ECEC CONFERENCE 2021 BREAKOUT SESSION: Italia 07/10/2021
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
ECEC CONFERENCE 2021 BREAKOUT SESSION: Italia 07/10/2021
Whistleblowing e Data Privacy: Le nuove sfide del
Compliance Officer per tutelare segnalanti e aziende
FRANCESCO ALBIERI ELISA ROMANO FRANCESCA GAUDINO
AIIA & WEBUILD AUTOMOBILI LAMBORGHINI BAKER MCKENZIE
ROBERTO CURSANO GABRIELE FAGGIOLI LAURA SANTEUSANIO
BAKER MCKENZIE POLITECNICO DI MILANO EQS GROUP ITALIA
ROBERTO CURSANO
PARTNER
BAKER MCKENZIE
La Direttiva UE sul Whistleblowing: obbligo di
costituire canali interni di segnalazione per le
società
ECEC Conference | 7 ottobre 2021
Avv. Roberto Cursano - Partner
La Direttiva UE sui canali di whistleblowing
Il whistleblowing nell’ordinamento giuridico italiano
◼ Istituto giuridico di origine anglosassone che si riferisce alla denuncia / segnalazione da parte di un individuo di
attività illecite o fraudolente all’interno un’organizzazione pubblica o privata.
◼ In Italia l’istituto del Whistleblowing è stato inizialmente introdotto nel settore pubblico con Legge n. 190/2012
recante “Disposizioni per la prevenzione e la repressione della corruzione e dell'illegalità nella pubblica
amministrazione”, adottata in ottemperanza a convenzioni e raccomandazioni dell’ONU, UE e OCSE.
◼ Con Legge n. 179/2017 recante “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui
siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”, sono state introdotte per la
prima volta nell’ordinamento giuridico italiano specifiche misure a tutela degli autori di segnalazioni nel settore
privato, tramite la modifica della disciplina in materia di responsabilità amministrativa degli enti ex D.lgs.
231/2001.
La Direttiva UE sui canali di whistleblowing
La Direttiva 2019/1937/UE
◼ Scopo: stabilire norme minime comuni volte a garantire un elevato livello di protezione delle persone che
segnalano violazioni del diritto dell'UE
◼ Termine di recepimento: 17 dicembre 2021 (deroga per le società con più di 50 e meno di 250 lavoratori + 2
anni).
◼ Soggetti obbligati: tutte le società con almeno 50 lavoratori.
◼ Eccezione: la soglia dei 50 lavoratori non si applica alle società che rientrano nell'ambito di applicazione degli atti
dell'UE in materia di:
• Servizi, prodotti e mercati finanziari:
• Prevenzione del riciclaggio e del finanziamento del terrorismo;
• Sicurezza dei trasporti;
• Tutela dell’ambiente.
◼ Gli Stati membri possono comunque chiedere di stabilire canali e procedure di segnalazione interna anche a
società con meno di 50 lavoratori, previa valutazione dei rischi e tenuto conto della natura delle attività dei
soggetti e del conseguente livello di rischio, in particolare per l'ambiente e la salute pubblica.
La Direttiva UE sui canali di whistleblowing
Ambito di applicazione oggettivo
Segnalazioni riguardanti le seguenti violazioni del diritto dell’UE:
✓ Violazioni che rientrano nell'ambito di applicazione degli atti dell'UE relativamente ai seguenti settori:
• Appalti pubblici;
• Tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi;
• Protezione dei consumatori;
• Sicurezza e conformità dei prodotti;
• Tutela dell'ambiente;
• Salute pubblica;
• Sicurezza degli alimenti e dei mangimi e salute e benessere degli animali;
• Servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo;
• Sicurezza dei trasporti;
• Radioprotezione e sicurezza nucleare.
La Direttiva UE sui canali di whistleblowing
Ambito di applicazione oggettivo
✓ Violazioni che ledono gli interessi finanziari dell'UE (art. 325 TFUE);
✓ Violazioni riguardanti la libera circolazione delle merci, delle persone, dei servizi e dei capitali nel mercato interno
(art. 26, par. 2, TFUE), comprese violazioni delle norme dell'UE in materia di:
• Concorrenza;
• Aiuti di Stato;
• Imposta sulle società.
➢ Possibilità per gli Stati membri di estendere la protezione prevista dal diritto nazionale a settori / atti non
contemplati dalla Direttiva.
➢ Restano escluse dal campo di applicazione della Direttiva le segnalazioni di violazioni delle norme in materia di
appalti concernenti aspetti di difesa e sicurezza (salvo che tali aspetti non rientrino negli atti pertinenti dell’UE).
La Direttiva UE sui canali di whistleblowing
Ambito di applicazione soggettivo
✓ Segnalanti che lavorano nel settore privato o pubblico e che hanno acquisito informazioni sulle violazioni in
un contesto lavorativo, compresi almeno:
• Lavoratori dipendenti pubblici e privati e Lavoratori autonomi;
• Azionisti e membri degli organi di amministrazione, direzione o vigilanza delle imprese, inclusi i
membri senza incarichi esecutivi, i volontari e i tirocinanti retribuiti e non retribuiti;
• Persone che lavorano sotto la supervisione e la direzione di appaltatori, subappaltatori e fornitori.
✓ Segnalazioni / divulgazioni di informazioni su violazioni acquisite nell’ambito di un rapporto di lavoro nel
frattempo terminato ovvero non ancora iniziato ma ottenute nell’ambito del processo di selezione o
delle trattative precontrattuali.
✓ Inoltre, le misure di protezione dei segnalanti si applicano altresì a:
• Facilitatori (i.e. persone fisiche che assistono un segnalante nel processo di segnalazione in un
contesto lavorativo e la cui assistenza deve essere riservata);
• Terzi connessi con le persone segnalanti e che potrebbero rischiare ritorsioni in un contesto
lavorativo (ad esempio, colleghi o parenti);
• Soggetti giuridici di cui i segnalanti sono proprietari, per cui lavorano o a cui sono altrimenti connessi
in un contesto lavorativo.
La Direttiva UE sui canali di whistleblowing
Ambito di applicazione soggettivo
Condizioni per la protezione dei segnalanti
▪ Le persone segnalanti beneficiano di protezione ai sensi della Direttiva, a condizione che:
✓ Abbiano avuto fondati motivi di ritenere che le informazioni segnalate fossero vere al momento della
segnalazione e che tali informazioni rientrassero nell'ambito di applicazione della Direttiva;
✓ Abbiano effettuato una segnalazione internamente o esternamente, ovvero abbiano effettuato una
divulgazione pubblica.
▪ Segnalazioni in forma Anonima:
• Consentite dal diritto dell’UE;
• Stati membri sono liberi di decidere se i soggetti giuridici del settore pubblico / privato e le autorità
competenti debbano accettarle e darvi seguito.
▪ Chi ha effettuato una segnalazione anonima e sia stato successivamente identificato subendo ritorsioni può
comunque beneficiare delle misure a protezione dei segnalanti.La Direttiva UE sui canali di whistleblowing
I canali di segnalazione interni
➢ Segnalazione interna: la comunicazione scritta od orale di informazioni sulle violazioni all'interno di un soggetto
giuridico del settore pubblico o del settore privato.
La segnalazione interna è la strada suggerita, preferita e cronologicamente da percorrere per prima laddove la violazione
possa essere affrontata efficacemente a livello interno e la persona segnalante ritenga che non sussista il rischio di ritorsioni.
➢ Segnalazione esterna: la comunicazione scritta od orale di informazioni sulle violazioni alle autorità competenti.
La segnalazione esterna è considerata come subordinata e da percorrere in presenza di peculiari circostanze quali la
mancanza di un seguito adeguato nei termini, la mancanza o non obbligatorietà dell'utilizzo del canale di segnalazioni interne
(es. segnalazioni da parte di soggetti esterni), l'esistenza di controindicazioni all'utilizzo di canali di comunicazione interna (es.
rischio di ritorsioni).
➢ Divulgazione pubblica: il fatto di rendere di pubblico dominio informazioni sulle violazioni.
Garantisce lo stesso livello di protezione prevista per le segnalazioni interne ed esterne a condizione che il segnalante:
• Abbia prima segnalato internamente ed esternamente, o direttamente esternamente, ma non sia stata intrapresa
un'azione appropriata in risposta alla segnalazione entro i termini; ovvero
• Abbia fondati motivi di ritenere che (i) la violazione possa costituire un pericolo imminente o palese per il pubblico
interesse; o (ii) in caso di segnalazione esterna, sussista il rischio di ritorsioni o le prospettive che la violazione sia
affrontata efficacemente siano scarse per via delle circostanze del caso di specie (es. rischio occultamento / distruzione
prove, autorità coinvolta nella violazione).La Direttiva UE sui canali di whistleblowing
I canali di segnalazione interni
o I soggetti giuridici del settore privato (e del settore pubblico) devono istituire canali e procedure per le segnalazioni
interne e per il seguito, previa consultazione e in accordo con le parti sociali se previsto dal diritto nazionale.
o I canali e le procedure devono consentire ai lavoratori di effettuare segnalazioni sulle violazioni. Tale possibilità può
essere estesa alle persone che sono in contatto con il lavoratore nell'ambito della loro attività professionale.
o I canali di segnalazione possono essere gestiti internamente da una persona o da un servizio designato a tal fine o
essere messi a disposizione esternamente da terzi.
o Per i soggetti giuridici che hanno da 50 a 249 lavoratori condivisione delle risorse per il ricevimento delle
segnalazioni e per le eventuali indagini da svolgere.La Direttiva UE sui canali di whistleblowing
I canali di segnalazione interni
Elementi delle procedure per le segnalazioni interne e per il seguito:
✓ Canali per ricevere le segnalazioni progettati, realizzati e gestiti in modo tale da garantire la riservatezza dell'identità del
segnalante e la protezione degli eventuali terzi citati nella segnalazione nonché impedire l'accesso del personale non
autorizzato;
✓ Avviso del ricevimento della segnalazione al segnalante entro 7 giorni dal ricevimento;
✓ Designazione di una persona o di un servizio imparziale competente per dare seguito alle segnalazioni;
✓ Seguito diligente da parte della persona designata o del servizio designato (anche per quanto riguarda le segnalazioni
anonime se previsto dal diritto nazionale);
✓ Termine ragionevole per fornire un riscontro (comunque non superiore a 3 mesi dalla data dall'avviso di ricevimento della
segnalazione o dalla scadenza del termine di 7 giorni dalla segnalazione);
✓ Informazioni chiare e facilmente accessibili sulle procedure per effettuare segnalazioni esterne alle autorità competenti.La Direttiva UE sui canali di whistleblowing Gli obblighi per i soggetti giuridici del settore privato ➢ Obbligo di riservatezza Divieto generale di divulgazione: L'identità del segnalante non può essere divulgata, senza il suo consenso esplicito, a soggetti che non facciano parte del personale autorizzato a ricevere o a dare seguito alle segnalazioni (tale divieto si applica altresì a qualsiasi altra informazione da cui si possa dedurre, direttamente o indirettamente, l'identità del segnalante). Eccezione: la divulgazione è ammessa laddove previsto dal diritto dell'UE o nazionale nel contesto di indagini da parte delle autorità competenti o di procedimenti giudiziari, anche al fine di salvaguardare i diritti della difesa della persona coinvolta. In tal caso, i segnalanti sono informati preventivamente, a meno che ciò non pregiudichi le relative indagini o procedimenti giudiziari. L’informativa deve indicare le ragioni alla base della divulgazione dei dati riservati.
La Direttiva UE sui canali di whistleblowing Gli obblighi per i soggetti giuridici del settore privato ➢ Obbligo di conservazione La documentazione inerente le segnalazioni deve essere conservata nel rispetto dei requisiti di riservatezza. Le relazioni sono conservate soltanto per il tempo necessario a conformarsi agli obblighi di cui alla Direttiva o dagli altri obblighi imposti dal diritto dell'UE o nazionale. Utilizzo di linee telefoniche o altri sistemi di messaggistica vocale registrati diritto di documentare la segnalazione orale, previo consenso del segnalante, tramite: • Registrazione della conversazione su supporto durevole; • Trascrizione completa e accurata della conversazione da parte del personale addetto al trattamento della segnalazione. Utilizzo di linee telefoniche o altri sistemi di messaggistica vocale non registrati diritto di documentare la segnalazione orale tramite resoconto dettagliato della conversazione. In tutti i casi, diritto del segnalante di verificare, rettificare ed approvare la trascrizione / resoconto mediante sottoscrizione.
La Direttiva UE sui canali di whistleblowing
La Legge di delegazione europea n. 53 del 22 aprile 2021
➢ Art. 23 Princìpi e criteri direttivi per l'attuazione della Direttiva 2019/1937/UE sulla protezione delle persone che
segnalano violazioni del diritto dell'Unione:
✓ Modificare, in conformità alla disciplina della Direttiva 2019/1937/UE, la normativa vigente in materia di tutela degli
autori di segnalazioni delle violazioni del diritto dell'Unione di cui siano venuti a conoscenza nell'ambito di un
contesto lavorativo pubblico o privato;
✓ Curare il coordinamento con le disposizioni vigenti, assicurando un alto grado di protezione e tutela dei soggetti
che segnalano violazioni del diritto dell'Unione, operando le necessarie abrogazioni e adottando le opportune
disposizioni transitorie;
✓ Esercitare l'opzione di cui all'articolo 25, paragrafo 1, della Direttiva 2019/1937/UE, che consente l'introduzione o il
mantenimento delle disposizioni più favorevoli ai diritti delle persone segnalanti e di quelle indicate dalla direttiva, al
fine di assicurare comunque il massimo livello di protezione e tutela dei medesimi soggetti.La Direttiva UE sui canali di whistleblowing
I canali di segnalazione ex D.lgs. 231/2001 e quelli introdotti dalla Direttiva
D.lgs. 231/2001 Direttiva 2019/1937/UE
Oggetto delle Violazioni del Modello e/o del D.lgs. 231/2001 Violazioni del diritto dell'UE
segnalazioni
Destinatari delle Organismo di Vigilanza Persona o Servizio competente (segnalazioni interne) / Autorità
segnalazioni competente (segnalazioni esterne)
Autori delle Persone che rivestono funzioni di rappresentanza, Persone che hanno acquisito informazioni sulle violazioni in un
segnalazioni amministrazione o direzione dell'ente; persone contesto lavorativo; azionisti e membri dell'organo di
che esercitano, anche di fatto, la gestione e il amministrazione, direzione o vigilanza di un 'impresa; volontari e
controllo dell’ente; persone sottoposte alla tirocinanti retribuiti e non retribuiti; persone che lavorano sotto la
direzione o alla vigilanza di uno dei predetti supervisione e la direzione di appaltatori, subappaltatori e
soggetti. fornitori; facilitatori; terzi connessi con i segnalanti.
Condizioni per la Segnalazioni circostanziate, rilevanti ai sensi del Segnalazioni di violazioni del diritto dell’UE effettuate attraverso i
protezione Modello e/o del D.lgs. 231/2001, fondate su canali indicati dalla Direttiva e basate su informazioni ritenute
elementi di fatto precisi e concordanti relative a vere al momento della segnalazione.
condotte illecite apprese in ragione delle funzioni
svolte.AVV. ROBERTO CURSANO
PARTNER
Studio Professionale Associato a
Baker & McKenzie
Viale di Villa Massimo, 57
00161 Roma
Tel: +39 06 4406 31
Fax: +39 06 4406 3306
roberto.cursano@bakermckenzie.com
Studio Professionale Associato a Baker & McKenzie is a member firm of Baker & McKenzie International, a global law
firm with member law firms around the world. In accordance with the common terminology used in professional service
organisations, reference to a "partner" means a person who is a partner, or equivalent, in such a law firm. Similarly,
reference to an "office" means an office of any such law firm. This may qualify as “Attorney Advertising” requiring notice
in some jurisdictions. Prior results do not guarantee a similar outcome.
© 2021 Studio Professionale Associato a Baker & McKenzie
bakermckenzie.comFRANCESCO ALBIERI
PRESIDENTE - AIIA
INTERNAL AUDIT AND COMPLIANCE DIRECTOR - WEBUILDGABRIELE FAGGIOLI PRESIDENTE CLUSIT E RESPONSABILE SCIENTIFICO OSSERVATORIO CYBERSECURITY & DATA PROTECTION DEL POLITECNICO DI MILANO
Gabriele Faggioli Presidente Clusit Responsabile Scientifico Osservatorio Cybersecurity & Data Protection faggioli@mip.polimi.it
Nel corso dell’attività ispettiva sui trattamenti di dati
personali inerenti alla gestione delle segnalazioni di illeciti
Attività ispettiva (whistleblowing), il Garante ha riscontrato alcune violazioni
in capo ad un aeroporto del nord Italia e al fornitore
nei confronti di dell’applicativo di gestione delle segnalazioni
un aeroporto e
di un fornitore Le indagini condotte hanno portato il Garante a sanzionare
entrambi i soggetti rispettivamente per 40.000 euro e 20.000
di una euro [Ordinanza ingiunzione del 10 giugno 2021].
piattaforma di
I provvedimenti sanzionatori hanno tenuto conto della
whistleblowing delicatezza delle informazioni trattate nelle segnalazioni e
degli elevati rischi di ritorsioni e discriminazioni cui
potrebbero essere esposti i whistleblowers.Ordinanza ingiunzione - 10 giugno 2021
L’aeroporto, con l’entrata in vigore della Legge n. 179/2017, ha adottato un sistema di gestione delle
segnalazioni di illeciti (whistleblowing), impiegando un applicativo di un Fornitore, nominato Responsabile
del trattamento (art. 28 GDPR).
Nel corso delle attività ispettive sono emerse le seguenti violazioni:
1. Mancato utilizzo di tecniche crittografiche per il trasporto e la conservazione dei dati: l’applicativo di
gestione delle segnalazioni di illeciti fornito dal Fornitore non è risultato compliant alle richieste di legge con
riguardo ai livelli di sicurezza dei dati personali trattati nelle segnalazioni:
1. Utilizzo di un protocollo di rete non sicuro;
2. Mancanza di misure di sicurezza adeguate, come la cifratura;
2. Tracciamento degli accessi dei segnalanti all’applicativo;
3. Mancata esecuzione di una DPIA (art. 35 GDPR).Mancato utilizzo di tecniche crittografiche per il
trasporto e la conservazione dei dati
• Protocolli di rete non sicuri
L’acquisizione e la gestione delle segnalazioni di illeciti veniva effettuata attraverso l’applicativo del
Fornitore
Il Garante ha rilevato che il Fornitore non aveva previsto l’implementazione di un protocollo di rete sicuro
(quale l’https). Senza tale protocollo, non può essere garantita l’integrità e la riservatezza dei dati
scambiati tra il browser dell’utente e il server che ospita l’applicativo.
Vista la natura dei dati trasmessi e i possibili rischi derivanti dalla loro acquisizione da parte di terzi, il
Garante ha ritenuto questa misura di sicurezza necessaria.
• Cifratura dei dati personali contenuti nelle segnalazioni
Il Garante ha rilevato che il Fornitore dell’applicativo non ha implementato sistemi di cifratura dei dati
personali conservati nel database dedicato. La cifratura dei dati relativi alle segnalazioni, conservati e
trasferiti dall’applicativo, era stata anche fortemente raccomandata dallo stesso ANAC già nelle Linee guida
in materia di tutela del dipendente pubblico che segnala illeciti del 2015.Tracciamento degli accessi dei segnalanti
all’applicativo e mancata esecuzione di una DPIA
• Tracciamento degli accessi all’applicativo «WB Confidential»
L’accesso all’applicativo da parte dei dipendenti dell’aeroporto, con postazioni di lavoro o dispositivi personali connessi
alla rete aziendale, era mediato da «firewall di nuova generazione» che, tra le altre cose, erano in grado di
memorizzare in appositi file di log le operazioni di navigazione effettuate, tra cui le connessioni all’applicativo. Questi
log, conservati dall’applicativo per 90 giorni, contenevano informazioni quali l’indirizzo IP del dispositivo utilizzato per
l’accesso e, «in virtù dell’integrazione del firewall con Active Directory», lo username del segnalante o comunque dei
soggetti che accedevano all’applicativo.
• Mancata esecuzione di una DPIA
Il trattamento dei dati personali coinvolti nelle segnalazioni è avvenuto in assenza di una preliminare valutazione
d’impatto sulla protezione dei dati (DPIA) nonostante l’evidente delicatezza delle informazioni trattate nelle
segnalazioni dei whisteblower, gli elevati rischi a cui sono esposti gli interessati (soprattutto in termini di possibili
effetti ritorsivi e discriminatori, anche indiretti, a livello lavorativo) e la natura «vulnerabile» degli stessi.
L’Autorità, pur tenendo conto dell’esiguo numero di segnalazioni effettivamente gestite e degli sforzi fatti dalla Società,
ha condannato l’aeroporto, ricordando che «il Titolare è il soggetto sul quale ricadono le decisioni circa le finalità e le
modalità del trattamento dei dati personali degli interessati e che ha una “responsabilità generale” sui trattamenti
posti in essere» (principio di accountability, art. 24 GDPR).Ordinanza ingiunzione nei confronti del Fornitore -
10 giugno 2021
Il Fornitore ha reso disponibile l’applicativo e, in forza dei servizi offerti (che comprendono anche attività di
manutenzione specialistica) è stata correttamente nominata da Responsabile del trattamento.
Il Garante, nel corso della sua attività ispettiva, ha rilevato alcune importanti violazioni della normativa
applicabile:
1. Mancata designazione (e comunicazione al Titolare) dei sub-responsabili del trattamento;
2. Mancata implementazione di misure di sicurezza adeguate.Mancata designazione dei Sub-Responsabili e
lacune nelle misure di sicurezza
• Tracciamento degli accessi all’applicativo
L’accesso all’applicativo da parte dei dipendenti di AdB, con postazioni di lavoro o dispositivi personali
connessi alla rete aziendale, era mediato da «firewall di nuova generazione» che, tra le altre cose, erano in
grado di memorizzare in appositi file di log le operazioni di navigazione effettuate, tra cui le connessioni
all’applicativo. Questi log, conservati dall’applicativo per 90 giorni, contenevano informazioni quali
l’indirizzo IP del dispositivo utilizzato per l’accesso e, «in virtù dell’integrazione del firewall con Active
Directory», lo username del segnalante o comunque dei soggetti che accedevano all’applicativo.
• Mancata esecuzione di una DPIA
Il trattamento dei dati personali coinvolti nelle segnalazioni è avvenuto in assenza di una preliminare
valutazione d’impatto sulla protezione dei dati (DPIA) nonostante l’evidente delicatezza delle informazioni
trattate nelle segnalazioni dei whisteblower, gli elevati rischi a cui sono esposti gli interessati (soprattutto
in termini di possibili effetti ritorsivi e discriminatori, anche indiretti, a livello lavorativo) e la natura
«vulnerabile» degli stessi.L’attività di valutazione della compliance alla Osservatorio Cybersecurity & Data Protection
15.09.21 #OCDP21
normativa sui dati personali
Fornitori Subfornitori
3% 5%
17%
49% 46%
80%
Mai A volte Sempre Mai A volte Sempre
Campione: 76 aziendeOsservatorio Cybersecurity & Data Protection
L’attività di valutazione del livello di sicurezza 15.09.21 #OCDP21
Fornitori Subfornitori
8% 9%
60%
34%
32%
57%
Mai A volte Sempre
L’attività di valutazione del livello di sicurezza viene praticata in maniera minore
rispetto all’attività di valutazione della compliance alla normativa sui dati personali, sia sui
fornitori, sia sui subfornitori.
Campione: 76 aziendeLa metodologia di Ricerca applicata Osservatorio Cybersecurity & Data Protection
15.09.21 #OCDP21
dall’Osservatorio
PERIMETRO DI ANALISI FONTI VARIABILI CONSIDERATE
Grandi imprese italiane • Dati Survey • Tasso di adozione di servizi
Osservatorio Cloud
(sopra i 250 addetti) • Numero di contratti Cloud negli
Cybersecurity & Data
ultimi 2 anni
3.787
Protection
• Dati Survey • Frequenza delle attività di
Osservatorio Cloud valutazione di security e
Imprese Transformation compliance
• Dati ISTAT e AIDA sulla • Numero medio di giornate
popolazione aziendale dedicate a ciascuna attività di
Di queste valutazione
3318 • Dimensione aziendale (numero
Hanno stipulato in due anni addetti)
almeno un contratto Cloud (totale • Settore di appartenenza
circa 6600 contratti)Osservatorio Cybersecurity & Data Protection
Le conclusioni della Ricerca 15.09.21 #OCDP21
17.000 – 19.000 14.000 – 15.000
Giornate uomo destinate ogni anno Giornate uomo destinate
alla valutazione della compliance ogni anno alla valutazione
dei fornitori e dei subfornitori alla della sicurezza dei fornitori
normativa sui dati personali da parte e dei subfornitori da parte
delle grandi imprese* delle grandi imprese *
31.000 – 34.000 Stima delle
Giornate uomo destinate ad attività di giornate/uomo che le 3318
valutazione della compliance e della grandi imprese hanno
sicurezza di fornitori e subfornitori investito nelle analisi (154
ogni anno FTE)
*Valore stimato che oscilla in base alla
frequenza dell’attività di valutazioneGabriele Faggioli Presidente Clusit Responsabile Scientifico Osservatorio Cybersecurity & Data Protection faggioli@mip.polimi.it
FRANCESCA GAUDINO ELISA ROMANO
PARTNER DATA PROTECTION &
BAKER MCKENZIE INFORMATION SECURITY OFFICER
AUTOMOBILI LAMBORGHINI SPAWhistleblowing e Data Privacy:
le nuove sfide del compliance officer per tutelare segnalanti e
aziende
ECEC Conference 2021 | 7 ottobre 2021
Avv. Elisa Romano - Data Protection & Information Security Officer - Lamborghini
Avv. Francesca Gaudino - Head of Data Protection and Cybersecurity - Baker McKenzieGli interessati: Il «sistema Dopo una
segnalanti e whistleblowing» segnalazione:
segnalati le investigazioni
La Direttiva UE 2019/1937 amplia Identificazione di una persona o Ricevimento e seguito ad una
esponenzialmente la platea di servizio dedicati. segnalazione.
interessati e le modalità di Regolamentazione ruoli privacy Investigazioni e diritti degli
segnalazione, con relativa dei soggetti coinvolti e rapporti con interessati, in particolare del
complessità degli adempimenti. terzi fornitori di servizi. La segnalato.
condivisione di dati intra-gruppo.1
Gli interessati -
adempimenti e
criticitàInformare gli interessati
Segnalanti e segnalati
◼ Obbligo di informazione specifico per consentire una ‘decisione
informata’, con una duplice profilo
➢ Artt. 13/14 GDPR
➢ informazioni chiare e facilmente accessibili sulla procedura di segnalazione
interna ed anche esterna
◼ Lavoratori e soggetti diversi dai lavoratori, ad es. prestatori di servizi,
distributori, fornitori e partner commerciali
➢ esposizione in un luogo ‘accessibile’
➢ pubblicazione su sito web istituzionale
➢ formazione interna su etica e integrità – Codice di CondottaSegnalazione e trattamento di dati personali
Principali criticità
◼ Base giuridica del trattamento
◼ Modalità di segnalazione - ricevere ed esaminare nella massima
riservatezza le segnalazioni:
• orale: linea telefonica gratuita / altro sistema di messaggistica vocale
(materiale utile a fini di prova)
• per iscritto: posta, cassetta per i reclami, piattaforma online - intranet o
Internet
• di persona: su richiesta del segnalante e in tempi ragionevoliSegnalazione e trattamento di dati personali
Principali criticità – ctd.
◼ Tempi di conservazione dei dati
▪ segnalazioni infondate/non rilevanti
▪ segnalazioni rilevanti
◼ L’espresso richiamo all’Art. 5 GDPR - Considerando 83 della Direttiva
• principio di proporzionalità, necessità - Privacy by Default
• principio di Privacy by Design
◼ Le segnalazioni anonime2
Il sistema
whistleblowingPersona o servizio dedicati
Identificazione e regolamentazione
◼ Identificazione in base alla specifica struttura aziendale, ma devono assicurare
➢ indipendenza
➢ assenza di conflitto di interessi
➢ in realtà piccole, anche il responsabile della privacy
◼ Ruolo privacy: assimilabile a quello dell’OdV?
◼ Altre funzioni aziendali eventualmente coinvolte - il ruolo di una capogruppoPersona o servizio dedicati - ctd.
Identificazione e regolamentazione
◼ Terzi fornitori della «piattaforma whistleblowing»: adeguate garanzie di rispetto di
➢ indipendenza
➢ riservatezza
➢ protezione dei dati e segretezza
◼ Il profilo della sicurezza: garanzia di ricevere ed esaminare nella massima
riservatezza le segnalazioni
◼ Trasferimento dati in paesi terzi
◼ DPIA3
Il seguito delle
segnalazioniIl seguito delle segnalazioni
Identificazione e regolamentazione
◼ Archiviazione della segnalazione
◼ Investigazione interna
➢ procedura
➢ DPIA
➢ informazioni al segnalato
◼ Diritti privacy del segnalante e del segnalato
◼ Eventuali terzi coinvolti nel trattamento e flusso trans-frontaliero di dati4
ConclusioniAvv. Francesca Gaudino
Partner, Head of Data Privacy and Cybersecurity
Studio Professionale Associato a
Baker & McKenzie
Piazza Filippo Meda, 3
20121 Milano
francesca.gaudino@bakermckenzie.com
Lo Studio Professionale Associato a Baker & McKenzie è parte di Baker & McKenzie International, uno studio legale
global con uffici sparsi nel mondo. In accordo con la comune terminologia usata nelle organizzazioni di servizi
professionali, il riferimento a "partner" indica una persona che ha posizione di partner, o equivalente, in questo tipo di
studi legali. Similarmente, il riferimento "ufficio" indica un ufficio di qualsiasi di questi studi legali.
© 2020 Studio Professionale Associato a Baker & McKenzie
bakermckenzie.comFRANCESCO ALBIERI
PRESIDENTE - AIIA
INTERNAL AUDIT AND COMPLIANCE DIRECTOR - WEBUILDA VOI LA PAROLA! Q&A session con i relatori 07/10/2021
ECEC 2021 GET IN TOUCH www.ecec-community.com
Puoi anche leggere
