Whistleblowing e DPIA: la natura dell’obbligo di eseguire una valutazione di impatto

I soggetti pubblici e privati che sono, o saranno a breve, obbligati ad osservare la disciplina sul whistleblowing introdotta dal recente D. Lgs. n. 24 del 10 marzo 2023 (“Decreto Whistleblowing”) devono esser consapevoli che adottare un sistema di gestione delle segnalazioni (d’ora in avanti, per brevità “SGS”) significa dover fronteggiare una serie di adempimenti anche in materia di privacy.

L’informativa da conferire agli interessati, l’autorizzazione da rendere ai preposti al trattamento con le relative istruzioni, l’introduzione di una procedura organizzativa, l’implementazione di specifiche misure di sicurezza (specie a tutela dell’anonimato del segnalante), l’inquadramento del fornitore della piattaforma di segnalazione, la data retention, l’aggiornamento del registro dei trattamenti, e altro ancora: non sono pochi gli aspetti da prendere in considerazione per rendere una simile attività di trattamento conforme al Regolamento (UE) 2016/679 (“GDPR”) e al novellato D.Lgs. 196/2003 (“Codice Privacy”).

Qui non ci occuperemo di analizzare i summenzionati adempimenti che sono naturale conseguenza di quanto stabilito nella direttiva (UE) 2019/1937 (“Direttiva Whistleblowing”) e che erano, dunque, in qualche modo prevedibili.

Ci dedicheremo, invece, ad alcune riflessioni circa un ulteriore onere che, in forza del Decreto Whistleblowing, è piombato – per molti osservatori, a sorpresa – sui titolari del trattamento del nostro Paese: l’obbligo di eseguire una valutazione di impatto sulla protezione dei dati (altrimenti nota come “data protection impact assessment” o “DPIA”).

La natura dell’obbligo di eseguire un DPIA

La prima riflessione riguarda la natura dell’obbligo di eseguire una valutazione di impatto. Ad avviso di chi scrive, una qualche ponderazione su questo aspetto si rende necessaria perché l’introduzione dell’obbligo di DPIA ha colto di sorpresa molti osservatori, nonché inquietato buona parte dei numerosi soggetti obbligati dal Decreto Whistleblowing. Sorpresa, perché quando un trattamento – come quello in esame – è imposto per legge, si tende a credere che il legislatore stesso abbia già valutato quale sia il suo impatto privacy. Inquietudine, perché il DPIA è l’adempimento GDPR generalmente ritenuto più oneroso, per via della sua complessità e ciclicità: richiede attenzione e un buon grado di competenze specialistiche e, con variabili dipendenti dal contesto, comporta comunque un certo dispendio di tempo e/o denaro.

Lo sconcerto dei più è, ad avviso di chi scrive, anche dovuto al fatto che l’obbligo di DPIA previsto dal Decreto Whistleblowing non è facile da inquadrare rispetto alla medesima fattispecie introdotta e disciplinata dal GDPR. La domanda che si pone, dunque, è: su quali basi il nostro legislatore ha deciso di imporre, senza distinzioni, l’obbligo di DPIA in quest’ambito?

Innanzitutto occorre osservare che la Direttiva Whistleblowing non fa alcun richiamo all’art. 35 del GDPR, che disciplina l’istituto del DPIA, né allude in altro modo alla necessità di esecuzione di vera e propria una valutazione di impatto sulla protezione dei dati. L’art. 17 della Direttiva Whistleblowing – che concerne il trattamento dei dati personali – si limita ad affermare che “Ogni trattamento dei dati personali effettuato ai sensi della presente direttiva, compresi lo scambio e la trasmissione di dati personali da parte delle autorità competenti, deve essere effettuato a norma del regolamento (UE) 2016/679 (…)”. Il Considerando 83 precisa che, sempre in riferimento alla disciplina GDPR da applicarsi in materia, “particolare attenzione dovrebbe essere riservata ai principi relativi al trattamento dei dati personali definiti all’articolo 5 (…) e al principio della protezione dei dati fin dalla fase di concezione e d’ufficio stabilito all’articolo 25 (…)”.

Se, dunque, la Direttiva Whistleblowing non è imputabile di esser il “mandante” dell’introduzione dell’obbligo di DPIA in materia di gestione delle segnalazioni, non rimarrebbe che un sol modo per inquadrare l’inserimento dell’obbligo nel Decreto Whistleblowing: il nostro legislatore ritiene che sia direttamente il GDPR, con il suo art. 35, ad imporlo. Sennonché, l’evenienza che i trattamenti di whistleblowing ricadano nell’ambito applicativo dell’art. 35 del GDPR, non è così lampante.

Per comprendere i termini della questione occorre fare una rapida esegesi dell’istituto della valutazione di impatto rispetto alla tematica in oggetto.

L’Art. 35, par. 1, del GDPR stabilisce che “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.

Se la disciplina del DPIA si esaurisse in questo principio generale, nulla quaestio: se in un SGS si utilizzano tecnologie (ad esempio, una piattaforma tecnologica ad hoc, anche se non è detto che ogni SGS utilizzi una “nuova tecnologia”) per trattare dati che possono esser delicati e il contesto può presentare rischi anche elevati perché vede coinvolti i lavoratori (parte debole rispetto al datore di lavoro) come segnalanti o segnalati, il titolare dovrebbe sentirti in obbligo di eseguire il DPIA in sola forza del par. 1 dell’art. 35.

Ma la disciplina della valutazione di impatto non si esaurisce nell’enunciato dell’art. 35, par.1 del GDPR. Infatti, il medesimo articolo, al par. 3, indica un certo perimetro applicativo dell’obbligo di DPIA laddove dispone che “La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

1. una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
2. il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
3. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.”

Tralasciando l’avulso punto c), pare evidente che rispetto ad un SGS il punto a) non opera – perché non si dà luogo ad un monitoraggio sistematico e globale delle persone – e che il punto b) non si applicabile alla stragrande maggioranza dei Titolari (per parlare di “larga scala” occorre che il trattamento riguardi un’alta percentuale di persone rispetto ad una fetta di popolazione considerata).

Ma, come indicato dalle parole “in particolare” nella frase introduttiva dell’art. 35, par. 3, del GDPR, questo elenco va inteso come non esaustivo. Vi possono essere, infatti, operazioni di trattamento a “rischio elevato” che non trovano collocazione in tale elenco, ma che possono risultare altrettanto pericolosi.

L’art. 35, par. 4 del GDPR lascia, anche per questo, riserva alle autorità di controllo nazionali, disponendo che “L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1”. Ciò al fine di:

• fornire un insieme più concreto di trattamenti che richiedono una valutazione d’impatto sulla protezione dei dati in virtù del loro rischio elevato intrinseco, tenendo conto degli elementi particolari di cui all’articolo 35, par. 1, e all’articolo 35, par. 3;
• consentire ai singoli Stati membri UE/SEE un margine di “customizzazione” della casistica in relazione al contesto nazionale.

Esercitando tale riserva (o, per meglio dire, obbligo), l’11 ottobre 2018 il Garante Privacy italiano ha pubblicato un proprio elenco di trattamenti da assoggettarsi a DPIA dopo averlo sottoposto al doveroso vaglio preliminare dello European Data Protection Board (“EDPB”), il comitato europeo che riunisce le diverse Data Protection Authority e che, tra le altre cose, cura l’applicazione omogenea del GDPR nella UE/SEE. Ebbene, anche nell’elenco del Garante – alla cui consultazione qui si rinvia per esigenze di brevità – non c’è alcuna tipologia di trattamento in cui si possano identificare le caratteristiche riconnesse all’utilizzo di un SGS.

Quanto sopra potrebbe indurre ad affermare che l’obbligo di DPIA previsto dal GDPR non si applichi di default in tema di whistleblowing e che quindi, il nostro legislatore, imponendo l’adempimento “senza se e senza ma”, abbia forzato le maglie del perimetro applicativo previsto dai meccanismi dell’art. 35 del GDPR, istituendo un nuovo caso fuori dagli elenchi di primo livello (art. 35, par.3) e di secondo livello (lista nazionale del Garante ex art. 35, par 4). Ma, prima di lanciarsi in affermazioni del genere, occorre tener conto di una circostanza che non a tutti risulta evidente: anche l’elenco stilato del Garante non può considerarsi esaustivo e, pertanto, non esaurisce la casistica di trattamenti da assoggettarsi a DPIA.

Nell suo parere preventivo sulla proposta di elenco del Garante, l’EDPB non solo aveva chiarito che “Ogni elenco trasmesso al comitato è stato interpretato come ulteriore specifica dell’articolo 35, paragrafo 1, del regolamento generale sulla protezione dei dati, che in ogni caso prevale. Nessun elenco può pertanto considerarsi esaustivo.”, ma addirittura invitava l’Autorità italiana ad essere più esplicita di modo che questo aspetto fosse ben chiaro ai titolari del trattamento: “Poiché l’elenco presentato dall’autorità di controllo italiana non afferma esplicitamente la sua natura non esaustiva, il comitato chiede che nel documento contenente l’elenco sia aggiunta tale precisazione.” (v. § 2.1 della Opinion 12/2018). Purtroppo, il Garante nell’ottemperare alla richiesta di maggior chiarezza dell’EDPB, si è limitato a farlo nelle premesse del provvedimento n. 467 dell’11 ottobre 2018 con cui ha disposto l’emanazione dell’elenco, mentre sarebbe stato opportuno (anche) inserire una seppur breve nota informativa nell’Allegato 1 che contiene l’elenco e che, per questo, in tema di DPIA, è il documento di riferimento per i titolari italiani e i legali che li assistono. In tal senso, l’indicazione dell’EDPB di informare circa la non esaustività dell’elenco nel medesimo “document contianing the list” (questo il wording usato nella versione ufficiale in inglese della Opinion), pare esser stata disattesa. Considerato che sono quasi 5 anni che quell’Allegato 1 è consultato come “bussola” dagli addetti ai lavori, quest’assenza di zelo informativo ha contribuito al convincimento di molti che se un trattamento non rientra nell’elenco dell’art. 35, par. 3 del GDPR e nemmeno in quello del Garante, esso non è da assoggettarsi obbligatoriamente a DPIA.

Preso atto che la lista del Garante non è – analogamente a quella di cui all’art. 35 par.3 del GDPR – esaustiva, resta il dubbio di quale sia il presupposto specifico che ha indotto il nostro legislatore a disporre l’obbligo di DPIA. Per risolvere il dilemma può essere, allora, utile indagare quale sia stata la posizione del Garante prima del Decreto Whistleblowing 2023.

Negli ultimi anni il Garante ha emanato, verso specifici titolari del trattamento (e, talora, anche verso i loro responsabili), alcuni provvedimenti nei quali:

• ha invocato la necessaria esecuzione di DPIA (v. parere ad ANAC del 2019);
• o ha censurato, a seguito di istruttoria, la sua mancata esecuzione. L’omissione è stata contestata ad un soggetto pubblico (v. ordinanza avversa l’Azienda Ospedaliera di Perugia del 2022) e ad una compartecipata che, peraltro, aveva vanamente addotto rispetto al proprio trattamento l’assenza del criterio “larga scala” di cui all’art. 35, par. 1, lett. c), del GDPR (v. ordinanza avversa all’Aeroporto di Bologna del 2021).

In questi provvedimenti il Garante non ha mai specificato l’esatto riferimento normativo posto alla base della sua interpretazione secondo cui l’adozione di un SGS necessitasse obbligatoriamente di un DPIA. Ha sì richiamato tout court l’art. 35 del GDPR, ma non ha indicato se operasse il criterio generale di cui al par. 1 dell’art. 35 del GDPR, uno dei criteri specifici di cui al par. 3 o una delle tipologie di trattamento individuate a livello nazionale nel suo elenco del 2018. Da lì il dubbio se, nell’interpretazione del Garante, il DPIA fosse da qualificarsi come obbligo assoluto per chiunque adotti un SGS oppure “soltanto” una delle best practice che ciascun titolare deve valutare se seguire (o meno) considerando – con l’approccio risk based introdotto dal GDPR – il proprio contesto specifico (ad es., natura e ambito operativo dell’organizzazione, numero di dipendenti, esposizione al rischio di corruzione o altri reati, volontaria adozione di un MOG 231, etc.).

Scrutando con attenzione il tenore utilizzato nei summenzionati provvedimenti, emerge che per il Garante la circostanza che determina l’obbligo di DPIA per chi adotta un SGS è la “vulnerabilità” degli interessati (soggetti segnalanti e segnalati) nel contesto lavorativo, e – questo – a prescindere dal fatto che il trattamento di specie ricada nell’elenco di cui al par. 3 dell’art. 35 GDPR o in quello “nazionale”.

Nei citati provvedimenti (parere all’ANAC, etc.), infatti, il Garante ha ripetutamente correlato l’obbligo di DPIA al criterio di vulnerabilità degli interessati contenuto nelle “Linee guida concernenti la valutazione di impatto sulla protezione dei dati” emanate dall’allora consesso dei garanti europei (Working Party art. 29 – “WP”, dal 2018 sostituito dall’EDPB) nel documento WP 248 del 4 aprile 2017. Vediamo allora come questo documento incide sulla questione qui in esame.

In quelle Linee Guida, il WP indicava quali siano i criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”: 1) valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”; 2) processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone; 3) monitoraggio sistematico degli interessati; 4) dati sensibili o dati aventi carattere altamente personale; 5) trattamento di dati su larga scala; 6) creazione di corrispondenze o combinazione di insiemi di dati; 7) dati relativi a interessati vulnerabili; 8) uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative; 9) quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”)

Tra i 9 criteri enunciati al par. III.B.a. del WP 248, in tema di whistleblowing rileva sicuramente quello di cui al punto 7) relativo ai “dati relativi a interessati vulnerabili” dove si spiega che “il trattamento di questo tipo di dati è un criterio a causa dell’aumento dello squilibrio di potere tra gli interessati e il titolare del trattamento, aspetto questo che fa sì che le persone possono non essere in grado di acconsentire od opporsi al trattamento dei loro dati o di esercitare i propri diritti. Gli interessati vulnerabili possono includere i minori (i quali possono essere considerati non essere in grado di opporsi e acconsentire deliberatamente e consapevolmente al trattamento dei loro dati), i dipendenti, i segmenti più vulnerabili della popolazione che richiedono una protezione speciale (infermi di mente, richiedenti asilo o anziani, pazienti, ecc.) e, in ogni caso in cui sia possibile individuare uno squilibrio nella relazione tra la posizione dell’interessato e quella del titolare del trattamento; (…)”.

Orbene, per quanto pertinente, pare evidente che quanto affermato dal WP al par. III.B.a. punto 7) delle Linee Guida non sia di per sé sufficiente a “triggerare” l’obbligo di DPIA: la posizione di squilibrio dei dipendenti è sicuramente un elemento da tenere in considerazione, ma non può essere il solo elemento decisivo, altrimenti ogni ente/azienda dovrebbe fare un DPIA non solo per gestire il whistleblowing ma anche per ciascun processo avente ad oggetto i dati del personale; il che non è pensabile.

C’è, tuttavia, un secondo criterio che certamente interviene ed è quello relativo ai “dati sensibili o dati aventi carattere altamente personale” di cui al par. III.B.a. punto 4) del WP 248 secondo cui “questo criterio include categorie particolari di dati personali così come definite all’articolo 9 (ad esempio informazioni sulle opinioni politiche delle persone), nonché dati personali relativi a condanne penali o reati di cui all’articolo 10”. In ambito whistleblowing la presenza di queste tipologie di dati personali è connaturata, così come è indubbio che una violazione di privacy di un sistema di segnalazione che ospita informazioni sensibili può implicare quelle “gravi ripercussioni sulla vita quotidiana dell’interessato” citate anch’esse al punto 4).

Più incerta è la rilevanza, ai nostri fini, del criterio di cui al punto 8) concernente “l’uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative” secondo cui il loro utilizzo “(…) può comportare nuove forme di raccolta e di utilizzo dei dati, magari costituendo un rischio elevato per i diritti e le libertà delle persone”. Non è affatto detto che un SGS costituisca una soluzione che risulti innovativa rispetto al “grado di conoscenze tecnologiche raggiunto” perché questo dipende dallo strumento specificamente utilizzato dal titolare.

Potrebbe invece operare il criterio di cui al punto 9) del WP248 che indica un possibile “rischio elevato” per il trattamento che in sé “impedisce agli interessati di esercitare un diritto (…)”. Sul fatto che la disciplina di whistleblowing produca una compressione dei diritti di privacy degli interessati, non ci piove: è un riflesso della tutela accordata alla riservatezza del segnalante. Trattasi di una circostanza considerata dall’art. 23 del GDPR e ancora meglio esplicitata dall’art. 2-undecies, co. 1, lett f) del Codice Privacy che sancisce che i diritti di cui agli articoli da 15 a 22 del GDPR “non possono essere esercitati (…) qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto (…) alla riservatezza dell’identità’ del dipendente che segnala ai sensi della legge 30 novembre 2017, n. 179, l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio”.

Operando, in tema di whistleblowing, una combinazione di specifici criteri del WP 248, si potrebbe concludere che le Linee Guida del Working Party fossero – prima del Decreto Whistleblowing – la specifica fonte normativa (di soft law) dell’obbligo per chi adotta un SGS e che il Garante avesse sanzionato l’inosservanza di quei precetti. Ma ad un occhio attento non può sfuggire quanto premesso nel par. III.B.a del WP 248: “Al fine di fornire un insieme più concreto di trattamenti che richiedono una valutazione d’impatto sulla protezione dei dati in virtù del loro rischio elevato intrinseco, tenendo conto degli elementi particolari di cui all’articolo 35, paragrafo 1 e all’articolo 35, paragrafo 3, lettere da a) a c), l’elenco da adottare a livello nazionale ai sensi dell’articolo 35, paragrafo 4, e dei considerando 71, 75 e 91, e di altri riferimenti del regolamento generale sulla protezione dei dati a trattamenti che “possono presentare un rischio elevato”, si devono considerare i seguenti nove criteri: (…)”. La sintassi non propriamente corretta utilizzata dal WP in questa premessa lascia il dubbio se i 9 criteri siano diretti alle Autorità nazionali (per la creazione dei loro elenchi di trattamenti da assoggettarsi a DPIA) o ai titolari (affinché individuino in autonomia i trattamenti da assoggettare a DPIA), o entrambe le cose.

In difetto di qualsivoglia ulteriore specificazione sul punto e davanti ai soli richiami “generici” all’art. 35 e ad alcuni criteri del WP 248, la posizione del Garante nei provvedimenti ante Decreto Whistleblowing non è apparsa, in sé e per sé, circostanza in grado di radicare un vero e proprio obbligo erga omnes. In altre parole, poteva intendersi che, ad avviso del Garante, per coloro che sono tenuti ad adottare un SGS l’esecuzione di una DPIA:

• fosse sicuramente un’azione di accountability opportuna perché trattasi di processi delicati e che in alcuni casi fosse doverosa in ragione della maggior criticità del contesto (come nei casi dei soggetti presi in esame nei provvedimenti tra il 2019 e il 2022);
• non costituisse un obbligo assoluto per tutti gli altri.

A sgomberare il campo da qualsiasi discrezionalità, è intervenuto proprio il Decreto Whistleblowing, attuativo della direttiva (UE) 2019/1937, che ha disposto l’obbligo di esecuzione di una valutazione di impatto a carico dei titolari del trattamento che devono adottare un sistema di gestione delle segnalazioni.

In questo caso, non vi sono dubbi che si tratti di un obbligo e non di un’indicazione per un approccio risk-based alla compliance GDPR di un sistema di gestione delle segnalazioni.

Il comma 6 dell’art. 13 del Decreto Whistleblowing (che regola gli aspetti connessi alla protezione dei dati personali legati ai SGS), stabilisce infatti che i soggetti tenuti ad adottare un SGS  “[…] definiscono il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a  garantire un livello  di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base di una valutazione d’impatto sulla protezione dei dati, e disciplinando il rapporto con eventuali fornitori esterni che trattano dati personali per loro conto ai sensi dell’articolo  28 del  regolamento  (UE)  2016/679  o  dell’articolo  18  del decreto legislativo n. 51 del 2018”. Vale la pena di notare come il legislatore avrebbe potuto indicare quantomeno l’art. 35 GDPR come riferimento dell’obbligo di DPIA (giacché si è scomodato a indicare l’art. 28 per l’inquadramento dei fornitori esterni)

I dubbi sul fatto che il DPIA sarebbe stato codificato come obbligatorio, erano, invero, già stati spazzati ad inizio 2023, quanto la promulgazione del Decreto Whistleblowing era stata preceduta dall’interpello preventivo del Garante Privacy che – nel suo Parere su uno schema del  Decreto Whistleblowing  – aveva favorevolmente notato che: “L’articolo 13 disciplina il trattamento dei dati personali, sancendo una clausola di generale conformità al Regolamento, al Codice e al d.lgs. 51 del 2018, indicando i ruoli dei soggetti coinvolti nel trattamento, imponendo l’obbligo di procedere alla valutazione d’impatto sulla protezione dei dati e di astenersi dal raccogliere (con immediata cancellazione in caso di raccolta accidentale de) i dati personali manifestamente non utili alla gestione di una specifica segnalazione”. Anche qui: in un Parere che nel resto della sua stesura è infarcito di richiami all’articolato del GDPR, relazionare l’obbligo di DPIA ad un preciso riferimento del Regolamento non avrebbe nociuto.

Comunque sia, ce ne è abbastanza per affermare che, con riguardo all’adozione di un sistema di gestione delle segnalazioni di whistleblowing, per i titolari italiani l’esecuzione di una valutazione di impatto sulla protezione dei dati è obbligatoria.

Resta l’interrogativo, quantomeno teorico, di quale sia il preciso fondamento della normativa europea che ha spinto il nostro legislatore ad introdurre in modo stentoreo un simile obbligo. E’ un quesito cui vale la pena cercar di rispondere compiutamente, non foss’altro perché l’obbligo di esecuzione di una DPIA – che, almeno sulla carta, è adempimento parecchio impegnativo – ricade sulla già vasta (ed ora allargata) platea di PA ed aziende soggette alla disciplina di whistleblowing. E tra queste c’è una moltitudine di piccolissimi enti territoriali e di imprese dimensionate che non sapranno nemmeno come e da dove iniziare ad eseguire una valutazione di impatto e con quali risorse.

Ad avviso di chi scrive, il legislatore italiano potrebbe aver esercitato una prerogativa concessa dal GDPR, sempre all’art. 35 e questa volta al par. 10 che dispone: “Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento”. In parole più semplici, la disposizione in questione afferma che:

• se il trattamento è basato su un obbligo di legge (art. 6, par.1, lett. c) del GDPR) o sull’esecuzione di un compito di interesse pubblico (art. 6, par.1, lett. e) del GDPR), il DPIA può non essere effettuato;
• ma, se lo ritengono, gli Stati Membri possono comunque disporre che i titolari effettuino obbligatoriamente la valutazione di impatto prima di iniziare il trattamento.

In Italia, la materia del whistleblowing risultava già regolata, per il settore pubblico, dal d.lgs. 20 marzo 2001, n. 165 (v. art. 54-bis) e, per il settore privato, dal d. lgs. 8 giugno 2001, n. 231 (v. art. 6, commi 2-bis ss), nonché dalla legge 30 novembre 2017, n. 179. Queste normative avevano, fin da principio, fornito al trattamento di whistleblowing la base giuridica del trattamento imponendo un obbligo di legge (art. 6, par.1, lett. c) ai soggetti da esse vincolati. Il Garante, già nel parere all’ANAC del 2019, aveva chiarito che, con riguardo alla base giuridica, “i trattamenti di dati personali effettuati dai soggetti obbligati possono essere considerati necessari per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento (artt. 6, par. 1, lett. c), 9, par. 2, lett. b), e 10 del Regolamento”. E se è vero che al tempo il novero di soggetti obbligati era inferiore, è altrettanto vero che le considerazioni sulle basi giuridiche devono ritenersi applicabili anche a quella ulteriore platea di organizzazioni private che il Decreto Whistleblowing ha accluso tra i soggetti che devono adottare un SGS entro il 2023.

Dunque, parrebbe di capire che il legislatore nazionale, nell’imporre nel Decreto Whistleblowing l’obbligo di DPIA ha azionato una riserva concessagli dall’art. 35, par. 10. Se così fosse, questo significa che il legislatore:

• ha dapprima effettuato una prima propria valutazione di impatto nell’elaborare lo schema di decreto (concludendo evidentemente, nel suo balancing, che il trattamento di whistleblowing – che risponde ad un’esigenza di pubblica utilità – benché fonte di rischi per gli interessati, sia lecito a fonte delle misure di garanzia imposte dal decreto stesso);
• e poi – tramite approvazione del decreto stesso – abbia ritenuto che sia comunque necessario che i titolari effettuino un proprio DPIA prima di procedere ai trattamenti riconnessi all’adozione di un sistema di gestione delle segnalazioni. E questo, con tutta probabilità, perché si desidera che, tramite questo stingente strumento di assessment, l’ente/azienda valuti preliminarmente i rischi (residui rispetto a quelli già analizzati dal legislatore) riconnessi all’implementazione del particolare tipo di SGS che intende adottare.

Azionando la riserva concessa dall’art. 35, par. 10, il legislatore avrebbe dunque identificato una particolare tipologia di trattamento da assoggettare obbligatoriamente a DPIA a prescindere dal suo mancato incasellamento nelle casistiche di cui all’art. 35, par.3, e/o dell’elenco del Garante. La decisione di istituire l’obbligo è stata, ad avviso di chi scrive, senza dubbio assunta in ragione della compresenza di diversi elementi di rischio tra quelli elencati dal WP 248 riconnessi ad un trattamento che:

• vede tra gli interessati soggetti considerati vulnerabili;
• può comportare la registrazione di dati particolari o di rilevanza penale;
• comprime alcuni diritti GDPR degli interessati;
• è eseguito tramite sistemi tecnologici (che in alcuni casi, potrebbero essere risultare innovativi).

Si osservi che nel 2017, il documento WP 248 chiariva che “Nella maggior parte dei casi, un titolare del trattamento può considerare che un trattamento che soddisfi due criteri debba formare oggetto di una valutazione d’impatto sulla protezione dei dati. In generale, il WP29 ritiene che maggiore è il numero di criteri soddisfatti dal trattamento, più è probabile che sia presente un rischio elevato per i diritti e le libertà degli interessati e, di conseguenza, che sia necessario realizzare una valutazione d’impatto sulla protezione dei dati, indipendentemente dalle misure che il titolare del trattamento ha previsto di adottare”. L’indicazione era resa ai titolari, ma costituisce indubbiamente un principio guida generale.

Pertanto il legislatore, secondo la tesi qui sostenuta, ha emanato l’obbligo di DPIA azionando la leva l’art. 35, par. 10, dopo aver considerato che, in tema di whistleblowing, la compresenza di più fattori di rischio (almeno 2 tra i 9 identificati dal WP 248) può presentare un rischio complessivo elevato per i diritti e le libertà delle persone fisiche tale da far operare il principio generale dell’art. 35, par.1 (a prescindere dall’incasellamento del trattamento nelle tipologie di cui all’art. 35, par. 3 o dell’elenco del Garante) e, quindi, da rendere comunque necessario imporre l’’obbligo di DPIA.

Alla luce di questo percorso di ricostruzione, si potrebbe concludere che:

• i trattamenti riconnessi ad un SGS di whistleblowing non si incasellano negli elenchi dell’art. 35, par. 3 del GDPR e del Garante Privacy;
• tali elenchi non sono, tuttavia, da considerarsi esaustivi;
• i trattamenti di whistleblowing rendono comunque doverosa un DPIA perché connotati dai più criteri di rischio – almeno 3 di 9 – tra quelli individuati nel 2017 dal WP 248 (circostanza che avrebbe indotto il Garante a sostenerne l’obbligatorietà per gli enti destinatari dei provvedimenti ante Decreto Whistleblowing);
• in sede di progettazione del Decreto Whistleblowing, ritenendo di dover imporre ex lege tali trattamenti, il legislatore ha eseguito una propria prima valutazione di impatto giungendo alla conclusione che il rischio per gli interessati è accettabile sia in ragione degli scopi di pubblico interesse perseguiti sia alla luce delle diverse misure di sicurezza e di garanzia disposte (specie a carico degli obbligati) nel decreto stesso;
• avendo il legislatore eseguito “a monte” una propria valutazione di impatto di segno positivo su tali trattamenti, era ipotizzabile che gli obbligati dal Decreto Whistleblowing fossero esentati dal dover eseguire un DPIA per via di quanto disposto dall’art. 35, par. 10 del GDPR nel passaggio in cui afferma che quando un trattamento è basato su un obbligo di legge e “(…) sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano (…)”;
• la compresenza di più fattori di rischio (tra quelli enucleati dal WP 248), ha indotto il legislatore ad imporre comunque ai titolari l’obbligo di eseguire un proprio DPIA esercitando così – nel Decreto Whistleblowing medesimo – la facoltà concessagli dallo stesso art. 35, par. 10 del GDPR nel passaggio conclusivo in cui dispone che “(….) i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento”.

Il ruolo del fornitore ai fini del DPIA

Esaurita l’analisi sull’origine dell’obbligo, resto il fatto che in Italia – in assenza di un provvedimento che ne esenti alcune categorie di titolari “meno problematici” – l’esecuzione di un DPIA è obbligatoria per chiunque sia tenuto ad adottare un SGS.

Alla luce di ciò, il fornitore della piattaforma di gestione delle segnalazioni prescelta dovrebbe:

• non solo garantire che il proprio applicativo consenta al titolare di adottare tutte le misure di sicurezza a tutela degli interessati che discendono dal combinato disposto del Decreto Whistleblowing e della normativa privacy;
• ma anche fornire adeguato supporto (documentale) affinché il titolare del trattamento svolga la DPIA nel modo meno oneroso possibile e, non da ultimo, in modo che la DPIA dia esito positivo.

Su quest’ultimo punto, vale la pena sottolineare che il supporto del fornitore all’esecuzione della DPIA non è un “di cui” commerciale ma un obbligo vero e proprio che grava a suo carico. E questo aspetto, che non è sempre chiaro ai provider di servizi o tecnologie “ad impatto privacy”, deve esser lampante per il fornitore di una piattaforma gestionale del whistleblowing. Vediamo rapidamente perché.

Il fornitore di una simile soluzione tecnologica è indubbiamente da qualificarsi come responsabile del trattamento ai sensi e per gli effetti del GDPR come, a scanso di equivoci, puntualizzato dall’art. 13 del Decreto Whistleblowing quando impone al titolare di regolamentare “il rapporto con eventuali fornitori esterni che trattano dati personali per loro conto ai sensi dell’articolo 28 del regolamento (UE) 2016/679 (…)”.

Come responsabile del trattamento, il fornitore deve assistere fattivamente il titolare del trattamento nell’esecuzione della valutazione d’impatto sulla protezione dei dati e rendere tutte le informazioni necessarie. Questo, conformemente all’articolo 28, par. 3, lettera f) del GDPR che dispone che il responsabile assiste “il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento”. Il DPIA è disciplinato all’art. 35 e, quindi, è presto detto: il responsabile è tenuto per legge ad assistere il titolare nel rispetto di tal obbligo. A comprovare tale circostanza, interviene il Considerando 95 del GDPR che recita: “Il responsabile del trattamento, se necessario e su richiesta, dovrebbe assistere il titolare del trattamento nel garantire il rispetto degli obblighi derivanti dallo svolgimento di una valutazione d’impatto sulla protezione dei dati e dalla previa consultazione dell’autorità di controllo”.

Ciò assodato, non rimane che soppesare – per quanto in astratto – l’impegno complessivo che l’esecuzione di un DPIA in quest’ambito può richiede al titolare. Il par. 7 dell’art. 35 del GDPR sancisce che il DPIA deve contenere quantomeno:

1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
3. una valutazione dei rischi per i diritti e le libertà degli interessati;
4. le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

In relazione al trattamento derivante dall’adozione di un SGS, si può sostenere che sia direttamente il Decreto Whistleblowing a fornire ampiamente al titolare i contenuti di cui ai punti a), b) e c) che precedono, assolvendo esso stesso al compito di descrivere flusso di trattamento e finalità ed eseguendo bilanciamento degli interessi a fronte del rischio e tutte le valutazioni pertinenti.

Se il provider fornisce una sorta proprio privacy impact assessment della piattaforma a supporto del DPIA del titolare, egli rende a questi un contributo decisivo al contenuto di cui al punto d) che precede, oltre ad adempiere ad un proprio specifico obbligo.

Alla luce di quanto sopra, sarà fondamentale per il titolare selezionare con attenzione un fornitore della piattaforma di gestione delle segnalazioni che, oltre a rendere adeguate garanzie in relazione alle misure di data protection, sia anche in grado di fornire al potenziale cliente apposita documentazione a supporto della DPIA. Conforta, rispetto a qualche anno fa, che siano diversi i provider che hanno focalizzato (o stanno focalizzando) questo aspetto, e quindi non dovrebbero essere arduo per i titolari che si rivolgano a partner qualificati reperire il dovuto supporto.

Possiamo concludere affermando che, nonostante le sue origini non facilmente intuibili, l’obbligo di eseguire un DPIA per chiunque debba adottare un sistema di gestione delle segnalazioni è ad oggi ineluttabile. A parziale consolazione, considerato che la legge già contribuisce grandemente alla soluzione della maggior parte degli elementi di assessment che devono comporre un DPIA, chi si avvarrà di un fornitore qualificato e proattivo sulle tematiche GDPR potrebbe scoprire che l’esecuzione della valutazione di impatto è meno onerosa del temuto.