L'informativa privacy: specificità per il whistleblowing
Di FederPrivacy, di Pasquale Mancino
Dal 15 luglio le pubbliche amministrazioni e gli enti privati di maggiori dimensioni (dal prossimo 17 dicembre lo sarà per quelli minori) devono applicare le previsioni del d.lgs. 24/2023 (DLWB) che recepisce la direttiva europea 1937/2019 sul whistleblowing: ciò implica una revisione delle procedure adottate sinora. Su Federprivacy diversi interventi hanno approfondito varie sfaccettature del DLWB. In questa sede ci si sofferma sull’articolazione dell’informativa, che presenta alcune peculiarità sul tema del whistleblowing (WB).
Il DLWB in particolare con l’art. 13 “Trattamento dei dati personali” si dilunga su divieti, limitazioni, qualificazioni-soggettive-e-adempimenti per i titolari e responsabili del trattamento, con una analiticità forse superflua, visto che il GDPR e il Codice privacy (CP) sono norme cogenti. Siamo in presenza di una tecnica normativa che, seppur indirizzata a completezza, comporta i rischi di non essere esaustiva e/o di necessitare di interpretazioni nel caso di previsioni non immediatamente sovrapponibili.
L’art. 13.4 del DLWB prevede poi che si debbano fornire “idonee informazioni alle persone segnalanti e alle persone coinvolte ai sensi degli articoli 13 e 14” del GDPR: articoli questi ultimi che trattano appunto delle informative nei due casi che i dati siano riaccolti siano raccolti o meno dall’interessato.
In tema di informative, il GDPR prevede:
- nel caso di dati forniti dall’interessato [per il DLWB ricordiamo: il segnalante ed eventualmente nel medesimo tempo il facilitatore] che si possa prescindere dall’obbligo informativo “se e nella misura in cui l’interessato dispone già delle informazioni” (art. 13).
- nel caso di dati non ottenuti dall’interessato [per quanto qui in esame; i soggetti menzionati nella segnalazione à la DLWB] che si possa prescindere dall’onere di rendere l’informativa oltre “se l’interessato dispone già delle informazioni” fra l’altro nel caso che ciò “rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni” (art.14).
E’ utile richiamare anche le Linee guida sulla trasparenza (W260 - 2018) elaborate dal Gruppo art. 29 che, nell’evidenziare che quello della trasparenza non va inteso come un concetto legalistico quanto una scelta incentrata sull’utente, esaminando gli artt. 12-14 del GDPR, non possono che confermare, sulla base del GDPR, che in alcuni casi si può non procedere con l’informativa. Ma, esemplificando con il caso della normativa antiriciclaggio, le Linee guida nel sottolineare che una banca è tenuta a non informare il proprio correntista che venisse segnalato per sospetto antiriciclaggio evidenziano che “Tuttavia, all’apertura di un conto la banca A dovrebbe fornire a tutti i correntisti informazioni generali che indichino che i dati che li riguardano potranno essere trattati per finalità di antiriciclaggio”.
Ciò posto, tornando al DLWB e stante la sua analiticità, ci si potrebbe anche porre il teorico dubbio se sia necessario o meno procedere a una informativa in primo luogo al whistleblower, che fornisce le informazioni, ma anche agli altri interessati, sui quali sono raccolte informazioni a loro insaputa, cioè al segnalato (anche se una segnalazione WB potrebbe rivolgersi a una situazione organizzativa-gestionale piuttosto che su persone che hanno commesso fatti) e agli altri soggetti eventualmente nominati nella segnalazione.
In effetti, il DLWB fornisce le informazioni di tenore generale sul trattamento ma la sua strutturazione presenterà specificità per ciascun titolare, ad es. nei casi: i) di canale di segnalazione congiunto, che prevede la presenza di contitolari e almeno un responsabile del trattamento, ii) di termini di conservazione ridotti delle segnalazioni (rispetto al limite di 5 anno indicato dal DLWB), il DLWB fornisce agli interessati le informazioni generali sul trattamento espletato; iii) di tipologia di soggetti interni che operano il trattamento dei dati, iv) di canale di inoltro della segnalazione se questa riguardi il soggetto elettivamente deputato dall’organizzazione a riceverle.
Inoltre, il trattamento delle informazioni contenute nelle segnalazioni ex - DLWB in alcuni casi necessita di uno specifico consenso del segnalante (divulgazione a terzi del suo nominativo o nell’ambito di procedimenti disciplinari conseguenti e connessi alla segnalazione – ove il diniego comporterebbe la non utilizzabilità della segnalazione nel procedimento se la conoscenza del segnalante fosse necessaria a fini di difesa - o per la trascrizione di segnalazioni orali).
Dal quadro sinteticamente sopra delineato ne deriva che ciascuna organizzazione sottoposta al DLWB dovrebbe produrre e rendere conoscibile ai potenziali segnalanti una informativa ex-art 13 GDPR (unitamente alle indicazioni su come procedere per una eventuale segnalazione, da rendere note ai propri dipendenti così come ai dipendenti e ai collaboratori di imprese con cui si hanno rapporti di fornitura di beni e servizi). Ma dovrebbe operare analogamente, ex-art 14 GDPR, a favore del segnalato e dei terzi menzionati dal whistleblower.
Nella prassi attuale, come rilevabile sul web, vi sono alcuni casi in cui le organizzazioni procedono in tal senso (ma la prassi prevalente è diversa), fornendo indicazioni generali anche a favore dei potenziali segnalati (che, non va dimenticato, secondo i principi giuridici sono da considerare innocenti sino a condanna). Vi sono anche casi di informative unitarie che si rivolgono espressamente oltre che al segnalante anche a: i) segnalato, ii) testimone, iii) altro soggetto coinvolto a qualsiasi titolo nella segnalazione.
Ad avviso di chi scrive la via preferibile sarebbe quella di impostare anche una informativa ex art 14 e renderla pubblica (unificata con quella a favore del segnalante o autonoma che sia): sarebbe incompleto procedere solo nei confronti del segnalante essendo le informazioni da rendere relative a un medesimo processo.
Che una organizzazione decida di predisporre quella ex art. 14 e di renderla solo all’occorrenza al segnalato (ad es. nel caso di procedimenti disciplinari che fanno perno sulla base della segnalazione) può essere scelta anche legittima.
Pubblicarla peraltro, sarebbe coerente con le Linee guida sulla trasparenza (W260) ove affermano “l’interessato dovrebbe essere in grado di determinare in anticipo quali siano la portata del trattamento e le relative conseguenze e non dovrebbe successivamente essere colto di sorpresa dalle modalità di utilizzo dei dati personali che lo riguardano”.
D’altronde, come sopra accennato, il DLWB afferma che i trattamenti relativi alla ricezione e alla gestione delle segnalazioni vanno effettuati “ fornendo idonee informazioni alle persone segnalanti e alle persone coinvolte ai sensi degli articoli 13 e 14 del medesimo regolamento (UE) 2016/679”. Inoltre, nelle proprie Linee guida l’ANAC specifica che l’unità interna competente (UWHIB) “si occupa di fornire informazioni sull’uso del canale di segnalazione esterna e dei canali di segnalazione interna, sugli obblighi informativi relativi al trattamento dei dati personali” richiamando al riguardo anche l’art. 14 del GDPR.
La pubblicazione ex-ante avrebbe anche il vantaggio, in termini di trasparenza, di dare preventiva risposta alla persona che presumesse di essere stata segnalata e che presentasse quindi istanza ad hoc all’organizzazione: in tal caso - ove l’iter della segnalazione ancora non consentisse di rendere noto un eventuale procedimento disciplinare - l’organizzazione non potendo rispondere nel merito dovrebbe decidere se con la risposta (generica) fornire anche l’informativa oppure solo dire che la materia è coperta da riservatezza, pur sapendo che i dati dell’interessato sono trattati (si pensi ad es. al caso di segnalazione archiviata ma le cui informazioni sono conservati nel limite di cinque anni previsto dal DLWB), rimandando solo al momento dell’eventuale procedimento disciplinare la produzione dell’informativa.
Ulteriori complessità potrebbero porsi, poi, nel caso di canali paralleli di segnalazione dove le limitazioni dei diritti del segnalato (ovvero degli artt. 15-22 e 77 del GDPR) introdotte dall’art. 24.4 del DLWB (per le segnalazioni oltre che ai sensi del DLWB stesso anche del Testo unico bancario e del Testo unico della finanza come), non fossero applicabili e quindi una informativa (generale ed ex-ante) anche a favore dei segnalati - e degli altri soggetti menzionati nella segnalazione WB – sarebbe opportuna se non necessaria.
Per concludere, Il DLWB è in fase di start-up: una maggiore trasparenza non può, ad avviso di chi scrive, che agevolarne l’affermazione nel rispetto dei diritti di tutte le parti in causa.