Archivio dell'autore: sicurezzapratica

Pa: il Garante Privacy chiede più tutele per chi segnala gli illeciti

Adottare ulteriori misure per proteggere l’identità di chi segnala riservatamente condotte illecite e quella dei presunti autori, delineare più precisamente i fatti che possono essere segnalati con il “whistleblowing” nella Pa, definire meglio il ruolo dei soggetti coinvolti.

home

Software Gestione Segnalazioni Whistleblower

Queste sono alcune delle condizioni e osservazioni indicate dal Garante per la privacy nel parere sulla bozza di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001, (c.d. whistleblowing)”, predisposta dall’Anac.

Le Linee guida – rivolte ai datori di lavoro in ambito pubblico, ma contenenti anche indicazioni per l’inoltro di segnalazioni da parte di dipendenti di imprese fornitrici di beni o servizi per la Pa – specificano le misure tecniche di base che le pubbliche amministrazioni, titolari del trattamento dei dati, dovranno adottare ed eventualmente ampliare, tenendo conto degli specifici rischi del trattamento e nel rispetto dei principi di privacy-by-design e privacy-by-default.

Il testo delle linee guida era stato inizialmente posto dall’Autorità anticorruzione in consultazione pubblica e poi integrato sulla base di una positiva collaborazione con il Garante per la privacy, così da rafforzare la tutela della speciale riservatezza dell’identità del segnalante e delle informazioni che facilitano l’individuazione di fenomeni corruttivi nella Pa.Tale collaborazione aveva portato anche a delineare meglio, ad esempio, il ruolo dei fornitori di applicativi e servizi informatici utilizzati per l’acquisizione e la gestione delle segnalazioni, nonché a proporre accorgimenti specifici per evitare la tracciabilità del segnalante.

Il parere favorevole del Garante privacy è però condizionato – anche alla luce degli esiti di attività ispettive avviate nel corso del 2019 proprio nei confronti dei principali soggetti (società informatiche, pubbliche amministrazioni) che trattano dati nell’ambito del whistleblowing – all’introduzione di specifiche modifiche che possano evitare di compromettere la corretta gestione delle segnalazioni.

Al fine di incrementare l’utilizzo e la fiducia in questo strumento, il Garante ha chiesto, ad esempio, che nelle Linee guida vengano circoscritte e definite meglio le condotte segnalabili con il “whistleblowing”, così da evitare che gli uffici che gestiscono le segnalazioni rischino di trattare illecitamente i dati delle persone citate, magari perché riferibili a casi non previsti dalla normativa anticorruzione. Dovranno poi essere specificati meglio – seppure con alcune limitazioni a tutela dell’identità del segnalante – i diritti garantiti dalla normativa privacy anche all’autore del presunto illecito.

Dovrà inoltre essere limitata al “responsabile della prevenzione della corruzione e della trasparenza” la possibilità di associare la segnalazione all’identità del segnalante. Nel parere è indicato, tra l’altro, che occorre specificare meglio il ruolo svolto nel trattamento dei dati dai soggetti (sia interni all’amministrazione, sia esterni come l’Autorità giudiziaria e la Corte dei Conti) che possono conoscere le informazioni contenute nelle segnalazioni riservate.

Il Garante ha infine chiesto all’Anac di rafforzare nelle Linee guida le misure tecniche e organizzative necessarie per tutelare l’identità del segnalante, utilizzando, ad esempio, protocolli sicuri per la trasmissione dei dati, abilitando accessi selettivi ai dati contenuti nelle segnalazioni, ed evitando che la piattaforma invii al segnalante notifiche sullo stato della pratica, in quanto tali messaggi potrebbero consentire di svelarne l’identità.

 

La relazione annuale del DPO: errori da evitare

La relazione annuale del DPO al vertice gerarchico dell’azienda,  è suggerita dal Regolamento Europeo al comma 3 dell’art. 38: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. […]. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.
E’ un documento indispensabile che consente di tracciare il rapporto diretto tra l’alta direzione e il DPO.

modlelo_rel_ann_DPO

La relazione annuale del DPO, ha una duplice funzione:
_ per  il titolare, permette di valutare l’operato del DPO
_ per il DPO costituisce lo strumento per informare la dirigenza sul sistema di gestione della privacy dell’organizzazione.

Vediamo un elenco di errori da evitare da parte del DPO nel redigere tale relazione.

  1. strutturarla in modo poco dettagliato
  2. omettere l’elenco dei partecipanti alle riunioni tenutesi durante l’anno
  3. incompleta descrizione delle attività di verifica in merito all’organizzazione aziendale privacy
  4. elenco DPIA attivate non aggiornato
  5. elenco DATA BREACH non aggiornato
  6. assenza programmazione verifiche/audit per l’anno successivo
  7. indirizzare la relazione alla direzione aziendale in modo generico, senza verificare che sia effettivamente inviata all’organo che ha proceduto alla nomina del DPO
  8. Nel caso di gruppo societari indirizzare la relazione solo alla capo gruppo, e non alle singole società che lo compongono. La relazione in questo caso dovrà contenere una parte generale comune, relativa all’organizzazione e alla documentazione privacy utilizzata nel Gruppo, e una parte specifica per ciascuna società.
  9. nel caso l’azienda abbia una funziona compliance, un errore da evitare nella relazione del DPO è quella di non inserire i riferimenti alla relazione compliance sula privacy .

 

La procedura del diritto all’oblio

E’ stato pubblicato su www.alertprivacy.it l’articolo “Procedura gestione diritto all’oblio”, in cui viene approfondita la modalità di gestione del diritto all’oblio, che dopo la sentenza storica della Corte di Giustizia europea del 13/5/2014 è divenuto un argomento molto attuale (si pensi che solo in Italia sono state oltre 300.000 le richieste di rimozione a Google, che ha preso subito una posizione netta, rifiutandone il 62,5%).

Gli errori che il DPO non deve fare!

E’ stato pubblicato su www.clubdpo.com l’articolo “Gli errori che il DPO non deve fare“, in cui sono presentati i più comuni ma anche i meno frequenti errori che il Data Protection Officer può compiere, nello svolgimento della propria attività.

Ne pubblichiamo un estratto:

  • Non controllare adeguatamente i registri trattamenti. Va ricordato che è necessario avere un registro trattamenti per ogni “entità legale” aziendale (ad esempio nel caso di gruppi internazionali). Verificare inoltre per quelle aziende che operano trattamento di dati personali per conto terzi, sia disponibile accanto al Registro del Titolare, anche il    Registro del Responsabile.
  • Non definire opportuni flussi informativi per essere tempestivamente informato sui cambiamenti organizzativi, di business, di strumenti, infrastrutture o di fornitori ecc., tutti elementi che richiedono un aggiornamento dei registri, dell’analisi dei rischi o di altra documentazione, lo svolgimento di una valutazione rischi impatto trattamenti
  • Non definire una periodicità dei controlli. E’ bene a inizio anno prevedere già una periodicità dei controlli almeno quadrimestrale

Pubblicato il modello di report annuale dell’attività del DPO da consegnare alla direzione aziendale

La relazione annuale del DPO è utile a quest’ultimo per riferire sulle attività svolte al vertice gerarchico dell’azienda; allo stesso tempo consente al titolare del trattamento di dimostrare l’effettiva attenzione al tema della tutela dei dati personali.

Come realizzarla? Ecco il modello completo, in formato MS Word, editabile, 38 pagine

Diritto all’oblio anche per chi si riabilita

La permanenza in rete di notizie di cronaca giudiziaria non aggiornate può rappresentare un ostacolo al reinserimento sociale di una persona. Il diritto all’oblio va riconosciuto anche a chi è stato riabilitato dopo una condanna. Il principio è stato affermato dal Garante privacy, che ha ordinato a Google la rimozione di due Url che rimandavano ad informazioni giudiziarie non più rappresentative della attuale situazione di un imprenditore. L’interessato, dopo aver tentato di far deindicizzare le pagine direttamente a Google, si era rivolto all’Autorità lamentando il pregiudizio derivante alla propria reputazione personale e professionale dalla permanenza in rete di informazioni obsolete e non aggiornate. Per questo motivo aveva chiesto al Garante di ordinare a Google la rimozione dai risultati di ricerca di due Url, reperibili digitando il proprio nominativo, che contenevano informazioni su una vicenda giudiziaria che lo aveva visto coinvolto nel 2007 e sulla sentenza di condanna pronunciata nei suoi confronti nel 2010. Nelle pagine web però non vi era alcuna traccia della successiva riabilitazione che l’uomo aveva chiesto e ottenuto nel 2013.

Nel giudicare fondato il reclamo ed ordinare la deindicizzazione, l’Autorità ha ritenuto che l’ulteriore trattamento dei dati realizzato attraverso la persistente reperibilità in rete degli Url contestati – nonostante la riabilitazione e il tempo trascorso dal verificarsi dei fatti – determinasse un impatto sproporzionato sui diritti dell’interessato, che non risulta bilanciato da un attuale interesse del pubblico a conoscere la vicenda.

La persistenza in rete di tali informazioni giudiziarie non aggiornate, infatti, non è in linea con i principi alla base dell’istituto della riabilitazione, il quale, pur non estinguendo il reato, comporta il venir meno delle pene accessorie e di ogni altro effetto penale della condanna come misura premiale finalizzata al reinserimento sociale della persona.