La nuova disciplina del “WHISTLEBLOWING” la guida operativa – la privacy – lezione n. 7

Dicembre 11, 2023 by Alberto Bozzo Diritto Rovescio, Non categorizzato
Home | Diritto Rovescio | La nuova disciplina del “WHISTLEBLOWING” la guida operativa – la privacy – lezione n. 7

Il trattamento dei dati personali e il rispetto della relativa normativa

Al fine di garantire il diritto alla protezione dei dati personali alle persone segnalanti o denuncianti il legislatore ha previsto che l’acquisizione e gestione delle segnalazioni, divulgazioni pubbliche o denunce, ivi incluse le comunicazioni tra le autorità competenti, avvenga in conformità alla normativa in tema di tutela dei dati personali.

La normativa applicabile

In particolare, al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (GDPR), al d.lgs. n. 196 del 30 giugno 2003, adeguato alle disposizioni del Regolamento (UE) 2016/679 tramite il Decreto legislativo 10 agosto 2018, n. 101. e al d.lgs. 51/2018 recante “Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché’ alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio”.

Qualsiasi scambio e trasmissione di informazioni che comportano un trattamento di dati personali da parte delle istituzioni, organi o organismi dell’UE deve inoltre avvenire in conformità al regolamento (UE) 2018/1725

regolamento (UE) 2018/1725

Il regolamento (UE) 2018/1725 riguarda la protezione delle persone fisiche per quanto riguarda il trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione europea. Essa stabilisce le regole relative alla protezione dei dati personali all’interno delle istituzioni europee al fine di garantire un livello elevato di tutela in conformità con il regolamento generale sulla protezione dei dati (GDPR).

Definizione di trattamento di dati personali

Per trattamento si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” 87(cfr. Regolamento (Ue) 2016/679, art. 4. § 1, n. 2).

La tutela dei dati personali va assicurata non solo alla persona segnalante o denunciante ma anche agli altri soggetti cui si applica la tutela della riservatezza, quali il facilitatore, la persona coinvolta e la persona menzionata nella segnalazione in quanto “interessati” dal trattamento dei dati

Chi sono gli interessati?

Cfr. art. 4, par. 1 Regolamento (UE) 679/2016 ai sensi del quale l’interessato è una “persona fisica identificata o identificabile si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Le qualifiche dei soggetti che trattano i dati personali

Titolari del trattamento

Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Pertanto, ai sensi del d.lgs. n. 24/2023 sono titolari del trattamento i soggetti del settore pubblico e privato che istituiscono canali di segnalazione interni, ANAC nell’ambito del canale di segnalazione esterno e le autorità competenti cui le segnalazioni vengono trasmesse

Contitolari del trattamento

Gli enti che condividono il canale interno per la ricezione e la gestione delle segnalazioni sono contitolari del trattamento. Tali soggetti determinano congiuntamente le finalità e i mezzi del trattamento dei dati personali. Pertanto, essi sono tenuti a stabilire in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dalla normativa in tema di tutela dei dati personali.

L’accordo, il cui contenuto essenziale è messo a disposizione dei soggetti interessati (persona segnalante o denunciante, facilitatore, persona coinvolta o persona menzionata nella segnalazione), deve riflettere adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati.

Art. 26 GDPR Contitolari del trattamento

1. Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento.

Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.

2. L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.

3. Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.

Responsabili del trattamento

Soggetti esterni gestori delle segnalazioni (ove sia stata loro affidata la gestione) –

Fornitori esterni

Persone autorizzate

Persone espressamente designate dal titolare o dai contitolari del trattamento che gestiscono e trattano le segnalazioni

La disciplina sulla tutela dei dati personali stabilisce che i titolari e i contitolari del trattamento prevedano, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità

Dispositivo dell’art. 2 quaterdecies Codice della privacy

1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.

2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

L’individuazione delle persone autorizzate al trattamento

A tal riguardo, per la trattazione delle segnalazioni, divulgazioni pubbliche o denunce, vanno individuate, come già anticipato, persone espressamente autorizzate e previamente istruite dai titolari del trattamento.

Si consideri inoltre che i suddetti soggetti autorizzati operano sotto la direzione del titolare del trattamento eseguendo i compiti loro affidati. Non godono pertanto di apprezzabili margini di autonomia operativa nell’ambito dei trattamenti di dati personali che sono chiamati a svolgere. Resta fermo che le persone autorizzate sono comunque tenute a rispettare i principi fondamentali in materia di tutela dei dati personali.

Articolo 29 GDPR

Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento

Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Occorre avere riguardo all’assetto organizzativo interno di ogni ente in modo da prevedere che le autorizzazioni al trattamento dei dati siano tali da ricomprendere tutte le persone che sono coinvolte nella gestione delle segnalazioni (si pensi al caso in cui erroneamente la segnalazione invece di pervenire attraverso il canale interno pervenga tramite protocollo).

Tali soggetti devono inoltre ricevere un’adeguata e specifica formazione professionale volta ad accrescerne le competenze specialistiche anche in materia di normativa sulla protezione dei dati personali, sicurezza dei dati e delle informazioni, nonché in tema di addestramento relativamente alle procedure predisposte

Tale specifica formazione deve inoltre avere i caratteri di effettività e concretezza e, al fine di tener conto delle novità o delle specifiche attività affidate ai soggetti in questione, i percorsi formativi necessitano di aggiornamenti e revisioni periodiche (facendo riferimento ad esempio a procedure adottate o in corso di adozione).

Art. 32 n. 4 GDPR

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Il soggetto esterno autonomo. Il responsabile del trattamento

Inoltre, il decreto prevede che nell’ambito dei canali interni di segnalazione, i soggetti del settore pubblico e privato possono affidare la ricezione e la trattazione delle segnalazioni anche ad un soggetto esterno autonomo e con personale specificamente formato.

Tale soggetto, ai sensi della normativa in materia della tutela dei dati personali, assume la qualifica di responsabile del trattamento e, come anticipato, deve presentare garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che garantiscano il rispetto della riservatezza, protezione dei dati e segretezza.

Articolo 28 del GDPR Responsabile del trattamento

1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento.

Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

Il contratto o altro atto giuridico

L’esecuzione dei trattamenti da parte dei responsabili del trattamento deve essere disciplinata da un contratto o da altro atto giuridico che preveda l’oggetto, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Peraltro, anche i responsabili del trattamento possono prevedere, sotto la propria responsabilità, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità104.

3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c) adotti tutte le misure richieste ai sensi dell’articolo 32; la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e

h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

4. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento.

Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

5. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

6. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.

7. La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

I principi fondamentali

a) Trattare i dati in modo lecito, corretto e trasparente nei confronti dei soggetti interessati («liceità, correttezza e trasparenza»).

b) Raccogliere i dati solo al fine di gestire e dare seguito alle segnalazioni, divulgazioni pubbliche o denunce effettuate da parte dei soggetti tutelati dal d.lgs. 24/2023 («limitazione della finalità»).

c) Garantire che i dati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»). A tal riguardo, il decreto precisa, infatti, che i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati senza indugio.

In tal caso il soggetto deputato a valutare la manifesta inutilità dei dati è il titolare del trattamento, in persona di coloro che sono autorizzati a ricevere e a trattare le segnalazioni, sulla base di indicazioni impartite dallo stesso titolare e dalla normativa di settore in ogni caso si precisa che il principio di minimizzazione debba essere interpretato in modo restrittivo limitando l’applicabilità della previsione ai soli casi sia palese la assoluta irrilevanza di parti della segnalazione che contengono dati personali rispetto alla vicenda segnalata restando salve le norme di settore in materia di conservazione degli atti.

d) Assicurare che i dati siano esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti relativi alla specifica segnalazione, divulgazione pubblica o denuncia che viene gestita («esattezza»).

e) Conservare i dati in una forma che consenta l’identificazione degli interessati per il tempo necessario al trattamento della specifica segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione («limitazione della conservazione»).

f) Effettuare il trattamento in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità, disponibilità e riservatezza»).

Nel contesto in esame, caratterizzato da elevati rischi per i diritti e le libertà degli interessati, il ricorso a strumenti di crittografia nell’ambito dei canali interni e del canale esterno di segnalazione, è di regola da ritenersi una misura adeguata a dare attuazione, fin dalla progettazione e per impostazione predefinita, al predetto principio di integrità e riservatezza. Le misure di sicurezza adottate devono, comunque, essere periodicamente riesaminate e aggiornate.

g) Rispettare il principio della privacy by design e della privacy by default. Definire un modello di gestione delle segnalazioni in conformità ai principi di protezione dei dati personali.

In particolare, tali misure devono fare in modo che non siano resi accessibili, in via automatica senza il tramite del titolare del trattamento o soggetto autorizzato, dati personali a un numero indefinito di soggetti. Occorre in particolare adottare misure tecniche e organizzative fin dalla progettazione del canale di segnalazione (privacy by design) e garantire che per impostazione predefinita (privacy by default) siano trattati solo i dati personali strettamente necessari in relazione alla specifica segnalazione, divulgazione pubblica o denuncia.

La “privacy by design”

è un concetto e un approccio fondamentale nel campo della protezione dei dati personali e della privacy. Si tratta di un approccio proattivo che mira a integrare la protezione della privacy fin dalla fase iniziale di progettazione di un sistema, prodotto, servizio o processo. L’obiettivo principale della privacy by design è quello di garantire che la privacy degli individui sia considerata e preservata in modo naturale e intrinseco in tutte le fasi di sviluppo e implementazione.

Ecco alcuni principi chiave associati alla privacy by design:

  1. Proattività: La privacy by design implica l’anticipazione e l’identificazione preventiva dei potenziali rischi per la privacy. Questi rischi vengono affrontati fin dall’inizio del processo di progettazione, anziché essere corretti in seguito.
  2. Predefinizione delle impostazioni di privacy: I sistemi e i servizi dovrebbero essere configurati in modo da offrire un livello di privacy ottimale per gli utenti per impostazione predefinita. Gli utenti dovrebbero avere il controllo sulle proprie informazioni personali.
  3. Minimizzazione dei dati: Si dovrebbero raccogliere solo i dati strettamente necessari per il perseguimento degli scopi dichiarati e si dovrebbe limitare la conservazione dei dati personali solo per il tempo necessario.
  4. Sicurezza dei dati: La protezione dei dati personali dovrebbe essere integrata nella progettazione del sistema, con l’implementazione di misure di sicurezza adeguate per prevenire accessi non autorizzati o violazioni dei dati.
  5. Trasparenza e controllo: Gli utenti dovrebbero essere informati in modo chiaro su come vengono raccolti e utilizzati i loro dati personali e dovrebbero avere il controllo sulle autorizzazioni e le impostazioni di privacy.
  6. Valutazione dell’impatto sulla privacy (DPIA): La privacy by design spesso richiede la conduzione di una valutazione dell’impatto sulla privacy (DPIA) per valutare e mitigare i rischi per la privacy associati a un progetto o a un sistema.
  7. Monitoraggio e adattamento: La privacy by design non è un processo statico. È necessario monitorare costantemente l’efficacia delle misure di protezione della privacy e apportare eventuali modifiche o miglioramenti in base all’evoluzione dei rischi e delle minacce.

“Privacy by default”

in italiano si traduce come “privacy per impostazione predefinita”.

Questo principio è comunemente associato alla protezione dei dati e alla sicurezza delle informazioni. Significa che le impostazioni di privacy più restrittive vengono applicate automaticamente non appena un cliente acquista un nuovo prodotto o servizio. In sostanza, le informazioni personali dell’utente rimangono private fino a quando non decidono di condividerle. Questo approccio si contrappone a impostazioni in cui gli utenti devono attivamente scegliere di proteggere la loro privacy.

La privacy per impostazione predefinita è un componente chiave delle filosofie di progettazione incentrate sulla privacy ed è spesso richiesta da regolamenti sulla protezione dei dati come il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea. Ha lo scopo di proteggere gli utenti garantendo che i loro dati personali non vengano condivisi automaticamente o inadvertitamente senza il loro consenso esplicito.

h) Effettuare, nella fase di progettazione del canale di segnalazione e dunque prima dell’inizio del trattamento, una valutazione d’impatto sulla protezione dei dati al fine di individuare ed applicare le necessarie misure tecniche per evitare tale rischio

Articolo 35 Valutazione d’impatto sulla protezione dei dati

1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.

3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

7. La valutazione contiene almeno:

a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e

d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

8. Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.

9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.

11. Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

Altri principi

i) Rendere ex ante ai possibili interessati (ad es. segnalanti, segnalati, persone interessate dalla segnalazione, facilitatori, ecc.) un’informativa sul trattamento dei dati personali mediante la pubblicazione di documenti informativi ad esempio tramite sito web, piattaforma, informative brevi in occasione dell’utilizzo degli altri canali previsti dal decreto.

Ai sensi degli artt. 13 e 14 del Regolamento (UE) 679/2016. Tale informativa (che può essere, ad esempio, inclusa nell’atto organizzativo adottato dall’amministrazione/ente per la gestione delle segnalazioni ovvero pubblicata in un’apposita sezione dell’applicativo informatico utilizzato per l’acquisizione e gestione delle segnalazioni), deve essere resa nel momento in cui i dati personali sono ottenuti e deve contenere una serie di indicazioni specifiche.

Ci si riferisce, a titolo esemplificativo, all’identità e ai dati di contatto del titolare del trattamento, del responsabile del trattamento, ove presente, e della persona autorizzata al trattamento, le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; il periodo di conservazione dei dati personali.

No informativa

Nella fase di acquisizione della segnalazione e della eventuale successiva istruttoria non devono invece essere fornite informative ad hoc ai vari soggetti interessati diversi dal segnalante. Ciò anche per evitare elevati flussi informativi dai quali è possibile dedurre il coinvolgimento della persona in una segnalazione vanificando le tutele per la riservatezza approntate dal decreto.

Laddove all’esito dell’istruttoria sulla segnalazione si avvii un procedimento nei confronti di uno specifico soggetto segnalato, a quest’ultimo va naturalmente resa un’informativa ad hoc

l) Assicurare l’aggiornamento del registro delle attività di trattamento, integrandolo con le informazioni connesse a quelle di acquisizione e gestione delle segnalazioni

Tale registro dovrà contenere, ad esempio, il nome e i dati di contatto del titolare del trattamento e, ove presente, del contitolare del trattamento; una descrizione delle categorie di soggetti interessati e delle categorie di dati personali che vengono in rilievo; le autorità competenti a cui le segnalazioni, divulgazioni pubbliche o denunce, e quindi i dati personali in esse contenuti, sono stati o saranno comunicati.

Articolo 30 GDPR Registri delle attività di trattamento

1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:

a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:

a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

m) Garantire il divieto di tracciamento dei canali di segnalazione. Nel caso in cui l’accesso ai canali interni e al canale esterno di segnalazione avvenga dalla rete dati interna del soggetto obbligato e sia mediato da dispositivi firewall o proxy, deve essere garantita la non tracciabilità – sia sulla piattaforma informatica che negli apparati di rete eventualmente coinvolti nella trasmissione o monitoraggio delle comunicazioni – del segnalante nel momento in cui viene stabilita la connessione a tali canali.

Ciò in quanto la registrazione e la conservazione (ad esempio, nei log degli apparati firewall), delle informazioni relative alle connessioni ai predetti canali di segnalazione consente la tracciabilità dei soggetti che utilizzano tale applicativo, tra i quali i segnalanti. Ciò, rende inefficaci le altre misure adottate per tutelare la riservatezza dell’identità dei segnalanti.

n) Garantire, ove possibile, il tracciamento dell’attività del personale autorizzato nel rispetto delle garanzie a tutela del segnalante, al fine di evitare l’uso improprio di dati relativi alla segnalazione. Deve essere evitato il tracciamento di qualunque informazione che possa ricondurre all’identità o all’attività del segnalante . Spetta comunque al titolare del trattamento alla luce del principio di responsabilizzazione, individuare le misure di sicurezza idonee alla luce del rischio in concreto

Il tracciamento, fatto salvo quanto previsto dall’art. 4 della l. n. 300/1970, può essere effettuato esclusivamente al fine di garantire la correttezza e la sicurezza del trattamento dei dati.

La responsabilità in caso di violazioni

La responsabilità in caso di violazione della disciplina sulla tutela dei dati personali ricade in capo al titolare del trattamento laddove tale violazione sia commessa delle persone autorizzate o dai responsabili del trattamento.

Ciò salvo che, come sopra chiarito, questi ultimi non si siano limitati a trattare i dati in base alle indicazioni del titolare del trattamento e abbiano definito mezzi e finalità propri assumendo quindi la titolarità di tale trattamento.

La responsabilità ricade in capo al responsabile del trattamento nel caso in cui la suddetta violazione è commessa da persone autorizzate da quest’ultimo.

In tali casi, il Garante per la protezione dei dati personali può adottare provvedimenti correttivi e, nei casi previsti dalla legge, applicare sanzioni amministrative pecuniarie .

Art 58 co2 GDPR poteri dell’autorità Garante

Ogni autorità di controllo ha tutti i poteri correttivi seguenti:
a) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento;

b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento;

c) ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti loro derivanti dal presente regolamento;

d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;

e) ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali;

f) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;

g) ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell’articolo 17, paragrafo 2, e dell’articolo 19;

h) revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;

i) infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; e

j) ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

Eccezioni

Tali sanzioni amministrative non si applicano in relazione ai trattamenti svolti in ambito giudiziario ai sensi Art. 166, comma 10, Nuovo Codice Privacy – D.lgs 196/2003 aggiornato al D.lgs 101/2018

La responsabilità civile per illecito trattamento dei dati

Le medesime violazioni possono inoltre rilevare sotto il profilo penale e dar luogo a responsabilità civile

Art. 82 GDPR – Diritto al risarcimento e responsabilità

Diritto al risarcimento e responsabilità

1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.

5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.

6. Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2.

Articolo 84 GDPR

Sanzioni
1. Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive.

2. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro il 25 maggio 2018, e comunica senza ritardo ogni successiva modifica.

Divieto di esercitare i diritti che vengono riconosciuti agli interessati

La persona coinvolta o la persona menzionata nella segnalazione, con riferimento ai propri dati personali trattati nell’ambito della segnalazione, divulgazione pubblica o denuncia, non possono esercitare – per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata- i diritti che normalmente il Regolamento (UE) 2016/679 riconosce agli interessati

Articolo 2 undecies Codice della privacy

I diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell’articolo 77 del Regolamento qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto:

f) alla riservatezza dell’identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte, ai sensi del decreto legislativo recante attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione, ovvero che segnala violazioni ai sensi degli articoli 52 bis e 52 ter del decreto legislativo 1° settembre 1993, n. 385, o degli articoli 4 undecies e 4 duodecies del decreto legislativo 24 febbraio 1998, n. 58(3)

i diritti di cui agli arti 15 e 22

(il diritto di accesso ai dati personali, il diritto a rettificarli, il diritto di ottenerne la cancellazione o cosiddetto diritto all’oblio, il diritto alla limitazione del trattamento, il diritto alla portabilità dei dati personali e quello di opposizione al trattamento.

La ratio

Dall’esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell’identità della persona segnalante. In tali casi, dunque, al soggetto segnalato o alla persona menzionata nella segnalazione è preclusa anche la possibilità, laddove ritengano che il trattamento che li riguarda violi suddetti diritti, di rivolgersi al titolare del trattamento e, in assenza di risposta da parte di quest’ultimo, di proporre reclamo al Garante della protezione dei dati personali.

Quando un responsabile diventa titolare?

Qualora i responsabili del trattamento non si limitino a trattare i dati in base alle indicazioni del titolare del trattamento e inizino a definire mezzi e finalità propri, sono considerati titolari rispetto a tale ultimo trattamento e possono pertanto essere soggetti alle sanzioni amministrative pecuniarie da parte del Garante.

I fornitori esterni

Vale poi precisare che, laddove in esito alla valutazione di impatto (cfr. infra) si renda necessario il ricorso a misure tecniche e organizzative per ridurre un rischio per i diritti degli interessati, i titolari del trattamento, nell’individuazione e predisposizione di tali misure, possono eventualmente ricorrere a fornitori esterni al fine di rendere più sicuro e adeguato il canale di gestione delle segnalazioni, divulgazioni pubbliche o denunce.

Anche tali soggetti, che operano per conto dei titolari del trattamento, ai sensi della normativa sulla tutela dei dati personali, sono responsabili del trattamento.