EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
25/05/2023 La nuova disciplina sul whistleblowing, la segnalazione delle violazioni privacy e l'impatto dei nuovi sistemi di segnalazione sulla tutela del dato personale.
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

SCARICA ALLEGATO

- LA NUOVA DISCIPLINA SUL WHISTLEBLOWING, CENNI.

Il 15 marzo 2023 è stato pubblicato il Decreto Legislativo 10 marzo 2023 n. 24, che dà attuazione in Italia della Direttiva UE 2019/1937. Il Decreto legislativo traccia le nuove regole di gestione delle segnalazioni di illeciti e, soprattutto, rafforza notevolmente la tutela dei segnalanti da possibili ritorsioni, prevedendo ex lege un inversione dell’onere della prova.

Ma ciò che interessa approfondire è l’impatto di questa nuova disciplina sulla tutela della privacy.

Il d.lgs 24/2023 entrerà in vigore a partire dal 15 luglio 2023, come previsto dall’art. 24 del Decreto.

Il decreto disciplina la protezione delle persone che segnalano violazioni di disposizioni normative nazionali o dell'Unione europea che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell'ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato.

La nuova disciplina richiede che venga creato un “sistema” che consenta la segnalazione protetta e che il segnalante venga effettivamente protetto da ritorsioni conseguenti alla propria segnalazione.

- I RIFLESSI SULLA TUTELA DEI DATI PERSONALI.

Il contenuto del D.Lgs 24/2023 incide sulla tutela dei dati personali sotto diversi profili:

  • è previsto espressamente che tra le segnalazioni tutelate dal whistleblowing vi siano anche le segnalazioni per violazione della privacy. Come comportarsi dopo avere ricevuto tale tipo di segnalazione?
  • Deve essere aggiornato il sistema di segnalazione, come vengono trattati i dati? serve un’informativa? E’ richiesta una DPIA sulle piattaforme di segnalazione?

GESTIONE DELLA SEGNALAZIONE

Il primo impatto, come accennato al punto precedente, è la gestione di una eventuale segnalazione di violazione della privacy.

Il D.Lgs 24/2023, infatti, all’art. 2 comma 1 lett. a n. 3, estende espressamente l’ambito di segnalazione “a illeciti che rientrano nell'ambito di applicazione degli atti dell'Unione europea o nazionali indicati nell'allegato al presente decreto ovvero degli atti nazionali che costituiscono attuazione degli atti dell'Unione europea indicati nell'allegato alla direttiva (UE) 2019/1937, seppur non indicati nell'allegato al presente decreto, relativi ai seguenti settori: protezione dei dati personali e sicurezza delle reti e dei sistemi informativi”.

La norma, quindi, prevede espressamente che sul canale di segnalazione whistleblowing possano essere segnalati al Responsabile della Prevenzione della corruzione anche trattamenti illeciti di dati.

Peraltro la segnalazione non può essere configurata come “reclamo” contro il trattamento dei dati personali del segnalante (per tale tipo di segnalazione è previsto il reclamo al Garante art. 77 del GDPR) in quanto le disposizioni del D.lgs. 24/2023 non si applicano alle contestazioni o reclami relativi “ad un interesse di carattere personale della persona segnalante” che attengono esclusivamente ai propri rapporti individuali di impiego pubblico, ovvero inerenti ai propri rapporti di impiego pubblico con le figure gerarchicamente sovraordinate.

La segnalazione interna di violazione della privacy, quindi, può riguardare una delibera pubblicata in Albo Pretorio, o la diffusione di dati contenuti in una banca dati interna a uffici di enti privati, o alla mancata nomina del DPO ecc.

Venendo alle due distinte ipotesi, quindi:

  • qualora la segnalazione riguardi un reclamo da parte del dipendente pubblico dell’ente sul trattamento dei propri dati personali da parte del superiore gerarchico o dell’Ente Titolare del trattamento, chi gestisce la piattaforma, informando il DPO, deve, in applicazione della prescrizione posta dall’art. 13, comma 2 del D.lgs. 24/2023:
  1. immediatamente cancellare tutta la documentazione contenente dati personali manifestamente non utili ad un trattamento. Infatti, in tal caso, dare seguito alla segnalazione della violazione privacy riguardante lo stesso whistleblower, potrebbe determinare l’avvio di un trattamento illecito, stante l’insussistenza di una finalità e di una adeguata base giuridica;
  2. dare, contestualmente, comunicazione al whistleblower, dell’avvenuta cancellazione, invitandolo a presentare rituale reclamo all’Autorità Garante della Privacy, indicando il seguente indirizzo del sito dell’Autorità: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/4535524#:~:text=L%27apposita%20istanza%20all%27Autorità,rpd%40gpdp.it.

  • Qualora, invece, la segnalazione riguardi il trattamento di dati personali da parte dell’Ente Titolare del Trattamento e che non riguardino ipotesi di reclamo,deve essere coinvolto il DPO dell’ente perché assista l’Ente nell’adottare ogni iniziativa utile a verificare la fondatezza della segnalazione e ad attivare le azioni conseguenti per interrompere il trattamento illecito. Inoltre, con il DPO, verrà valutata la sussistenza delle condizioni del data breach al Garante della Privacy entro 72 ore dall’accertamento.

REALIZZAZIONE DELLA PIATTAFORMA DI SEGNALAZIONE MISURE DI SICUREZZA

Il D.lgs 24/2023 dispone (art. 4), come anticipato, di realizzarepropri canali di segnalazione, che garantiscano, anche tramite il ricorso a strumenti di crittografia, la riservatezza dell'identita' della persona segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonche' del contenuto della segnalazione e della relativa documentazione”.

Inoltre, il medesimo art. 4 al comma 2 prevede cheLa gestione del canale di segnalazione e' affidata a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione, ovvero e' affidata a un soggetto esterno, anch'esso autonomo e con personale specificamente formato”.

Per gli enti di minori dimensioni, che non sono in possesso di un organigramma che consenta di dedicare in via autonoma un ufficio a tale sistema di segnalazione, è probabile che si ricorra a un gestore esterno.

In ogni caso, per la sicurezza della gestione del canale di segnalazione devono essere adottate misure di sicurezza avanzate, tra cui:

  • il protocollo https;
  • strumenti di crittografia (specie per il trasporto e la conservazione dei dati del segnalante) per garantire la riservatezza dell’identità del segnalante e per il contenuto delle segnalazioni e della relativa documentazione;
  • tecniche di pseudonimizzazione e anonimizzazione, ove possibile;
  • accessi individuali e nominali;
  • procedure d’autenticazione forti e meccanismi di blocco automatico dell’utenza, in caso di ripetuti tentativi di autenticazione falliti;
  • limitazione dei soggetti aventi accesso alle informazioni, anche mediante una corretta configurazione dei sistemi di protocollo informatico.

Inoltre, il soggetto esterno incaricato per la fornitura della piattaforma deve essere designato Responsabile del trattamento dei dati ai sensi dell’art. 28 del Regolamento UE 2016/679.

Il Responsabile della Prevenzione e della Corruzione che accede alla piattaforma, deve essere autorizzato dal legale rappresentante dell’Ente a trattare tali dati con un atto specifico.

I dati poi devono essere conservati per un periodo di tempo congruo rispetto alle finalità perseguite, che può essere individuato in un termine di 18 mesi, salva diversa specifica valutazione

Deve inoltre essere prevista una specifica informativa privacy ai sensi dell’art. 13 del GDPR, che deve essere consegnata al soggetto segnalante quando conferisce i propri dati per la segnalazione. Si allega una bozza di informativa

Da ultimo, si segnala che il D.Lgs 24/2023, all’art. 13, al comma 6, dispone che “I soggetti di cui all'articolo 4 definiscono il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base di una valutazione d'impatto sulla protezione dei dati, e disciplinando il rapporto con eventuali fornitori esterni che trattano dati personali per loro conto ai sensi dell'articolo 28 del regolamento (UE) 2016/679 o dell'articolo 18 del decreto legislativo n. 51 del 2018”.

Pertanto, prima di avviare l’utilizzo di una piattaforma whistleblowing è necessario (con il supporto del fornitore della piattaforma) redigere la valutazione di impatto da inviare al DPO per un suo parere.

Categorie
News
Parole chiave
Whistleblowing
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits