LO PREVEDE LO SCHEMA DI DLGS DI RECEPIMENTO DELLA DIRETTIVA UE SULLA SEGNALAZIONE DI ILLECITI
di Antonio Ciccia Messina
P.a. e imprese obbligate a scrivere e gestire la valutazione di impatto privacy per il whistleblowing. È quanto prevede lo schema di decreto legislativo di recepimento della direttiva Ue 2019/1937 sulla segnalazione di illeciti per contrastare fenomeni corruttivi, sia nelle imprese private sia nelle pubbliche amministrazioni. L’art. 13 dello schema di dlgs, all’esame del parlamento per la formulazione del parere, è dedicato al trattamento di dati personali nei procedimenti di whistleblowing e ha l’obiettivo di chiarire alcuni adempimenti derivanti dall’applicazione della disciplina sulla privacy. Nel comma 6 si prevede che gli enti debbano definire il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, “sulla base di una valutazione d’impatto sulla protezione dei dati”. Alla disposizione non vengono riservate molte parole né nella relazione di accompagnamento né nei lavori parlamentari, ma, nella pratica, avrà forti conseguenze. In sostanza, tutti gli enti tenuti devono attivare canali sicuri, soprattutto quando si usano piattaforme Internet, per fare in modo di garantire ai segnalatori la riservatezza sulla loro identità, riservatezza necessaria sia ad assicurare un flusso informazioni su illeciti, ritenuto essenziale dalla normativa anti-corruzione, sia a proteggere i whistleblower da atti ritorsivi e persecutori.
Ora, si consideri un adempimento documentale imposto dall’articolo 35 del Gdpr (regolamento Ue sulla privacy n. 2016/679) e cioè la valutazione di impatto privacy (detta anche Dpia, dall’acronimo inglese): essa è obbligatoria in tutti i casi di trattamento con rischio elevato; il problema dell’articolo 35 citato, però, è che non c’è un elenco ufficiale dei trattamenti soggetti alla Dpia e, quindi, ognuno deve capire da sé quando la deve scrivere e ciò non è sempre facile.
Questa è la ragione per cui va salutata con favore una disposizione, come l’articolo 13 dello schema di decreto legislativo in commento, la quale afferma che bisogna fare la Dpia per il whistleblowing, con ciò eliminando ogni possibile dubbio. Peraltro, si potrebbe sostenere che la norma non è innovativa, ma solo chiarificatrice di un obbligo che c’era già: questo, in ogni caso, non esclude la rilevanza, visto che c’è un’ampia platea di enti inadempienti.
Se la certezza è, dunque, positiva, bisogna considerare anche l’altra faccia della medaglia. Per scrivere una Dpia e gestirla a scanso delle sanzioni amministrative previste dal Gdpr ci vuole un’elevata specializzazione. Tutte le p.a. e tutte le imprese tenute agli adempimenti whistleblowing, infatti, devono redigere la Dpia seguendo modalità e contenuti previsti dall’articolo 35 Gdpr, che è particolarmente tecnico e ostico. Inoltre, la Dpia non è un documento scritto una volta per tutte, ma deve essere periodicamente aggiornato. Tra l’altro, la Dpia non può essere scritta dal Dpo, Responsabile della protezione dei dati, da nominare obbligatoriamente in tutte le p.a. e in alcune imprese (quelle che, su larga scala, trattano dati sensibili e particolari e/o fanno monitoraggio sistematico).
Il Dpo, infatti, è chiamato a rendere un parere obbligatorio non vincolante sulla Dpia e, quindi, sarebbe in conflitto di interessi se la scrivesse. In sostanza, le p.a. e le imprese tenute agli obblighi delle norme di tutela del whistleblowing o hanno le professionalità interne per scrivere e mantenere la Dpia o devono acquisire una consulenza. Tra l’altro, dal fatto che anche le imprese private devono scrive una Dpia, se tenute agli adempimenti whistleblowing, e dalla logica delle norme del Gdpr discende che le stesse siano contestualmente tenute a nominare un Dpo: visto che il trattamento è a rischio elevato e visto che sulla Dpia deve essere sentito il parere del Dpo. Sul punto, a parte una valutazione di opportunità (che porta a dire che “sarebbe meglio” nominarlo, ma non risolve il quesito), è utile un chiarimento ufficiale, per dare un orientamento fermo a tutte le imprese coinvolte (che possono anche essere Pmi). Si può, infatti, anche sostenere nel Gdpr che ci possono essere enti tenuti alla Dpia, perché fanno trattamenti a rischio elevato, ma non compresi tra quelli per cui scatta l’obbligo di nomina del Dpo.
Fonte: