Una corretta e precisa valutazione d'impatto, strumento per il rispetto dei principi di privacy by design e by default

ROMA - In data 10 giugno 2021 [doc. web 9685922] l’Autorità Garante ha sanzionato un titolare del trattamento per aver implemento senza una valutazione di impatto privacy una piattaforma ai fini della gestione del whistleblowing in violazione dei principi della privacy by design e by default.

Il caso affrontato dal Garante riguardava l’utilizzo di una piattaforma SaaS utilizzata nell’ambito della disciplina del c.d. whistleblowing, la disciplina sulla segnalazione degli illeciti da parte dei lavoratori (vedi art. 54-bis del d.lgs. 30 marzo 2001, n. 165, introdotto dall’art. 1, comma 51, della l. n. 190/2012 e l. 30 novembre 2017, n. 179 “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato”).

L’applicativo, esposto su rete Internet, non utilizzava un protocollo di rete sicuro (quale il protocollo https) e con riferimento alla conservazione dei dati relativi alle segnalazioni era emerso che la piattaforma non prevedeva la cifratura dei dati personali (dati identificativi del segnalante, informazioni relative alla segnalazione nonché eventuale documentazione allegata) conservati nel relativo database, come raccomandata dall’ANAC (vedi, Linee guida in materia di tutela del dipendente pubblico che segnala illeciti - c.d. whistleblower -, adottate con determinazione n. 6 del 28 aprile 2015).

Il mancato utilizzo di strumenti di crittografia, osserva il Garante, per il trasporto e la conservazione dei dati non risulta conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32 del Regolamento che, al suo par. 1, lett. a), individua espressamente la cifratura come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio (v. anche cons. 83 del Regolamento nella parte in cui prevede che “il titolare del trattamento […] dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura”).

Rischio inerente il trattamento e valutazione di impatto privacy

Il Garante ha rilevato che la Società ha posto in essere trattamenti di dati personali di dipendenti e altri interessati, mediante l’utilizzo dell’applicativo per l’acquisizione e gestione delle segnalazioni illecite, in maniera non conforme ai principi di “integrità e riservatezza”, della “protezione dei dati fin dalla progettazione” e della “protezione dei dati per impostazione predefinita”, in violazione degli artt. 5, par. 1, lett. f), e 25 del Regolamento; in assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, in violazione dell’art. 32 del Regolamento; non avendo effettuato una valutazione di impatto sulla protezione dei dati, in violazione dell’art. 35 del Regolamento.

Il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare, anche avvalendosi del supporto del responsabile della protezione dei dati ove nominato, la conformità ai principi applicabili al trattamento dei dati (art. 5 del Regolamento) adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio (cfr. artt. 5, par. 2, 24, 25 e 32 del Regolamento).

In tale prospettiva, il titolare del trattamento deve eseguire una valutazione dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento (v., in particolare, la disciplina in materia di whistleblowing, ma anche le norme nazionali e di maggior tutela per gli interessati con riguardo ai trattamenti in ambito lavorativo, art. 88 del Regolamento in relazione agli artt. 113 e 114 del Codice; sotto tale ultimo profilo, con riguardo a operazioni di tracciamento delle connessioni a siti Internet da parte di dipendenti, v. da ultimo provv. 13 maggio 2021).

In conclusione, una corretta e precisa valutazione di impatto privacy ai sensi dell’articolo 35 Reg. UE 679/2016 avrebbe rappresentato non solo un utile e fondamentale accountability tools ma anche uno strumento idoneo per il rispetto dei principi di privacy by design e by default.

(Articolo di Marco Soffientini, avvocato, esperto di Privacy e Diritto delle Nuove Tecnologie e docente Ethos Academy).