Data Protection Impact Assessment (II PARTE)

Dopo lo scorso articolo, chiarito il quadro normativo applicabile, ci occuperemo ora delle metodologie disponibili per lo svolgimento di operazioni di valutazione di impatto (DPIA), in conformità con le previsioni delle norme contenute all’art. 35 del GDPR, alla luce della interpretazione che di queste hanno fornito nel tempo le Autorità di controllo dei Paesi dell’Unione Europea.

Vale la pena sottolineare, per completare il quadro normativo applicabile, che recentemente l’Autorità Garante per la Protezione dei dati personali in Italia, è intervenuta con un provvedimento particolarmente significativo in materia di obbligo di svolgimento di operazioni di valutazione di impatto, relativamente ai trattamenti di dati personali svolti nell’ambito della messa a disposizione degli interessati, dipendenti e non, di procedure e strumenti funzionali alla segnalazione di illeciti; il c.d. ‘whistleblowing’ – Cfr. Garante Privacy doc. web n. 9768363, in Registro dei provvedimenti n. 134 del 7 aprile 2022.

La normativa in Italia

La materia del whistleblowing (che in italiano si traduce in ‘denuncia’), che costituisce, ad avviso di chi scrive, un case study particolarmente rappresentativo delle osservazioni e valutazioni da condurre in relazione agli obblighi di svolgimento di una valutazione di impatto, è stata disciplinata, in un primo momento, nel quadro delle norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche, nell’ambito delle disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione.

Successivamente la disciplina è stata ulteriormente definita con la Legge 30 novembre 2017, n. 179 recante “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”, che ha modificato la disciplina relativa alla “tutela del dipendente pubblico che segnala illeciti” e ha introdotto una nuova disciplina in materia di whistleblowing, riferita ai soggetti privati, integrando la normativa in materia di “responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”.

Il comma 2-bis dell’art. 6 del d.lgs. 8 giugno 2001, n. 231, prevede ora, per quanto ci occupa, che: i modelli organizzativi di gestione e controllo prevedono: a) uno o più canali che consentano (…), a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del presente decreto e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell’identità del segnalante nelle attività di gestione della segnalazione.

Il quadro normativo sopra richiamato che ha aggiornato la precedente disciplina sotto diversi profili, dal quadro sanzionatorio, alle tutele specifiche per l’interessato, quali la reintegrazione nel posto di lavoro in caso di licenziamento “a motivo della segnalazione” e la nullità di eventuali “atti discriminatori o ritorsivi”, prevede, più in generale, misure volte a proteggere la divulgazione dell’identità del segnalante, allo scopo di prevenire l’adozione di misure discriminatorie nei confronti dello stesso.

In tale assetto, infatti, l’identità del segnalante non può essere rivelata, salvo alcune eccezioni in relazione ai procedimenti penali, contabili o disciplinari che dovessero conseguire alla segnalazione o “nei casi in cui sia accertata, anche con sentenza di primo grado, la responsabilità penale del segnalante per i reati di calunnia o diffamazione o comunque per reati commessi con (segnalazione o se è accertata) la sua responsabilità civile, per lo stesso titolo, nei casi di dolo o colpa grave”. La segnalazione è inoltre sottratta all’accesso previsto dagli articoli 22 e seguenti della legge 7 agosto 1990, n. 241, e successive modificazioni (art. 54-bis, comma 4, cit.).

Sul punto, si segnala inoltre che la Camera dei Deputati, nella seduta dello scorso 2 Agosto, ha approvato in via definitiva il Disegno di Legge recante “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti normativi dell’Unione europea – Legge di delegazione europea 2021”, che include la Direttiva 2019/1937 in materia di “Protezione degli individui che segnalano violazioni delle norme comunitarie”.

La posizione del Garante

Chiarito ciò che precede, ora è opportuno sottolineare che, nel provvedimento richiamato, con specifico riferimento agli obblighi di valutazione di impatto, il Garante, oltre a comminare una sanzione amministrativa pecuniaria molto significativa al Titolare del trattamento, ha specificato che, tenuto conto delle indicazioni fornite anche a livello europeo, il trattamento dei dati personali mediante i sistemi di acquisizione e gestione delle segnalazioni presenta rischi specifici per i diritti e le libertà degli interessati, considerata anche la particolare delicatezza delle informazioni potenzialmente trattate, la “vulnerabilità” degli interessati nel contesto lavorativo, nonché lo specifico regime di riservatezza dell’identità del segnalante previsto dalla normativa di settore.

L’Autorità ha osservato, con riferimento agli applicativi per l’acquisizione e gestione delle segnalazioni illecite che, il trattamento dei dati personali effettuati in tale ambito, in ragione della particolare delicatezza delle informazioni trattate, nonché degli elevati rischi, in termini di possibili effetti ritorsivi e discriminatori, anche indiretti, per il segnalante, la cui identità è protetta da uno specifico regime di garanzia e riservatezza previsto dalla normativa di settore (tanto a livello nazionale quanto a livello europeo, cfr., da ultimo, la direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione), presenta rischi specifici per i diritti e le libertà degli interessati.

Un processo permanente e non una tantum

L’esame del provvedimento richiamato, da un punto di vista della metodologia applicata, consente di individuare, da una parte quali siano stati i criteri seguiti per l’applicazione della norma e, dall’altra, quali siano, a questo punto, i requisiti da soddisfare per evitare che ne siano violati i contenuti.

In particolare, nel caso del whistleblowing appare essere stata circostanza determinante ai fini della configurazione della fattispecie considerata dall’art. 35 del GDPR, la “vulnerabilità” degli interessati (soggetti segnalanti e segnalati) nel contesto lavorativo che risulta essere tra i criteri specifici previsti dalle “Linee guida concernenti la valutazione di impatto sulla protezione dei dati” nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017.

Le linee guida da ultimo richiamate rappresentano, in effetti, un indispensabile strumento di supporto per lo svolgimento delle attività di valutazione di impatto e hanno lo scopo di fornire indicazioni concrete specificando in particolare, in primo luogo, che l’effettuazione della DPIA dovrebbe collocarsi quanto più a monte possibile nella fase di progettazione di un trattamento, anche se non tutte le operazioni di tale trattamento sono già delineate. In secondo luogo che potrà rendersi necessaria la ripetizione di singole tappe della valutazione con il procedere della fase di sviluppo, in quanto la scelta di determinate misure tecniche o organizzative potrà incidere sulla gravità o sulla probabilità, dei rischi posti dal trattamento. E, infine, che: “La DPIA è un processo permanente, soprattutto se si ha a che fare con un trattamento dinamico e soggetto a continue trasformazioni”. Lo svolgimento della DPIA è quindi un processo continuativo e non un’attività una tantum.