Il piano ispettivo del semestre luglio – dicembre: focus sul whistleblowing

Leggi l’approfondimento di ICT Legal Consulting, studio legale internazionale con sede a Milano, Bologna, Roma ed Amsterdam e presente in diciannove altri paesi, specializzato nel settore delle tecnologie informative, della protezione dei dati personali, della sicurezza e della proprietà intellettuale.


Il 4 aprile 2019, il Garante italiano per la protezione dei dati personali ha emanato il Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna volte all’accertamento dell’adeguatezza “dei trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (d. whistleblowing)” che possono aver luogopresso titolari e presso i responsabili del trattamento.

Tali procedure, che potrebbero essere avviate sia su istanza di parte che d’ufficio, “sono finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante”: in particolare, una certa rilevanza dal punto di vista pratico riveste il Capo III del Regolamento, il quale fornisce importanti informazioni sulle attività ispettive che competono al Garante. Qualora ricorrano elementi che facciano ritenere vi possa essere stata una violazione di dati personali, sussista o meno una segnalazione di parte, il Garante ha infatti il potere di richiedere informazioni e spiegazioni, nonché controllare, estrarre, acquisire copia dei documenti o di banche dati che ritenga eventualmente necessari ai fini dell’ispezione, siano essi in formato elettronico che cartaceo.

Pertanto, in virtù di quanto disposto dal Garante nel provvedimento in esame, è necessario che i pilastri della compliance formale e sostanziale di una società risultino adeguati a dimostrare il rispetto dei principi del Regolamento UE 679/2016, affinché non siano ravvisati gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali e, quindi, non siano irrogate sanzioni e/o provvedimenti correttivi ai sensi dell’art. 83, paragrafo 5, lettera e), del RGDP e degli articoli 166 e 168 del codice”.


Il Garante ha recentemente pubblicato il provvedimento con il quale ha deliberato il piano ispettivo di questo semestre, richiamando tra i trattamenti oggetto di possibile ispezione: “1. limitatamente al periodo luglio-dicembre 2019, l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata:

a) ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (d. whistleblowing)”.

Background

Il Garante privacy italiano ha altresì emanato un proprio Regolamento n.1/2019 “concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali” con il quale ha dettagliato i compiti e le procedure da seguire nell’espletamento dei suoi compiti.

Aspetti principali

Agli artt. 21 e 22 del predetto Regolamento sono dettate le disposizioni relative alle ispezioni. In particolare, con riferimento alla prima delle due norme citate viene stabilito che: “nell’esercizio  dei   compiti   di   controllo   o   comunque esercitabili dal Garante, valutati gli elementi  in  suo  possesso  e anche  in  assenza  di  reclamo,  segnalazione  o  notificazione di violazione dei dati personali,  l’Autorità  può  avviare  d’ufficio un’istruttoria preliminare per verificare la  sussistenza  di  idonei elementi in ordine a possibili violazioni della disciplina  rilevante in materia di protezione dei dati personali”. Con la seconda delle due norme sopra citate, invece, viene stabilita la vera e propria procedura che verrà seguita in caso di attività ispettiva. In particolare, dai commi 5 e ss. di tale disposizione viene chiarito che: “l’ordine di servizio con cui è disposta l’attività ispettiva individua il titolare o il responsabile del trattamento destinatari del controllo, il luogo dove si svolge l’accertamento, il responsabile dell’attività e gli ulteriori partecipanti, designati d’intesa con i dirigenti dei dipartimenti, servizi o altre unità organizzative; l’ordine di servizio indica altresì le sanzioni previste ai sensi dell’art. 83, paragrafo 5, lettera e), del RGDP e degli articoli 166 e 168 del codice”. Inoltre, viene precisato che nel corso di tali attività possono essere richieste copie di documenti, informazioni/spiegazioni, può essere fatto accesso alle banche dati e agli archivi e può essere altresì estratta copia degli stessi. Da ultimo, viene infine confermato che, nel corso dell’attività ispettiva, il titolare del trattamento può essere assistito dai propri consulenti e può anche riservarsi di produrre ulteriore documentazione a sua difesa.

Le principali fonti dell’Ispezione, oltre a quelle individuate nel piano ispettivo, possono derivare da segnalazioni o reclami degli interessati, ovvero da data breach notificati.

Implicazioni pratiche

Anzitutto, nell’ambito di un’eventuale ispezione il Nucleo Ispettivo vorrà verificare quale sia la procedura adottata dalla società in ambito whistleblowing, ossia comprendere quali sono i canali prescelti per le segnalazioni, il flusso dei dati, verificare il tempo di conservazione della documentazione e comprendere se, nel caso in cui il ricevente la segnalazione sia un soggetto interno all’azienda, esistano riceventi, per così dire, di “secondo livello” preposti a ricevere una segnalazione che riguardi il ricevente principale.

Una volta verificata la procedura, potrà essere richiesto di esibire la documentazione privacy che dimostri la corretta gestione del trattamento dei dati personali dei soggetti coinvolti.

È verosimile, anzitutto, che venga richiesto il registro dei trattamenti, che dovrà adeguatamente riflettere tutti i flussi di dati coerentemente a quanto descritto nella procedura. Il registro infatti è la principale fotografia dei trattamenti posti in essere dalla società, e tale deve essere anche per questo tipo di attività.

Secondariamente, potrà essere chiesto al titolare del trattamento di esibire l’informativa privacy che descrive il trattamento, verificando eventualmente anche la corretta diffusione del documento presso  i dipendenti.

Continua a leggere qui.


In collaborazione con

ICT Legal Consulting è uno studio legale internazionale con sede a Milano, Bologna, Roma ed Amsterdam e presente in diciannove altri paesi, specializzato nel settore delle tecnologie informative, della protezione dei dati personali, della sicurezza e della proprietà intellettuale.

ICT Legal Consulting

Author ICT Legal Consulting

ICT Legal Consulting is an international law firm founded in 2011 with offices in Milan, Bologna, Rome and Amsterdam, and presence in nineteen other countries (Australia, Austria, Belgium, Brazil, China, France, Germany, Greece, Hungary, Mexico, Poland, Portugal, Romania, Russia, Slovakia, Spain, Turkey, United Kingdom and USA). The firm was established by Paolo Balboni and Luca Bolognini, who have successfully assembled a network of trusted, highly-skilled lawyers specialized in the fields of Information and Communication Technology, Privacy, Data Protection/Security and Intellectual Property Law.

More posts by ICT Legal Consulting
en_US
it_IT en_US