Lo scorso 20 dicembre l’Autorità Nazionale Anticorruzione (ANAC) ha pubblicato una nuova raccolta di FAQ in materia di whistleblowing. Il documento contiene chiarimenti utili sulla disciplina relativa alla segnalazione degli illeciti all’interno degli enti tanto sotto il profilo organizzativo quanto in riferimento alle concrete modalità di gestione delle segnalazioni. Tra i diversi punti di attenzione, rivestono un carattere di particolare importanza quelli attinenti gli aspetti relativi al trattamento dei dati personali.

Anzitutto deve sottolinearsi il contesto in cui le FAQ sono state pubblicate. Il 31 dicembre è scaduto il termine di adeguamento alla Direttiva europea 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione. Il Parlamento italiano lo scorso aprile aveva approvato la Legge delega 53/2021, attribuendo al Governo il compito di recepire le indicazioni del legislatore europeo, la quale tuttavia non ha avuto seguito.

Nelle more del recepimento della normativa eurocomunitaria l’Autorità Anticorruzione ha pubblicato, con delibera del 9 giugno 2021, le nuove linee guida sul whistleblowing che, allo stato, costituiscono il punto di riferimento principale e più avanzato per qualunque organizzazione che debba dotarsi di un adeguato sistema di segnalazione degli illeciti. Tale ultimo provvedimento, unitamente alle FAQ di recente pubblicazione, realizzano per la prima volta un coordinamento tra le norme in materia di whistleblowing e il nuovo quadro normativo in tema di trattamento dei dati personali.

Caposaldo della normativa in materia di segnalazione degli illeciti è la tutela della riservatezza del segnalante, del contenuto delle segnalazioni e degli eventuali allegati, nonché dei soggetti segnalati. Per questo motivo l’Autorità raccomanda l’adozione di appositi e adeguati software per la gestione delle segnalazioni, di modo da tutelare al meglio la riservatezza del segnalante e consentire l’interazione sicura tra questi e il responsabile per la prevenzione della corruzione (ed il suo team). Per fare ciò è indispensabile, ad avviso dell’ANAC e dal Garante privacy, che il software disponga di adeguate misure di sicurezza, che consenta la pseudonimizzazione dei dati identificativi del segnalante e la trasmissione dei dati mediante protocolli di trasmissione sicuri (ad es. HTTPS).

Inoltre, sempre al fine di tutelare la riservatezza dell’identità del whistleblower, è necessario che qualora l’accesso alla piattaforma informatica avvenga mediante dispositivi firewall o proxy, l’ente garantisca la non tracciabilità del segnalante nel momento in cui viene stabilita la connessione. Questo può avvenire attraverso l’utilizzo di strumenti di anonimizzazione dei dati di navigazione, come ad esempio la tecnologia TOR.

Un’altra misura individuata dall’ANAC per salvaguardare la riservatezza dell’identità del whistleblower è legata al tracciamento degli accessi alla piattaforma di segnalazione.

In questo caso è necessario trovare un punto di equilibrio tra due diverse esigenze: da un lato la tutela della riservatezza e, dall’altro, la corretta gestione degli strumenti informatici e la difesa dell’ente da potenziali minacce informatiche. Per garantire ciò, l’Autorità raccomanda di procedere alla raccolta dei log della piattaforma con l’adozione di adeguate misure di sicurezza idonee a prevenire eventuali accessi non autorizzati.

L’ultima tematica affrontata dall’ANAC in tema di trattamento dei dati personali nel contesto del whistleblowing è quella relativa al tempo di conservazione delle segnalazioni.

Tale periodo, valutato insieme al Garante privacy, non deve eccedere l’arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, in ossequio al principio di limitazione della conservazione di cui all’art. 5, par. 1 lett. e) del GDPR.

La previsione è alquanto generica e, di conseguenza, l’individuazione puntuale del periodo di retention è rimessa all’accountability del titolare. L’Autorità anticorruzione suggerisce, sulla base anche della propria esperienza, di prevedere un termine minimo di conservazione delle segnalazioni, pari almeno a 10 anni. Naturalmente, ove a seguito della segnalazione scaturisca un eventuale giudizio, il termine sarà prolungato fino alla conclusione del giudizio stesso.

Le informazioni fornite dall’ANAC costituiscono un importante elemento per orientare l’operato dei titolari del trattamento nella gestione dei dati personali e delle informazioni acquisite nell’ambito del whistleblowing, in attesa del recepimento della Direttiva Direttiva europea 2019/1937, ove necessariamente il legislatore dovrà operare un coordinamento a livello normativo, con le disposizioni in materia di privacy.

Di seguito un decalogo che riassume i principali adempimenti in materia di protezione dei dati personali connessi all’istituto del whistleblowing.

• Il fornitore della piattaforma per il whistleblowing, dal momento che effettuerà dei trattamenti di dati personali per conto del titolare, deve sempre essere nominato responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 679/2016 (GDPR).
• L’atto di nomina del responsabile deve contenere una puntuale indicazione delle misure di sicurezza necessarie a garantire la sicurezza, la riservatezza e l’integrità dei dati e delle informazioni relative alle segnalazioni;
• Il responsabile per la prevenzione della corruzione e il suo team devono sempre essere nominati quali soggetti autorizzati al trattamento e debitamente istruiti in merito al trattamento dei dati personali (ai sensi dell’art. 4, par. 10, 29, 32, §. 4 del Regolamento (UE) 679/2016 e art. 2-quaterdecies del d.lgs. 196 del 2003);
• Gli interessati (nello specifico il segnalante) devono ricevere idonea informativa ai sensi dell’art. 13 GDPR;
• Il whisthleblowing deve essere inserito quale trattamento specifico all’interno del registro redatto ai sensi dell’art. 30, par.1, GDPR;
• Le segnalazioni e gli allegati alla segnalazione devono essere sottratti al diritto di accesso e all’accesso civico generalizzato;
• La piattaforma deve registrare e conservare in modo sicuro i log di accesso, mentre deve assolutamente essere evitato il tracciamento dei log del segnalante, anche nel caso in cui l’accesso sia mediato da un firewall o da un proxy server. In tali casi si può fare ricorso alla tecnologia TOR che garantisce l’anonimizzazione delle informazioni relative al traffico dati e all’indirizzo IP;
• Le informazioni devono essere scambiate attraverso protocolli sicuri (HTTPS);
• Il titolare deve adottare ogni idonea misura di sicurezza ai sensi dell’art. 32 GDPR;
• Le segnalazioni devono essere conservate per un arco di tempo non superiore al conseguimento delle finalità per cui sono state trattate.

Andrea Pisano

L'articolo Whistleblowing: pubblicate le nuove FAQ dell’ANAC in attesa del recepimento della Direttiva 2019/1937. Quali novità in materia di trattamento dei dati personali? proviene da E-Lex.

Internet users should be given the right to use digital services anonymously, i.e. without having their personal data collected. According to a representative opinion poll conducted by YouGov among 10,064 EU citizens in December 2021 64% of respondents are in favour of such a right (with 21% opposed).

Next week, Members of the European Parliament will vote on their final position on the Digital Services Act. At the request of the Civil Liberties Committee (LIBE), an amendment on introducing a right to use digital services anonymously will be voted.

For the opinion poll, citizens from the Netherlands, Germany, Italy, France, Austria, the Czech Republic, Spain, Sweden and Belgium were asked whether they think that internet users should have the right to use digital services anonymously (i.e. as much as possible without their personal data being collected) or not.

The poll was commissioned by Pirate Party MEP Dr Patrick Breyer (Pirate Party), who participates in the Digital Services Act negotiations as rapporteur for the Committee on Civil Liberties, Justice and Home Affairs (LIBE). The research was financed by his group, the Greens/European Free Alliance. Commenting on the survey result, Breyer explains:

“The European Parliament must respond to the constant data scandals and data crime online to better protect our citizens. Only uncollected data is secure data! This was recently demonstrated by the leak of unnecessarily collected mobile phone numbers of 500 million Facebook users. A right to anonymity also protects vulnerable groups from discrimination online. Next week, the European Parliament needs to seize the opportunity to meet citizens’ demand for protecting their digital privacy better.”

Background:

The Digital Services Act (DSA) provides Europe with the chance to set global standards for digital rights.

In recent years, numerous data breaches have seen users’ personal data, such as home numbers and location data, being leaked to criminals. In 2021, for example, the private phone numbers of 533 million Meta/Facebook users were published on a hacker forum. Meta/Facebook had collected these numbers unnecessarily. The data facilitates crimes and exposes users to risks such as SIM swapping, phishing attacks and stalking.

Such data scandals could be avoided if user data were not collected unnecessarily. The LIBE Committee wants to introduce in the Digital Services Act the right to use and pay for digital services anonymously wherever reasonably possible. The current survey results now show broad support for this demand.

Overview page on the Digital Services Act

patrick-breyer.de/en/survey-on…

Following a complaint by six MEPs, including Patrick Breyer of the Pirate Party, the European Data Protection Supervisor (EDPS) has confirmed that the European Parliament‘s COVID test website violated data protection rules. The EDPS highlights that the use of Google Analytics and the payment provider Stripe (both US companies) violated the European Court of Justice’s (CJEU) “Schrems II” ruling on data transfers between the EU and the US. The ruling is one of the first decisions to implement “Schrems II” in practice and could be groundbreaking for many other cases currently being considered by regulators.

On behalf of six MEPs, the data protection organisation noyb filed a data protection complaint against the European Parliament in January 2021. The main issues raised are the deceptive cookies banners of an internal corona testing website, the vague and unclear data protection notice, and the illegal transfer of data to the US. The EDPS investigated the matter and issued a reprimand on the Parliament for violation of the “GDPR for EU institutions” (Regulation (EU) 2018/1725 applicable only to EU institutions).

Illegal data transfers to the U.S.

In the so-called “Schrems II” case, the CJEU stressed that the transfer of personal data from the EU to the US is subject to very strict conditions. Websites must refrain from transferring personal data to the US where an adequate level of protection for the personal data cannot be ensured. The EDPS confirmed that the website actually transferred data to the US without ensuring an adequate level of protection for the data and highlighted: “the Parliament provided no documentation, evidence or other information regarding the contractual, technical or organisational measures in place to ensure an essentially equivalent level of protection to the personal data transferred to the US in the context of the use of cookies on the website.”

Co-complainant and MEP Patrick Breyer (Pirate Party) comments:

“The Schrems II ruling was a great victory for the protection of our privacy and the confidentiality of our communications and internet use. Unfortunately, this case shows that our data is still being illegally transferred to the US in large numbers. With his decision, the EDPS makes it clear that this must end. There must be no more unnecessary disclosing of our personal data to the US without our consent, not even on the basis of the so-called standard contractual clauses, which do not protect us against the NSA mass surveillance schemes.”

No fine, but a reprimand and a compliance order

The EDPS issued a reprimand to the Parliament for the various breaches of the data protection regulation applicable to EU institutions. Unlike national data protection authorities under the GDPR, the EDPS can only impose a fine in certain circumstances, which were not met in this case. In addition, the EDPS gave the Parliament one month to update its data protection notice and resolve the remaining transparency issues.

patrick-breyer.de/en/edps-sanc…