccanismi di segnalazione e di tutela del segnalante sono condizione necessaria per l’idoneità dei Modelli 231, tanto che gli stessi sono stati inseriti nell’Art. 6 del Decreto, nel quale ritroviamo i requisiti che il Modello 231 deve avere.

Ulteriori aggiornamenti, con un potenziamento dell’impianto sanzionatorio, saranno apportati a seguito del recepimento delle più recenti Direttive europee in materia.

Whistleblowing, 231 e GDPR: cosa dicono le norme vigenti

Le norme vigenti relative all’ambito del Whistleblowing prevedono l’attivazione di uno o più canali per la segnalazione e, in particolare, che almeno un canale di segnalazione sia “idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante”.

Il recente aggiornamento Linee Guida di Confindustria sull’adozione dei Modelli 231 delinea il quadro vigente e, nell’assenza di indicazioni di dettaglio sul fronte 231, richiama le prescrizioni dell’ANAC relative al settore pubblico e para-pubblico.

Le Linee Guida dell’ANAC raccomandano di svolgere in via preliminare l’analisi dei rischi nella gestione delle informazioni e dei dati che potrebbero essere trattati nel corso della procedura, con l’obiettivo di individuare misure di sicurezza adeguate a garantirne la riservatezza, l’integrità e la disponibilità.

Tra le misure di sicurezza necessarie si prevedono “protocolli standard per il trasporto dei dati e gli strumenti di crittografia end-to-end per i contenuti delle segnalazioni e dei documenti allegati” nonché “idonee scelte relativamente a: modalità di conservazione dei dati (fisico, logico, ibrido); politiche di tutela della riservatezza attraverso strumenti informatici (disaccoppiamento dei dati del segnalante rispetto alle informazioni relative alla segnalazione, crittografia dei dati e dei documenti allegati); politiche di accesso ai dati (funzionari abilitati all’accesso, amministratori del sistema informatico); politiche di sicurezza (ad es. modifica periodica delle password); tempo di conservazione (durata di conservazione di dati e documenti)”.

Il canale di segnalazione informatico e gli adempimenti GDPR

Proprio sulle valutazioni da effettuare e sulle misure da adottare si gioca la partita relativa a eventuali ricadute in termini di sanzioni previste dal GDPR sul Whistleblowing.

Consapevole della criticità di tali sistemi, il Garante Privacy ha attivato un piano di verifiche sui sistemi implementati in modo particolare dalle pubbliche amministrazioni.

Da tali controlli è derivato un recente Provvedimento contro una Società a partecipazione pubblica ed al relativo fornitore del software per la gestione delle segnalazioni.

Il Provvedimento ha, in particolare, rilevato l’inadeguatezza della soluzione adottata e dell’integrazione della stessa nel quadro più generale delle risorse informatiche aziendali sotto i seguenti profili:

  • Assenza di tecniche crittografiche per il trasporto e la conservazione dei dati
  • Tracciamento degli accessi “non bilanciato” e conseguente possibilità di risalire al segnalante
  • Mancata esecuzione della valutazione d’impatto privacy, necessaria secondo il Garante Privacy in quanto, anche in assenza di una “vasta scala”, si è in presenza di specifici rischi per i diritti e libertà degli interessati (anche alla luce delle specifiche finalità della normativa sul Whistleblowing).

Whistleblowing e possibili sanzioni: quali sono i rischi e come evitarli?

La vicenda accende il riflettore su due rilevanti criticità tra loro connesse:

  • La potenziale non conformità al GDPR della soluzione adottata, che potrebbe avere come conseguenza;
  • La mancata tutela del segnalante e quindi l’invalidità del canale adottato, con conseguente inidoneità del Modello 231.

Giova ricordare che non esiste un regime GDPR specifico per tali casi ma si applicano i principi generali, pertanto è necessario:

  • Selezionare il fornitore e la soluzione da esso proposta prevedendo quale requisito la conformità al GDPR (sia della soluzione che dell’organizzazione preposta all’erogazione del servizio);
  • Richiedere al fornitore la documentazione comprovante la conformità e quindi, dove necessario, anche una preliminare PIA “generale” (come da Linee Guida EDPB);
  • Inserire tali soluzioni specifiche nel quadro del più generale “Sistema di trattamento dei dati personali” del Titolare del trattamento, aggiornando gli adempimenti, ivi compresi l’analisi dei rischi ed una PIA “specifica” sulla base della PIA “generale” messa a disposizione dal fornitore.