Categoria: In evidenza

GDPR e la nuova normativa in materia di Whistleblowing

Posted on by admpad

Il 15 luglio entra in vigore la nuova normativa in materia di whistleblowing con i relativi adempimenti GDPR.

L’obiettivo del legislatore è garantire una maggiore tutela per coloro che segnalano comportamenti illeciti, sia nel settore pubblico che in quello privato, che danneggiano l’interesse pubblico o l’integrità dell’amministrazione o dell’ente privato in ambito lavorativo.

Allo stesso tempo, sono state introdotte importanti novità in materia di privacy per proteggere i segnalanti e gestire correttamente il processo di segnalazione e i rischi ad esso connessi.

Ambito di applicazione

Le imprese del settore privato che dovranno adeguarsi alla nuova disciplina sono quelle che:

  • hanno impiegato in media nell’ultimo anno, almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • si occupano di specifici settori (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • le imprese che adottano il modello di organizzazione e gestione previsto al D.lgs.231/2001, anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato.

Si precisa che le imprese che hanno impiegato nell’ultimo anno una media di 249 lavoratori subordinati avranno tempo fino al 17 dicembre 2023 per adeguarsi ai nuovi obblighi e adottare adeguati canali di segnalazione interna, oltre all’adozione di una serie di adempimenti GDPR.

Adempimenti GDPR

Con particolare riferimento agli adempimenti in materia di data protection, spicca quello relativo alle modalità di conservazione dei dati personali dei soggetti coinvolti nella segnalazione (segnalanti, persone coinvolte nella segnalazione o facilitatori) nel rispetto del “principio di minimizzazione dei dati” (art. 5 GDPR).

I soggetti incaricati di ricevere le segnalazioni dovranno infatti eliminare immediatamente tutti i dati non utili alla segnalazione ai sensi dell’art. 13, comma 2 decreto whistleblowing.

Nella pratica, se la segnalazione viene fatta oralmente, sarà necessario il consenso del segnalante per la trascrizione o la redazione del verbale da parte del personale addetto a riceverla. Il segnalante potrà verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione.

Per quanto riguarda il canale di segnalazione da adottare, saranno i titolari del trattamento che dovranno individuare, in anticipo, adeguate misure tecniche e organizzative per mitigare il rischio per i diritti e le libertà dei soggetti interessati nel rispetto del principio privacy by design (art.25 GDPR).

Nell’iter di selezione del fornitore del servizio di segnalazione e/o del prodotto tecnologico si dovrà valutare il rispetto dei requisiti di sicurezza prescritti dalla normativa (art. 32 GDPR).

A tal proposito sarà quindi obbligatorio effettuare la cosiddetta DPIA (valutazione di impatto) del sistema di segnalazione interna, già in fase di progettazione del relativo disegno organizzativo (art. 35 GDPR).

L’obbiettivo della normativa è proprio quello di predisporre un canale di segnalazione in grado di rispettare tanto la riservatezza del segnalante, quanto l’esattezza del processo instaurato (art. 25 GDPR).

Qualora la gestione delle segnalazioni avvenga in maniera condivisa (per quanto attiene alle risorse per il ricevimento e la gestione della segnalazione) dovranno essere conclusi accordi di contitolarità tra i diversi titolari del trattamento coinvolti (art. 26 GDPR).

Una volta adottato il sistema di segnalazione, anche l’elenco delle nomine a responsabile esterno (ovvero colui che tratta i dati personali per conto del titolare del trattamento) dovrà essere aggiornato e in questo caso dovranno sottoscrivere i cosiddetti DPA (data protection agreement) (art. 28 GDPR) anche:

  • il fornitore del sistema informatico del canale di segnalazione;
  • l’ADS (amministratore di sistema) o
  • il fornitore dell’eventuale piattaforma per la gestione delle segnalazioni.

Tra le nomine non bisogna dimenticare anche quella del “referente del titolare del trattamento” a favore di tutti i soggetti incaricati dal titolare di ricevere e gestire le segnalazioni interne alla realtà aziendale (art. 29 GDPR).

Infine, sarà necessario aggiungere uno specifico trattamento relativo alla procedura di whistleblowing nel relativo registro dei trattamenti (art. 30 GDPR), senza dimenticare di predisporre e pubblicare anche un’informativa dedicata o eventualmente integrando quella già in essere. (art. 12 GDPR).

dati trattati devono essere conservati solo per il tempo strettamente necessario al relativo trattamento sempre nel rispetto del principio di minimizzazione dei dati, e comunque non oltre il termine di 5 anni a decorrere dalla comunicazione dell’esito finale della procedura di segnalazione (articoli 5 e 12 GDPR).

Il nuovo regime sanzionatorio

Abbiamo anticipato che i soggetti destinatari della normativa sono tenuti ad adeguarsi entro il 15 luglio 2023 o al più tardi entro e non oltre il 17 dicembre 2023 agli obblighi a loro imposti.

Senza considerare altri profili responsabilità (civile, penale, amministrativa, contabile), il decreto whistleblowing ha infatti previsto sanzioni rigorose per coloro che non si adeguano alle prescrizioni imposte dalla legge.

L’organismo preposto a irrogarle (ANAC) potrà erogare sanzioni quando le imprese abbiano commesso ritorsioni nei confronti dei soggetti segnalanti o quando:

  • abbiano ostacolato o tentato di ostacolare la segnalazione o violato l’obbligo di riservatezza;
  • hanno omesso di istituire canali di segnalazione;
  • hanno omesso di adottare procedure per l’effettuazione e la gestione delle segnalazioni;
  • l’adozione o la loro implementazione non è stata conforme alla normativa;
  • hanno omesso di svolgere l’attività di verifica e analisi delle segnalazioni ricevute.

In tutti questi casi, l’ANAC può irrogare fino a 50.000 euro di sanzioni in caso di violazione.

Qualora la violazione riguardi l’identità del segnalante la sanzione potrà arrivare a 2.500 euro.

Considerazioni finali

Da una prima analisi del decreto whistleblowing, si evince come la norma sia stata pensata in stretta connessione con quella in materia di GDPR. La norma va rispettata sia sotto il profilo della riservatezza dei dati sia per i numerosi adempimenti da adottare per trattare correttamente le informazioni selezionate e raccolte.

In quest’ottica si ricorda che gli illeciti in materia di privacy sono stati ricompresi all’interno dell’elenco delle fattispecie che potranno essere oggetto di segnalazione.

Si auspica quindi che anche grazie al nuovo decreto whistleblowing si diffonda una maggiore consapevolezza in materia di data protection e conseguente volontà di miglioramento della cultura della privacy compliance su tutto il territorio nazionale.

Dark Patterns: questi sconosciuti…

Posted on by admpad

Cosa ne sappiamo dei dark patterns e perché il legislatore europeo ha emanato un regolamento per contrastarli?  

Secondo il considerando 67 del REGOLAMENTO (UE) 2022/2065 (Digital Services Act “DSA”), i dark patterns sono “percorsi oscuri” (e già la traduzione italiana rende l’idea dello scopo della normativa) sulle interfacce delle piattaforme online, pratiche che distorcono o compromettono in misura rilevante, intenzionalmente o di fatto, la capacità dei destinatari del servizio di compiere scelte o decisioni libere e informate. Lo scopo è convincere gli utenti, mediante un inganno, ad adottare comportamenti o decisioni indesiderate che possono avere conseguenze negative per gli stessi.  

A pensarci bene siamo tutti vittime di dark patterns, ogni volta che acquistiamo un prodotto o un servizio on-line e dobbiamo tenere alta l’attenzione per non cadere in trappole confezionate ad hoc: l’assicurazione per il volo non richiesta, il conto alla rovescia del tempo massimo per effettuare l’acquisto, il costo maggiorato di spedizione, il recesso dall’abbonamento difficilmente esercitabile, le promozioni già scadute, il call center irraggiungibile. Tutti esempi che la Commissione Europea ha classificato in uno studio del 2022 che trovate qui.

Il DSA punta l’attenzione sulla necessità di trasparenza, sulle eliminazione delle pratiche pubblicitarie scorrette e sulla progettazione delle piattaforme in linea con la normativa. Ad esempio vieta ai fornitori di piattaforme online di adottare pratiche tese a ingannare o esortare i destinatari del servizio e distorcere o limitare l’autonomia, il processo decisionale o la scelta dei destinatari del servizio attraverso la struttura, la progettazione o le funzionalità di un’interfaccia online o di una parte della stessa, ad esempio anche presentando le scelte in maniera non neutrale, attribuendo maggiore rilevanza a talune scelte attraverso componenti visive, auditive o di altro tipo nel chiedere al destinatario del servizio di prendere una decisione (art.25). 

I destinatari del Regolamento sono i fornitori di servizi internet (ISP), definiti secondo la classificazione già in uso con la Direttiva e-commerce in fornitori di servizi di mere conduit, di memorizzazione temporanea e non di informazioni. Alcuni dei quali, integrando piattaforme on line di grandi dimensioni sono già stati individuati dalla Commissione Ue in 17 operatori (Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Zalando) e due motori di ricerca (Google e Bing).  

Il Regolamento, che prevede ampi poteri di indagine da parte della Commissione Europea o da una delle autorità preposte nei singoli stati membri, troverà applicazione prima tra questi operatori di grandi dimensioni i quali dovranno adeguarsi entro agosto 2023, successivamente (entro il 17 febbraio 2024) per tutti gli altri. 

Riguardo a termini e condizioni del contratto che regola i servizi è prescritto che gli ISP forniscano informazioni sulle restrizioni che impongono in relazione all’uso dei loro servizi, includendo le politiche, le procedure, le misure e gli strumenti utilizzati ai fini della moderazione dei contenuti, compresi il processo decisionale algoritmico e la verifica umana, nonché le regole del sistema di gestione dei reclami. Informazioni da fornire con un linguaggio chiaro, semplice, comprensibile, facilmente fruibile e privo di ambiguità e disponibili al pubblico in un formato facilmente accessibile e leggibile meccanicamente (in linea con le migliori pratiche sull’accessibilità dei servizi). 

Per i servizi rivolti ai minori l’ISP dovrà adeguare il contenuto informativo e lo stile spiegando in modo comprensibile le condizioni e le restrizioni che si applicano all’utilizzo del servizio. 

Il rispetto dei diritti fondamentali dei destinatari del servizio, quali la libertà di espressione, la libertà e il pluralismo dei media, e altri diritti e libertà fondamentali sanciti dalla Carta è tenuto nella massima considerazione dal legislatore Europeo. 

Gli ISP e i motori d ricerca di dimensioni molto grandi dovranno anche mettere a disposizione una sintesi concisa delle condizioni generali, di facile accesso e leggibile meccanicamente, compresi le misure correttive e i mezzi di ricorso disponibili, in un linguaggio chiaro e privo di ambiguità e pubblicare le loro condizioni generali nelle lingue ufficiali di tutti gli Stati membri in cui offrono i loro servizi. 

I destinatari del servizio (intesi sia come persone fisiche che persone giuridiche), nonché gli organismi, le organizzazioni o le associazioni rappresentative, hanno il diritto di presentare reclamo nei confronti dei fornitori presso il coordinatore dei servizi digitali dello Stato membro in cui il destinatario del servizio è situato o è stabilito, aprendo un procedimento in contraddittorio tra le parti. (Art.53) 

Le sanzioni – pesantissime – possono arrivare fino al 6% dell’ultimo fatturato annuo mondiale del fornitore.