Di Giacomo Conti

 

Secondo l’art. 13 comma 4 del Decreto Whistleblowing, i trattamenti di dati personali relativi al ricevimento e alla gestione delle segnalazioni sono effettuati dai soggetti di gestori dei canali di segnalazione, che sono da considerarsi, a rigor di norma, titolari del trattamento.

Se così fosse, sarebbero questi soggetti sono tenuti ad adottare le misure di organizzazione e sicurezza appropriate a tutela dei diritti e delle libertà degli interessati, mentre per eventuali violazioni della normativa o per data breach. Il tutto mentre, l’organizzazione che non ha implementato il canale o non ha adottato adeguate misure di sicurezza non dovrebbe rispondere per violazioni o data breach non essendo titolare del trattamento.

A livello sistematico appare evidente come questa norma non sia compatibile con quanto stabilito dal GDPR secondo cui i ruoli nell’ambito delle attività di trattamento di dati personali sono dettati dal principio di finalità del trattamento in ragione del quale il titolare è colui che determina le finalità del trattamento e ne individua la base giuridica.

Pertanto, secondo l’art. 4 numero 7 del GDPR, deve intendersi come titolare del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quindi, l’organizzazione che ha predisposto il canale di segnalazione.

Seppure il GDPR stabilisca che quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri, la scrittura della norma appare non conforme con i principi generali in materia di protezione dei dati.

È, infatti, evidente come nel caso in cui la gestione dei canali di segnalazione si affidata a un ufficio interno all’ente le persone incaricate della gestione del canale di segnalazione saranno necessariamente autorizzate ai sensi dell’art. 29 GDPR. Peraltro, in ragione del principio di substance over form nella definizione dei ruoli GDPR non dovrebbe rilevare se questi soggetti sono professionisti autonomi o dipendenti dell’ente.

Il fatto che questi soggetti siano persone autorizzate e non titolari di trattamento è messo in evidenza dall’articolo 4 comma 2 del Decreto Whistleblowing secondo cui la gestione del canale di segnalazione è affidata a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione. Questo comma è in evidente contraddizione e distonia con l’art. 13 della norma.

Il Decreto Whistleblowing contempla anche il caso in cui la gestione del canale sia affidata a un soggetto esterno e, come nel caso precedente, il personale preposto alla gestione della segnalazione che in questo caso è del gestore del canale esterno deve essere specificamente formato. In questo caso, l’ente esterno incaricato della gestione del canale potrebbe essere un data processor ai sensi dell’art. 28 GDPR e le persone che trattano i dati personali nell’ambito delle segnalazioni, ugualmente, dovrebbero ritenersi soggetti autorizzati che operano sotto l’autorità non del controller, ma del processor.

Seppure la normativa sia ancora troppo recente per avere prodotto giurisprudenza sul punto, si può attingere, almeno per analogia, ad alcuni precedenti del Garante che si è espresso in tema di ruolo GDPR dell’Organismo di Vigilanza.

In alcune ipotesi, infatti, il gestore del canale di segnalazione potrebbe anche essere un membro dell’organismo di vigilanza e il Garante si è già espresso sul punto con il “Parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231” in data 21 maggio 2020 reperibile in: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9347842

Il Garante ha ritenuto che l’OdV, nel suo complesso e a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato come parte integrante dell’ente. Per l’effetto, i singoli membri dell’OdV debbano considerarsi come soggetti autorizzati ai sensi dell’artt. 4, n. 10, 29, 32 par. 4 Regolamento e dell’art. 2-quaterdecies del Codice della Privacy.

La designazione dei membri dell’OdV, al pari dell’istituzione dell’ufficio preposto alla gestione del canale di segnalazione è, infatti, un atto di organizzazione e non negoziale e, pertanto, appare corretto qualificare questi soggetti come autorizzati (art. 29 GDPR) e non come responsabili di trattamento piuttosto che titolari (art. 28 GDPR).

Ne consegue che, anche nel caso di una violazione di dati derivante nell’ambito della gestione del canale di segnalazione affidata a un soggetto esterno, dovrà rispondere necessariamente l’ente. In quest’ultimo caso, per culpa in eligendo in ragione di una scelta di un soggetto non adeguato.

L’impostazione normativa, all’apparenza, sembra deresponsabilizzare le organizzazioni che, per legge sono tenute ad adottare il sistema di whistleblowing e, pertanto, è opportuno e necessario adottare un’interpretazione correttiva conforme al GDPR che vorrebbe che l’organizzazione fosse titolare di trattamento. Il tutto anche per assicurare un adeguato livello di protezione dei dati personali che il Decreto WhistleBlowing richiede essendo la protezione dei dati personali del segnalante uno dei principi cardini assieme alle misure di protezione della sua persona.