Il prossimo “Privacy Shield”: avvenimenti, criticità e possibilità aperte

Alla luce della novità di ieri, con il Garante italiano che ha – allineandosi ad altri “colleghi” europei – sanzionato l’uso di Google Analytics per il trasferimento di dati verso gli USA, ritenuto non conforme a GDPR, riteniamo molto interessante tornare sul tema degli accordi transatlantici USA-UE per (provare a) rendere lecita l’attività che coinvolge fornitori americani.

Gli avvenimenti principali: Max Schrems e la Corte di Giustizia UE

Il “Privacy Shield”, che permetteva il trasferimento di dati personali fra Unione europea e gli Stati Uniti, era un meccanismo approvato dall’Unione europea in seguito all’abolizione – sempre per mano della Corte di Giustizia UE – del suo predecessore, il “EU-USA Safe Harbour”.

Entrambi gli accordi definivano gli Stati Uniti come un Paese verso cui è possibile effettuare, secondo certe condizioni, un trasferimento dei dati di cittadini europei e/o persone comunque soggette alla normativa UE: ciò fino all’incontro-scontro con Max Schrems, giovane avvocato e attivista austriaco, che da anni sfida le politiche di trasferimento di dati verso gli USA attuate, in particolare, nell’ambito del social network “Facebook”.

Nel 2011, Max Schrems, dopo aver assistito a una lezione, in un’università della California, tenuta dal privacy lawyer di Facebook, si è reso conto che le politiche del social network non tutelavano la privacy degli utenti, e ha scaricato una copia da Facebook dei dati che lo riguardavano, in possesso della piattaforma. L’allora studente di legge ha trovato oltre 1.200 pagine di informazioni sul suo conto, contenenti anche tutti i messaggi scambiati sulla piattaforma, compresi quelli cancellati.

È iniziata così la battaglia legale, alla quale si sono aggiunte, in modo decisivo, nel 2013, le rilevazioni di Edward Snowden, ex tecnico della CIA, secondo cui anche il governo degli Stati Uniti poteva avere accesso ai dati di Facebook, e non solo i gestori del social.

La prima vittoria di Schrems è del 2015, quando la Commissione europea ha smantellato la struttura del Safe Harbour. Ma l’attivista ha proseguito ancora, e nel luglio 2020 la Corte di Giustizia dell’Unione europea ha emesso una nuova sentenza che ha abbattuto anche il Privacy Shield.

Max Schrems, nel frattempo, ha anche fondato una organizzazione no profit (“NOYB”, “None Of Your business”).

Cos’è rimasto in piedi dell’impianto legislativo per il trasferimento dei dati personali europei negli Stati Uniti?

La Corte di Giustizia, in relazione agli artt. 7 8 e 47 della carta di Nizza, in materia di protezione dei dati, su è espressa in merito alla normativa che imponeva a Facebook di mettere a disposizione delle agenzie di Intelligence americane i dati personali trasferiti, o quelli che Facebook raccoglieva dagli utenti.

In particolare, l’art 702 del FISA (“Foreign Intelligence Surveillance Act”) consente al Procuratore e al Direttore dell’Intelligence americana di autorizzare congiuntamente, previa approvazione della Corte ad hoc FISA, la sorveglianza di specifici utenti e dati mediante programmi di sorveglianza come PRISM e UPSTREAM. La Corte di Giustizia UE ha valutato anche la portata dell’Executive Order n. 12333, che consente alla NSA (“National Security Agency”) di accedere ai cavi sottomarini posti sotto l’atlantico (“dorsali di internet”) e di raggiungere i dati personali prima che essi arrivino negli Stati Uniti.

Il diritto degli Stati Uniti, secondo la sentenza della Corte di Giustizia, non prevede garanzie e limitazioni sui dati personali rispetto alle ingerenze autorizzate dalla sua normativa nazionale, e non assicura una tutela giurisdizionale effettiva degli interessati contro queste ingerenze. Restano tecnicamente validi, comunque, dopo la sentenza della Corte, tutti gli strumenti alternativi alla decisione della commissione europea, in particolare le Clausole Contrattuali Standard (in versione 2021) e le norme vincolanti di impresa (“Binding Corporate Rules”), seppure queste ultime siano utili solo a grandi (e poche) multinazionali.

Sono strumenti che non possono essere adottati solo formalmente: è necessario infatti che il Titolare del trattamento svolga sempre una valutazione caso per caso, in modo da assicurare mediante misure di sicurezza e misure supplementari che la normativa statunitense non interferisca con la protezione dei dati personali garantita dal GDPR. Se, alla fine di questa valutazione, il Titolare ritiene che non vi siano ancora adeguate garanzie, deve sospendere o porre fine al trattamento di dati personali verso gli USA.

È possibile allora ipotizzare un nuovo Privacy Shield?

Prendendo le mosse da ragionamenti di carattere storico, dato che già il primo Safe Harbour che esisteva fra Unione europea e Stati Uniti venne dichiarato invalido dalla CGUE e successivamente si arrivò a un altro compromesso, potenzialmente si potrebbe giungere a un altro accordo.

Il rischio concreto è che, per conflitto di normative interne, ora non si riescano mai a raggiungere gli standard di sicurezza previsti dall’unione europea: ciò seppure, rispetto al passato, si stanno comunque compiendo dei notevoli passi avanti, grazie ai meccanismi di cooperazione fra le Autorità Garanti europee e con l’interlocuzione tra Commissione UE e governo USA.

Ad esempio, è stato pubblicata una nuova versione delle Clausole Contrattuali Standard, che rivedono un meccanismo di trasferimento dei dati rimasto un po’ “abbandonato” negli anni, in quanto ancora riferito alla Direttiva del 1995 anche dopo l’avvento del GDPR; anche la pubblicazione da parte dell’EDPB delle Linee guida sul Trasferimento internazionale dei dati personali ha rappresentato, a parere degli esperti, una preziosa fonte di indicazioni e istruzioni, anche tecniche, per limitare i rischi e adeguare i trattamenti che comportano trasferimenti.

Rimane certa, per ora, la necessità di adottare un approccio concreto e non teorico nel trasferimento dei dati personali, valutando caso per caso con adempimenti come un attento data mapping e una valutazione relativa al trasferimento dei dati (c.d. “TIA”) quali potrebbero essere i rischi derivanti dal trasferimento di dati personali extra UE, valutando anche le misure alternative o le misure tecniche per rendere il trattamento il più possibile rispettoso dei diritti e delle libertà degli interessati.

_______________________________________________________

Immagine di copertina grazie a NASA on Unsplash

Non adottare il modello 231 è sinonimo di responsabilità per l’ente? La Cassazione risponde

Il modello di organizzazione e gestione (cd. MOG) previsto dal D. Lgs. 231/2001 è un importantissimo strumento di compliance aziendale, costituito da un insieme di protocolli che, se adottati dall’azienda e correttamente applicati, consentono di ridurre sensibilmente il rischio che i soggetti aziendali – apicali e/o sottoposti – commettano, nell’interesse o a beneficio dell’azienda stessa, illeciti penali.

Se, tuttavia, a fronte di una corretta predisposizione e attuazione del modello, un soggetto operante in ambito aziendale dovesse finire per commettere comunque uno degli illeciti (cd. reati-presupposto) indicati dal Decreto 231, il modello finirebbe allora per assolvere ad un’altra sua importantissima funzione tipica: quella cioè di esimere l’azienda dalla responsabilità amministrativa conseguente alla realizzazione del reato.

Appare allora chiaro che il modello risulta effettivamente efficace soltanto laddove scrupolosamente costruito – in seguito ad una precisa individuazione delle possibili aree di rischio relative alle attività aziendali – e applicato con coerenza e diligenza, non producendo alcun effetto benefico (né in termini di prevenzione di reati né in termini di esimente per la stessa azienda) nel caso in cui lo stesso dovesse rimanere relegato allo stadio di mero adempimento formale.

Se dunque la “nuda e cruda” adozione del modello non è di per sé sufficiente a fondare una legittima causa di esclusione di responsabilità per l’ente, è invece possibile affermare che la mancata adozione dello stesso possa fondare, sic et simpliciter, la responsabilità dello stesso?

Con una recentissima sentenza, la Cassazione scioglie il nostro dubbio.

Il fatto e le decisioni di merito

Il 14 aprile 2011 una donna rimaneva ferita ad una mano durante lo svolgimento della sua attività lavorativa, a causa di un incidente avvenuto durante l’interazione con un macchinario aziendale.

Con sentenza dell’11 gennaio 2021, la Corte di Appello di Venezia confermava la decisione del Tribunale di Vicenza, ascrivendo in capo all’ente una responsabilità amministrativa di cui al Decreto 231 in relazione all’art. 25-septies comma 3, in seguito alla riconosciuta responsabilità dei soggetti apicali in ordine alla commissione del reato-presupposto di lesioni personali colpose (art. 590, comma 3 c.p.), aggravato dalla violazione di norme prevenzionistiche.

I motivi della Corte veneziana erano sostanzialmente i seguenti:

  • l’azienda non si era opportunamente dotata di un modello corredato da apposite previsioni in materia di sicurezza sul lavoro;
  • il vantaggio conseguito dall’azienda si sostanziava nel risparmio si spesa in termini di tempo lavorativo da dedicare alla sua predisposizione ed attuazione;
  • l’azienda, non essendosi dotata di un modello, non aveva di conseguenza previsto un organismo di vigilanza che potesse monitorare lo stato dei macchinari.

La decisione della Cassazione

Con la sentenza n. 18413 dello scorso 10 maggio (consultabile per gli iscritti all’associazione Aodv), la Suprema Corte accoglie il ricorso dell’azienda, cassando con rinvio la decisione della Corte d’Appello.

Di seguito le perplessità della Corte e i motivi del rigetto.

1.Non appare chiaro il profilo di responsabilità dell’ente

La Corte d’Appello aveva fondato l’affermazione di responsabilità dell’ente sul presupposto della mancata adozione di un modello di organizzazione e gestione e, di conseguenza, sull’assenza di un organo di vigilanza deputato alla verifica dei sistemi di sicurezza dei macchinari.

Tali presupposti sono stati reputati insufficienti dalla Suprema Corte, posto che “la mancanza [del modello], di per sé, non può implicare un automatico addebito di responsabilità”.

2.È necessaria sussistenza di una colpa di organizzazione, con conseguente onere probatorio dell’accusa

Ribadendo alcuni concetti cardine della responsabilità amministrativa delineata dal Decreto 231, la Corte ha ripreso un concetto squisitamente giurisprudenziale (espresso nella sentenza n. 32899/2021 della stessa corte) di cd. colpa di organizzazione, concetto sostanzialmente assimilabile alla colpa della persona fisica autrice di un reato.

Tale colpa di organizzazione, che si concretizza nel dato di fatto di “non aver predisposto un insieme di accorgimenti preventivi idonei ad evitare la commissione di reati del tipo di quello realizzatosi” deve essere provata dall’accusa.

Più nello specifico, è necessario che (i) venga accertata la responsabilità penale della persona fisica che agisce nell’ambito di una organizzazione aziendale e (ii) che vengano individuati dei collegamenti tra il reato stesso e il concreto interesse dell’azienda.

In altri termini, è possibile affermare la responsabilità dell’ente soltanto a condizione che l’elemento finalistico della condotta dell’agente rispecchi unpreciso assetto organizzativo negligente dell’impresa.

La Corte veneziana, tuttavia, non è stata in grado di soffermarsi adeguatamente, nella propria decisione, sulla sostanza di tale colpa di organizzazione.

3.Contraddizioni insite alla sentenza di merito

La Corte, infine, ha ravvisato contraddizioni e discordanze sia di ordine fattuale che, più specificamente, giuridico.

Riguardo alle omissioni e violazioni delle norme prevenzionistiche e di sicurezza negli ambienti di lavoro, la Corte sottolinea che “gli aspetti che riguardano le dotazioni di sicurezza e i controlli riguardanti il macchinario specifico sul quale si è verificato l’infortunio, attengono essenzialmente a profili di responsabilità del soggetto datore di lavoro.

Tali profili, continua la Corte, nulla hanno a che vedere con l’elemento “colpa di organizzazione” : più correttamente, la responsabilità ricade allora esclusivamente sui soggetti apicali autori del reato-presupposto.

In merito alla doglianza inerente alla mancata previsione di un organismo di vigilanza, il giudice di merito ha poi dimostrato di non aver correttamente compreso la previsione di cui all’art. 6 del Decreto 231; questo, infatti, attribuisce all’Organismo di vigilanza il compito di sorvegliare e verificare la funzionalità e l’osservanza dei modelli richiamati dallo stesso articolo, e non di certo lo stato di manutenzione dei macchinari.

***

Restiamo allora in attesa di una nuova pronuncia della Corte territoriale, in cui i principi enunciati dalla giurisprudenza di legittimità dovranno essere calati nel caso concreto.

Vi terremo aggiornati.

___________________________________________

Photo by Tingey Injury Law Firm on Unsplash

Green Pass e gestione della pandemia Covid-19 in azienda: ultima fermata?

(articolo aggiornato al 29 aprile 2022, ore 18:30)

Come probabilmente chiunque avrà letto, siamo arrivati a ieri (28 aprile) – non esattamente “dopo Pasqua” come promesso – per una indicazione definitiva sulla situazione a partire dal 1 maggio prossimo.

Di fatto, nel weekend le aziende dovranno adattare le loro procedure di accesso e controllo della forza lavoro alla luce delle nuove disposizioni, in ottica Green Pass, ma non avranno molto tempo per interrogarsi sulla questione mascherine.

Come indica la foto di copertina, in ogni caso, credo che alcune misure di sicurezza (il lavarsi le mani prima di tutto!) resteranno ancora per un po’: vediamo però gli aspetti più concreti e qualche indicazione operativa della prima – e quasi ultima – ora.

Addio Green Pass

Non è stato prorogato il requisito relativo alla necessità di Green Pass per l’accesso ai luoghi di lavoro privati: pertanto, dal 1 maggio (domenica) – e quindi soprattutto da lunedì prossimo, 2 maggio, per chi non ha “turni” o aziende aperte la domenica – non sarà più necessario (nè consentito, a rigore) limitare l’accesso ai soli dipendenti che ne sono in possesso.

Attenzione: non imporre la necessità significa di fatto vietare il controllo della “Certificazione verde” ai lavoratori.

Si possono quindi archiviare e/o accantonare:

  • la procedura operativa relativa a tali aspetti (conservandone una copia per ogni futura eventuale necessità)
  • le informative privacy redatte come esposte in precedenza
  • i totem, le postazioni di verifica e la cartellonistica che riguardava l’accesso vincolato al luogo di lavoro.

Andranno quindi rimosse e/o disattivate le misure di controllo predisposte, con cancellazione degli eventuali dati conservati.

E le mascherine al chiuso?

Quanto alle mascherine, l’ordinanza firmata dal Ministero della Salute (disponibile qui) unicamente raccomanda l’utilizzo continuo (almeno sino al 15 giugno prossimo) ma non lo rende obbligatorio.

L’interpretazione maggiormente conservativa – come pubblicata da molti degli organi di stampa che ho avuto modo di consultare in questo frenetico venerdì – ritiene che restino in vigore gli accordi tra le parti sociali che consigliano l’uso continuato negli spazi al chiuso, anche in considerazione della normativa di salute e sicurezza sul lavoro di cui al D. Lgs. 81/08.

In proposito, una nota di Confindustria già menzionata nel precedente articolo (qui) lo riteneva un atto quasi dovuto, per evitare focolai incontrollati da questo momento e sino all’estate, quando speriamo anche i numeri di contagi e decessi inizieranno a calare, insieme ai bollettini giornalieri.

Cosa fare?

Al di là di archiviare il lavoro che negli ultimi due anni è stato fatto (di corsa, faticosamente, navigando tra norme scritte in fretta e all’ultimo, in modo contorto – ma per carità, sull’onda di un’emergenza mai vista prima) resta importante informare tutto il personale.

Si suggerisce prima di tutto, per entrambi i temi (Green pass e mascherine) di fare una breve comunicazione a tutto il personale, e in particolare a coloro che sono autorizzati al controllo, al fine di tenerli informati delle nuove disposizioni.

In un secondo momento, ma neanche troppo in là, bisognerà capire se ci sono dati personali conservati negli archivi aziendali, e prepararsi a cancellarli in ossequio al principio di conservazione limitata (data retention).

In proposito, sarebbe auspicabile ricevere indicazioni dall’Autorità Garante per confermare quanto la legge, ad oggi, lascia ipotizzare.

____________________________________________

Photo by Kelly Sikkema on Unsplash

Dark Pattern: tutto quello che (non) vedi

Inutile negare che gran parte della nostra vita si svolge ormai su internet: lavoriamo e programmiamo le nostre vacanze, impariamo a cucinare e, addirittura, troviamo l’amore.

Tutto on line.

Il denominatore comune di tutte queste attività?  La comunicazione ad altri dei nostri dati personali, tema sensibilissimo e spesso ancora sottovalutato dai “non addetti ai lavori”: in molti casi ad essere importante – e particolarmente delicata – non è tanto la comunicazione in sé dei propri dati, quanto l’esigenza di assicurare che essa avvenga in maniera consapevole e responsabile.

La questione passa inevitabilmente anche attraverso l’interfaccia grafica che ogni sito web o piattaforma decide di offrire, in quanto strumento capace di indirizzare fortemente l’utente nella definizione delle proprie scelte – e, talvolta, nell’esecuzione di azioni inconsapevoli – in materia di dati personali.

L’attenzione è quindi rivolta ai dark pattern.

Definizione e compatibilità con il GDPR

Per dark pattern, letteralmente – e a buona ragione – “percorso oscuro”, si intendono tutte quelle interfacce grafiche implementate dai siti web allo scopo di spingere l’utente a compiere azioni non desiderate (e potenzialmente dannose), o a seguire delle procedure così complesse da scoraggiarlo a prestare la giusta attenzione al controllo e alla protezione effettiva dei suoi dati personali.

Una “x” poco visibile, un percorso informativo lungo e tortuoso, frasi fuorvianti: ecco che – 9 volte su 10 – finiamo per cliccare su “accetta tutto” pur di proseguire nella nostra navigazione, accedere alle informazioni che ci interessano o vedere lo status o le stories di un amico o una persona di interesse.

Il paradosso, fondato su bias cognitivi ben studiati, è che l’utente si sente perfettamente “padrone” delle proprie scelte, nonostante in realtà sia stato a tutti gli effetti vittima di una manipolazione volta a fargli prendere esattamente quella specifica, “autonoma” decisione.

Ma può essere questo un consenso validamente prestato?

La valutazione sulla compatibilità di tali pratiche col GDPR passa necessariamente attraverso un’attenta analisi dei principi dettati in materia dalla normativa.

L’art. 4, paragrafo 11 GDPR ci fornisce una definizione di consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Perché un consenso possa dirsi libero, specifico, informato e inequivocabile è chiaramente necessario che il titolare del trattamento si sia lasciato innanzitutto ispirare dai principi generali sanciti dall’art. 5 GDPR, primo fra tutti il principio di liceità, correttezza e trasparenza.

Solamente mediante una comunicazione chiara e trasparente, infatti, le informazioni relative al trattamento risulteranno accessibili e facilmente comprensibili per l’utente, così da consentirgli di prendere decisioni consapevoli in ordine alla protezione dei suoi dati personali.

Particolarmente rilevante è anche il concetto di privacy by design, consacrato nell’art. 25 GDPR, secondo il quale l’attenzione alla protezione dei dati da parte del Titolare del trattamento deve essere integrata in ogni fase del ciclo di vita della tecnologia, partendo già dalla fase di progettazione del prodotto attraverso la predisposizione di misure tecniche ed organizzative adeguate – quali ad esempio la minimizzazione dei dati – e l’integrazione nel trattamento di tutte le garanzie necessarie al fine di soddisfare i requisiti del GDPR.

Le Linee Guida EDPB

Le recenti Linee Guida emanate dallo European Data Protection Board (“EDPB”) – al momento solo in lingua inglese, e rese disponibili per consultazione pubblica sino al 2 maggio prossimo – ci forniscono una elencazione dettagliata di tutti i diversi tipi di dark pattern, raggruppati in sei macrocategorie:

  1. Overloading: gli utenti vengono sommersi da una grande quantità di informazioni, opzioni e richieste al fine di spingerli a fornire più dati personali di quelli effettivamente necessari;
  2. Skipping: l’interfaccia grafico del sito è strutturato in modo tale che l’utente non presti la giusta attenzione alla protezione dei propri dati personali;
  3. Stirring: viene fatta leva sull’emotività dell’utente per condizionarne le scelte, oppure si ricorre ai cd. visual nudges, strumenti cioè in grado di alterare i comportamenti delle persone senza proibire però la loro scelta di altre opzioni (è questo il caso della “x”: c’è, ma è difficilissima da trovare);
  4. Hindering: viene posto un ostacolo nel processo di informazione o gestione dei dati personali, attraverso azioni e procedure complicate o impossibili da portare a termine;
  5. Fickle: il design dell’interfaccia risulta poco chiaro, diventando così arduo per l’utente navigare tra i differenti strumenti di controllo dei dati;
  6. Left in the dark: l’interfaccia è strutturato in modo tale da nascondere le informazioni utili e gli strumenti di controllo o da lasciare l’utente incerto sulle concrete modalità di esercizio dei propri diritti.

Il caso Google

È proprio degli ultimi giorni la notizia per cui l’Associazione per la protezione dei consumatori (Consumer Advice Center) della Renania Settentrionale-Vestfalia ha annunciato di aver avviato una causa contro Google.

Le motivazioni riguardano l’uso da parte del colosso informatico di cookie banner strutturati in maniera tale da rendere oltremodo gravoso il rifiuto dei cookies da parte degli utenti nel corso della loro navigazione, in aperto contrasto dunque tanto con la normativa tedesca quanto con quella europea, non solo relativa al GDPR ma anche alla c.d. Direttiva ePrivacy di cui è in discussione, allo stato, un aggiornamento tramite lo strumento (come per il GDPR) del “Regolamento”.

Mentre per l’accettazione dei cookies basta un semplice click, insomma, per il rifiuto l’utente si trova costretto a dover deselezionare manualmente tre categorie di cookies, prima che Google gli consenta di procedere alle sue ricerche.

In proposito, anche l’Autorità Garante di Amburgo (Germania) ha recentemente assunto la medesima posizione, sia in riferimento al banner del motore di ricerca che a quello della piattaforma di video streaming YouTube, ponendosi nel solco di altre precedenti decisioni – e sanzioni salatissime – in materia, tra cui vanno ricordate soprattutto quelle erogate dal CNIL (Autorità francese) a inizio anno proprio contro Google oltre che verso Facebook.

Best practices: come disegnare un’interfaccia utente rispettosa della normativa

Di seguito riportiamo alcune delle raccomandazioni contenute nelle Linee Guida EDPB 3/2022 per strutturare le interfacce web (di siti e piattaforme) in maniera conforme a quanto previsto dalla normativa europea.

Per quanto riguarda la privacy policy:

  • aggiungere link ipertestuali diretti che reindirizzino gli utenti alle parti più importanti della privacy policy (la quale dovrebbe essere il più possibile chiara e sintetica);
  • consentire ad esempio mediante menù a tendina una overview della policy, in modo che gli utenti siano in grado di trovare facilmente la sezione di loro interesse;
  • fornire sempre, in caso di uso di termini tecnici o di linguaggio non comune, definizioni comprensibili;
  • in aggiunta alle informazioni obbligatorie, fare degli esempi per rendere i concetti più “tangibili” per gli utenti;
  • indicare espressamente e chiaramente l’Autorità Garante competente, aggiungendo al sito un link alla pagina ufficiale per eventuali lamentele;
  • se la privacy policy viene modificata, rendere accessibile di volta in volta la/le precedente/i versione/i.

Con riferimento invece alle meccaniche di relazione con gli utenti:

  • prevedere un sistema di iscrizione chiaro e semplice;
  • fornire un pannello utente che permetta una selezione immediata delle preferenze in materia privacy;
  • prevedere meccanismi di cancellazione dell’utente diretti e immediati, che comunichino le opzioni disponibili (sospensione, cancellazione, ecc.) e spieghino cosa avverrà dei dati in seguito.

In ultimo, come già anticipato, la parte finale delle Linee Guida EDPB (sez. IV) scende nei dettagli delle pratiche da non seguire, a pena di violare i principi di accountability, trasparenza e data protection by design che possono poi comportare, a carico del Titolare del trattamento (quindi del sito web o della piattaforma) sanzioni economiche (anche pesanti) e il blocco dei dati ottenuti in violazione della normativa applicabile.

____________________________________________________

Photo by Dan Asaki on Unsplash

Novità in materia di Green Pass e gestione dell’emergenza Covid-19

Con la pubblicazione del Decreto Legge 24 marzo 2022, n. 24 il Governo italiano ha nuovamente modificato – questa volta in senso permissivo – la regolamentazione dell’uso e controllo del c.d. “Green Pass”, ossia la certificazione verde Covid-19 di cui abbiamo già riportato nei nostri precedenti articoli, all’introduzione qui ed in seguito qui.

Cosa cambia

Anche se la curva dei contagi non accenna a scendere, è stata decretata la fine dello “Stato di Emergenza” deliberato nel 2020 all’inizio della epidemia pandemica.

Con questa impostazione, vanno necessariamente a decadere una serie di restrizioni alla libertà di circolazione, interazione e comportamento poste a carico della collettività, tra cui appunto l’impiego del Green Pass in ambito – per quel che qui conta – lavorativo e aziendale.

Il Decreto fissa una sorta di percorso di “normalizzazione”, tant’è che i titoli degli artt. 6 e 7 sull’utilizzo del Green Pass base e rafforzato recano appunto la dicitura “Graduale eliminazione (…)”.

Un primo tema, riguardo l’accesso ai luoghi di lavoro, è regolato proprio dai menzionati articoli, laddove – pur estendendo di fatto lo Stato di Emergenza al 30 aprile, anche se non espressamente – si passerà dal 1 aprile all’utilizzo della versione base, per poi dal 1 maggio eliminare completamente la necessità di controllo ed esibizione della certificazione verde.

In proposito, resta comunque l’obbligo vaccinale per gli over 50, anche se non sarà più un pre-requisito per l’accesso in azienda, rimanendo unicamente sanzionabile in caso di controllo delle forze dell’ordine.

Un altro punto focale è l’uso delle mascherine sul luogo di lavoro, che parrebbe – a quanto si legge dal dettato normativo – prolungato solo sino al 30 aprile 2022.

E dopo? Molti si interrogano già da tempo sul bilanciamento tra garanzia di sicurezza e salute del personale in azienda, tra i compiti posti a carico del Datore di Lavoro ai sensi del D. Lgs. 81/2008, e libertà personale.

Una risposta certa, ad oggi – ma lo abbiamo ormai imparato – non c’è, e pare non arriverà prima degli ultimi giorni del mese di aprile, quando dobbiamo aspettarci una circolare o altro testo integrativo della situazione attualmente disegnata da questo Decreto Legge.

Tuttavia, una nota di Confindustria recentemente circolata propende, come diverse voci autorevoli nel settore, per una certa prudenza nell’abbandono delle mascherine in ambito lavorativo, anche alla luce dei contagi che non accennano a calare.

Piccola nota conclusiva in materia di trattamento di dati personali, con l’art. 13 che prevede il prolungamento dell’uso delle informazioni raccolte durante il periodo pandemico da parte del Ministero della salute di concerto con l’Istituto Superiore di Sanità, ai fini di monitoraggio della situazione, fissando altresì per legge l’esatta base giuridica da applicarsi (art. 9(2) lett. i) e j) del GDPR) e le modalità di condivisione dei dati con soggetti terzi per fini di elaborazione, ai sensi dell’art. 28 GDPR (nomina a responsabile).

Cosa fare in azienda

Di fondamentale importanza è passare, dal 1 aprile, alla verifica “base” del Green Pass per tutti.

In tal senso, ci si augura che sia l’app VerificaC19 che il portale INPS GreenPass50+ vengano prontamente aggiornati, eliminando rispettivamente la modalità di verifica chiamata “LAVORO” e le specifiche relative agli over-50 ove non vaccinati o guariti.

In ogni caso, sia le app locali che gli eventuali totem o verificatori all’accesso dovranno essere aggiornati e impostati correttamente: permane ancora la necessità di esporre e tenere a disposizione di tutti le informative privacy predisposte, nonché l’ulteriore documentazione – tra cui il protocollo di sicurezza – al fine di mantenere ancora ben ordinate le verifiche, almeno sino a tutto il 30 aprile 2022.

In seguito, si vedrà, come siamo ormai ben abituati a fare. Speriamo, solo, che tutto vada per il meglio e le restrizioni finalmente vengano eliminate in ragione di un effettivo calo dei contagi.

_________________________________________

Photo by Jason Hogan on Unsplash

Cookie: a che punto siamo?

Nelle ultime settimane, al di là della fatidica data del 10 gennaio in cui le Linee Guida in materia cookie del Garante italiano sono divenute “applicabili”, si sono succeduti diversi eventi che hanno modificato il quadro della gestione, da parte delle aziende, di questo aspetto tanto importante quanto spinoso.

Vediamo allora gli elementi che si possono derivare dalle più recenti decisioni e novità.

La decisione dell’Autorità austriaca

L’uso di Google Analytics (“GA”) comporta il trasferimento di dati verso gli U.S.A. (oltre che verso altri paesi considerati non adeguati, stante il posizionamento dei server di Google in diverse parti del mondo).

L’uso di tale tool di statistiche, retargeting e adv implica inoltre la possibilità per il gigante di Mountain View di re-identificare gli utenti anche laddove si utilizzino cookie con IP “troncato”.

Per queste ragioni, l’Autorità di Vienna ha deciso di porsi nel solco della decisione “Schrems II” e di dichiarare illegittimo l’uso di tale tool, anche laddove il titolare del sito web lo utilizzo esclusivamente per attività di statistica dell’utilizzo del proprio portale.

La posizione del Garante belga

Con il provvedimento del 22 gennaio 2022, l’Autorità in oggetto ha chiarito alcuni punti ulteriori e fondamentali di come interpretare e maneggiare i cookie:

  • i cookie “tecnici” sono esclusivamente quelli che permettono all’utente di compiere attività e utilizzare funzioni “base” del sito web, e sono forniti dalla prima parte (cioè il proprietario del sito);
  • per tutti gli altri cookie e identificatori, anche e soprattutto quelli che “chiamano” funzionalità e servizi esterni al sito web visitato, è necessario il consenso;
  • detto consenso può essere raccolto per categorie;
  • la pratica di utilizzare un link su “come gestire i cookie nel browser” è comprensibile e corretta verso l’utente.

In Francia, il CNIL sanziona Google e Facebook

All’inizio di gennaio, l’Autorità francese ha emanato due sanzioni pesantissime nei confronti dei principali player del mercato adv, proprio per l’utilizzo non conforme alla normativa GDPR dei cookie e tracciatori online.

In particolare, il Garante transalpino ha ritenuto che i due soggetti sanzionati abbiano volontariamente reso complesso e arduo per l’utente rifiutare l’uso dei cookie, rispetto invece alla fornitura di un “comodo” pulsate di accettazione dell’intero pacchetto di identificatori.

Tale pratica, come le più note tecniche di c.d. “dark patterns” che disegnano flussi di accettazione che favoriscono (illecitamente) l’assenso e non il rifiuto dei cookie, sono ritenute illegali e pericolose, in quanto minano alla base la natura libera da vincoli del consenso richiesto.

Questa specifica decisione ha anche costituito un interessante precedente in merito alla competenza dell’autorità, in quanto Google e Facebook asserivano fosse la DPC (irlandese, quindi) il Garante che – in forza del meccanismo one-stop-shop – avrebbe dovuto decidere il caso.

E in tale sede, come per altre vicende, sappiamo che le cose vanno tendenzialmente molto più per le lunghe.

Quindi?

Restiamo alla finestra, sapendo anche che NOYB (con Max Schrems alla guida) ha inviato numerose contestazioni anche al Garante italiano.

Forse, prima dell’estate, avremo anche noi il primo “leading case” nostrano in materia, e il quadro diverrà un po’ più chiaro tra GDPR, Direttiva ePrivacy tutt’ora in vigore (del Regolamento ePrivacy non si hanno notizie da parecchio) e interpretazione “locale” del mondo cookie.

Intanto, prossimamente proveremo ad approfondire il tema delle “alternative plausibili” a Google Analytics.

_____________________________________________

Photo by Sara Sperry on Unsplash

Privacy e tutela del consumatore – Considerazioni a margine dei “Digital Service” e “Digital Markets” Acts

La protezione dei dati personali e la tutela del consumatore sono, oggi più che mai, tematiche connesse tra di loro: animate entrambe da una comune intenzione difensiva rispetto alle asimmetrie e alle distorsioni, si confrontano con un contesto sociale ed economico profondamente mutato dalle nuove tecnologie.

La disciplina della privacy, in particolare, si è fatta carico di rispondere alle esigenze di tutela del contraente debole che la digitalizzazione delle nostre vite ha lasciato emergere e che la pandemia ha esacerbato: in questo senso, è riconosciuta oggi come uno strumento particolarmente adeguato a questa funzione, come elemento trasversale alla data economy in quanto i dati personali sono, sostanzialmente, ovunque.

La situazione e gli interventi delle Autorità

Le Autorità Garanti di numerosi Paesi si confrontano di frequente con fenomeni invasivi, quali ad esempio telemarketing e furto di identità.

Il primo è spesso stato inquadrato in un più ampio sistema aziendale di violazione sistematica della privacy dei consumatori, fatto anche di assenza di informative adeguate, la cessione senza controllo dei dati personali e il contatto reiterato e invasivo al privato.

Il secondo fenomeno, che ha avuto come sfondo la progressiva liberalizzazione del mercato dell’energia e del gas, riguarda più o meno sofisticate forme di falsificazione di contratti di somministrazione, mediante l’utilizzo di dati personali dei clienti (in particolare, copia di documenti di identità) a loro insaputa.

Nonostante in diverse pronunce le autorità hanno preso posizione su questi temi in modo risoluto, la sensazione diffusa è quella del permanere di numerosi interrogativi e “vuoti” di tutela, i quali richiedono interventi più organici e trasversali all’esito di un ripensamento profondo delle normative applicabili.

L’azione della Commissione Europea

In quest’ottica le proposte della Commissione europea sul “Digital Service Act” e sul “Digital Markets Act” si muovono nella direzione dell’adeguamento delle tutele del consumatore a una realtà molto particolare come quella digitale: ciò, in primo luogo, attraverso il riconoscimento all’utente una gamma di strumenti di intervento volti a promuoverne, anche in forma proattiva, la tutela ad ampio spettro; in secondo luogo, attraverso il rafforzamento degli obblighi e, di conseguenza, la responsabilizzazione delle piattaforme digitali.

Sul piano della prevenzione, emerge inevitabilmente la necessità di una garanzia della libertà cognitiva del consumatore, intesa come il diritto di non subire il potere pervasivo di condizionamento derivante dal c.d. “microtargeting“.

Con tale espressione si intende il meccanismo volto a potenziare la capacità persuasiva della pubblicità, adattando il messaggio ai dati desunti dalla profilazione mediante algoritmo; esso è quindi teso a influenzare e orientare le scelte di consumo degli utenti, proponendo loro i prodotti o i servizi ritenuti suscettibili di gradimento secondo le stime predittive degli algoritmi digitali.

I meccanismi di tutela previsti dalle proposte di legge

La massima tutela è considerata risiedere, oggi come in passato, nel presidio dell’autodeterminazione di ciascuna persona fisica: quindi nel consenso specifico, inequivoco e informato. In una parola, nel “consenso consapevole“.

Anche per questo le Autorità insistono da tempo sull’educazione digitale quale necessario presupposto di scelte libere e consapevoli, tanto difficili quanto indispensabili al tempo della c.d. “zero-price economy“, in cui servizi – apparentemente gratuiti – sono pagati al caro prezzo dei dati personali e, di conseguenza, della libertà degli utenti ristretta da algoritmi presuntivi basati sulle scelte di consumo desiderate dagli OTT e/o dalle aziende.

Sul piano dei rimedi, un impulso importante al rafforzamento delle garanzie dei consumatori può venire dalle tutele collettive, ammesse anche nel settore privacy dal GDPR e dall’ammissibilità di azioni rappresentative avanzate da associazioni per la tutela degli interessi dei consumatori.

Le forme di tutela previste dalle nuove normative mirano, in definitiva, a supportare l’avvio della protezione collettiva del singolo, come persona e come consumatore, sulla scia di quanto fatto con il GDPR, volendo così rappresentare un efficace deterrente contro violazioni massive di dati personali.

____________________________________________

Photo by Ryoji Iwata on Unsplash

Aggiornamenti in materia di “Green Pass” sui luoghi di lavoro

*articolo ora aggiornato, qui*

Da domani 15 febbraio 2022 entra in vigore l’obbligo, per i soggetti oltre i 50 anni di età (compiuti o da compiersi entro il 15 giugno), di accedere ai luoghi di lavoro dotati di vaccinazione per Covid-19 – per cui la relativa imposizione è divenuta effettiva lo scorso 1 febbraio in forza dell’art. 4-quinquies D.L. 44/2021 (come introdotto dall’art. 1 D.L. 1/2022).

Conseguenze operative

Sarà ora necessario, per i soggetti con data di nascita anteriore al 16 giugno 1972, esibire il c.d. “Green pass rafforzato” all’accesso in sede, da verificarsi sempre tramite utilizzo della App “Verifica C19” e/o altri sistemi automatizzati, se presenti.

Solo e soltanto in sede di controllo dei soggetti interessati, pertanto, sarà necessario utilizzare la modalità “rafforzata” della verifica all’interno della App, in quanto per tutti gli altri lavoratori restano valide le precedenti modalità di verifica “base”, quindi anche da tampone antigenico o molecolare.

In proposito, va notato che l’app Verifica C19 riporta ora la modalità “LAVORO”, come precisato dal Ministero della Salute (QUI), con cui effettuare automaticamente la selezione corretta del tipo di Green Pass da verificare. Non è quindi necessario verificare la data di nascita del soggetto esaminato: il colore verde conferma la validità del Green Pass in azienda.

In caso di mancanza della certificazione verde di tipo adeguato restano altresì valide le medesime conseguenze di cui al protocollo oggi vigente, e pertanto l’assenza “ingiustificata” senza conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro fino alla presentazione di adeguata certificazione, sino a tutto il 15 giugno 2022. Anche le sanzioni in caso di mancato possesso a seguito di controlli restano le medesime.

Come e su cosa intervenire

In primo luogo è necessario procedere ad informare i soggetti verificatori di tale variazione delle impostazioni della App che utilizzano regolarmente, precisando altresì che, in caso di dubbio sull’età effettiva della persona verificata, è sufficiente esaminare l’esito della verifica e richiedere – se necessario – un documento di identità al soggetto verificato.

Anche il procotollo interno avrà necessità di un minimo aggiornamento, anche laddove riporti i riferimenti di legge che sono variati.

Nessuna modifica particolare, invece, pare necessaria per l’informativa relativa alla verifica del Green Pass, qualora essa non sia così approfondita da chiarire il livello di certificazione verde richiesta all’ingresso delle sedi aziendali: diversamente, anche qui i nuovi riferimenti di legge saranno da indicarsi puntualmente.

_____________________________________________

Photo by LYCS Architecture on Unsplash

Raccolta di spunti in materia Green Pass (14 ottobre 2021)

*articolo ora aggiornato, qui*

Riassumo qui i ragionamenti svolti nelle ultime ore, e pubblicati rapidamente su LinkedIn – oltre che inviati ai poveri clienti che navigano a vista, e che ringrazio sempre per la pazienza dimostrata in queste giornate turbolente!

Riporto qui la personale linea guida seguita: buonsenso, conoscenza delle norme (almeno, per come sono scritte), e interpretazione secondo l’obiettivo che ciascuna regola mira a raggiungere. Se non serve per tale scopo, una attività è superflua e inutile.

Checklist del 14/10 (pomeriggio)

Devo aver completato (e firmato o reso comunque ufficiale!) il mio protocollo utile sia sul fronte requisiti dell’art. 9-septies DL 52/2021 che per gestire gli aspetti privacy (non pochi). Uno fra tanti, tutto il flusso di comunicazione in caso di verifiche negative (tra verificatore, direzione, HR, consulente del lavoro per le paghe, referenti di funzione che gestiranno le assenze, e altri).

Devo aver dato le istruzioni ai “verificatori” che da domani inizieranno le attività di controllo, come organizzate su carta all’interno del protocollo: mi sono anche accertato che gli sia tutto chiaro, e che i loro nomi siano inseriti in una lista che potrei dover fornire all’autorità che viene a controllarmi.

Ho messo a disposizione di tutti i verificatori la informativa privacy in merito al trattamento dei dati (possibilmente, un documento snello – si può fare su una facciata: sono poche le informazioni essenziali, dato che ad es. ai dipendenti ho già fornito una precedente informativa generale!)

Se mi voglio sentire sicuro, ho previsto un verbalino da far compilare ai verificatori con dati SOLO STATISTICI sui controlli svolti: niente dati personali (tranne il loro nome e firma..)

Ho infine nominato e istruito i miei fornitori a supporto per gli specifici trattamenti previsti (consulente del lavoro per le paghe, vigilanza, altri)

Sono a posto? Forse.

Se non l’ho già fatto, potrei mandare una mail a tutti, lavoratori consulenti e fornitori, per ricordargli che domani entra in vigore l’obbligo? Si, per trasparenza (soprattutto verso i lavoratori), ma state certi che ciascun fornitore ne avrà ricevute molte, e sarà informato di sicuro della cosa.

Le fonti sono i Decreti Legge (ancora da convertire), i DPCM come da ultimo aggiornati (e non ancora interamente pubblicati), le FAQ del Governo (non ancora fonte di legge, almeno per ora!) e le posizioni espresse dall’Autorità Garante.

Spunti di mercoledì 13/10

A poche ore dall’entrata in vigore della obbligatorietà del possesso della certificazione verde Covid-19 per l’accesso ai luoghi di lavoro, arrivano gli ultimi aggiornamenti (e qualche cantonata, a cui siamo tutti esposti in questo periodo convulso)

FAQ del Governo, in cui si legge che “il datore di lavoro deve (…) effettuare una segnalazione alla Prefettura ai fini dell’applicazione della sanzione amministrativa” in caso di verifica di un lavoratore sprovvisto del Green Pass. In che modo? E poi, sempre o solo se il lavoratore è entrato (e non se lo si respinge all’ingresso)? Non è chiaro, nè chiarito. Ma si “colora” l’art. 9-septies ultimo comma di una lettura che prima veniva considerata esclusa (quella del “soggetto incaricato dell’accertamento” individuato – inizialmente – solo nella forza pubblica).

Il Garante Privacy a approvato lo schema di DPCM di aggiornamento dell’uso di VerificaC19 e app complementari: SI ai totem e altri meccanismi automatizzati, nel rispetto del GDPR, SI alla piattaforma unica per la verifica massiva ma sempre con determinate cautele e con minimizzazione dei dati trattati. Nuovamente un chiaro NO alla conservazione dei dati estratti dalla verifica del Green Pass, per “schedature” del personale.

Confindustria ha pubblicato diverse (interessanti) note di aggiornamento e modelli, che hanno però creato una certa confusione, insieme a qualche passaggio di un articolo del Sole24ore. Chiariamoci: NO alla conservazione dei dati personali dei verificati, SOLO annotazione di eventuali situazioni di assenza del Green Pass per la finalità – esclusivamente – di gestione delle conseguenze lavoristiche e organizzative. Quindi i diversi “verbali” circolati come modelli vanno depurati delle colonne relative ai dati personali (la finalità di questi report è, in effetti, solo quella di comprovare la consistenza delle verifiche, se svolte a campione).

Nuove norme per il “whistleblowing”

Sembra ormai di imminente emanazione il Decreto Legislativo che, attuando la Legge di Delegazione Europea n. 53 del 23 aprile scorso, applicherà nell’ordinamento nazionale, i princìpi della Direttiva UE 2019/1937 riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione”, la cui pagina informativa è raggiungibile a QUESTO LINK.

Nel frattempo, il panorama normativo in materia si è arricchito – da poche settimane – delle importanti Linee Guida ANAC, emanate con la Delibera n. 469-2021 del 9 giugno 2021, con cui l’Autorità, nel rivolgersi alle Pubbliche Amministrazioni, ha imposto l’obbligo di tutelare fortemente chi segnala illeciti.

Il quadro normativo in divenire

La normativa di prossima introduzione impatterà, modificandola ed adeguandola, sulla disciplina di cui alla Legge n. 179 del 30 novembre 2017 che costituisce – ad oggi- la normativa di riferimento in materia di “whistleblowing”.

La pagina informativa è raggiungibile a QUESTO LINK.

Come noto, la l. 179 del 2017 aveva introdotto:

  1. Il principio di segretezza sull’identità del segnalante di un illecito;
  2. Il divieto di trattamenti discriminatori o ritorsivi nei confronti degli autori delle comunicazioni;
  3. Sanzioni per eventuali atti discriminatori con previsione di reintegrazione nel posto di lavoro e di nullità di ogni atto contrario.

I nuovi criteri regolatori della materia

I princìpi ai quali il Governo dovrà attenersi nell’emanazione del nuovo Decreto Legislativo sono i seguenti:

A) Individuazione con maggiore specificità della figura della persona del segnalante.

La stessa andrà estesa anche ai lavoratori autonomi che prestino attività correlata all’ambiente di lavoro; ai componenti degli organi amministrativi, di vigilanza, azionari o ancora anche ai semplici volontari o tirocinanti; infine, a qualsiasi persona che operi anche sotto la direzione di appaltatori, subappaltatori e fornitori. 

Non dovranno essere esenti da tutela anche parenti o colleghi del segnalante.

In altri termini, appare evidente la necessità di ampliare e dettagliare la platea dei soggetti meritevole di tutela, come oggi identificata nella legislazione italiana.

B) L’adeguamento della Legge italiana con riferimento alle caratteristiche della segnalazione dell’illecito, che siano meritevoli di tutela.

Sarà sufficiente che il segnalante abbia ritenuto in modo ragionevole veritiere le informazioni evidenziate e che la comunicazione fosse necessaria per l’emersione di una violazione di pubblico interesse che rientri nella tutela di legge. Sarà da considerarsi, invece, assolutamente irrilevante il motivo che induce alla segnalazione stessa.

C) L’istituzionalizzazione della predisposizione di canali di segnalazione interna, rilevandosi nelle fattispecie concrete la difficoltà di avvalersi di vie di segnalazione esterna.

Ne deriva l’obbligo per l’azienda di garantire in tal senso procedure snelle ed efficaci, meglio se con il supporto di una adeguata soluzione tecnologica.

La norma dovrà tenere conto delle caratteristiche aziendali e favorire la diffusione del meccanismo di tutela anche in quelle di piccole dimensioni.

Le Linee Guida ANAC

Nel frattempo, le nuove “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54 – bis, del D. Lgs. 165/2001” vanno ad aggiornare quanto già fornito in passato in termini di istruzioni a tutte le Pubbliche Amministrazioni.

In particolare, nel disposto viene, ancora una volta, sottolineata l’importanza del ruolo svolto dai Responsabili della prevenzione della corruzione e della trasparenza. Sebbene infatti le segnalazioni possano essere indirizzate sia all’RPCT che all’ANAC, l’Autorità ha indicato la preferenza della prima garantendo così la che la diffusione resti “interna”.

Sarà, invece, ANAC, l’unica depositaria di eventuali comunicazioni di ritorsioni subìte da parte dei segnalanti.

Quanto alla tutela della riservatezza, essa appare particolarmente importante nel caso in cui il RPCT debba coinvolgere soggetti terzi a seguito della segnalazione. Si pensi, ad esempio, a quando si renda necessario coinvolgere l’Autorità Giudiziaria: l’RPCT dovrà mantenere sempre segreta l’identità del segnalante e, solo in caso di richiesta da parte del Pubblico Ministero, potrà comunicarla ma dovrà renderne edotto il segnalante stesso.

La disciplina del whistleblowing considera le segnalazioni di condotte illecite provenienti solo da soggetti tassativamente elencati: i dipendenti delle amministrazioni pubbliche, i dipendenti degli enti pubblici economici, i dipendenti di enti diritto privato sottoposti a controllo pubblico, i lavoratori e i collaboratori delle imprese fornitrici di beni o servizi e che realizzano opere in favore dell’amministrazione pubblica, con esclusione di stagisti e tirocinanti.

E’ necessario che il settore pubblico si doti di un sistema informatico in grado di supportare l’attività di compliance: è previsto il “modulo per la segnalazione di reati o irregolarità, ai sensi dell’art. 54-bis, d.lgs. 165/2001” finalizzato alla segnalazione di illeciti nonché di misure ritorsive.

Al fine di inoltrare le segnalazioni, la Delibera Anac prevede la piattaforma informatica ed il protocollo generale: quanto alla prima permette di creare segnalazioni, mediante la compilazione di un form apposito, che protegge l’identità del segnalante.

Il protocollo generale consente, invece, di trasmettere la segnalazione mediante consegna diretta all’Ufficio, ovvero tramite PEC, posta ordinaria o raccomandata. Alla luce di queste considerazioni, non resta che attendere l’impatto che il recepimento della Direttiva (UE) 2019/1937 avrà senz’altro sui profili operativi della normativa sul whistleblowing anche per il settore pubblico.

Le conseguenze operative

Sono intuibili le potenziali ricadute pratiche del combinato tra le nuove Linee Guida per il settore pubblico (e per gli operatori che ad esso si rivolgono) con la disciplina in corso di emanazione, che non potrà che tenerne conto.

In primo luogo, le aziende – anche laddove già ben strutturate con modelli organizzativi aggiornati – saranno chiamate ad adeguare le proprie procedure interne alle novità.

Dovranno anzitutto essere meglio individuate le caratteristiche soggettive dei segnalanti, così come dovrà essere puntualmente organizzata una efficiente canalizzazione, soprattutto interna, delle segnalazioni nel rispetto di segretezza, efficacia nonché della garanzia di assenza di ogni possibile ritorsione discriminatoria.

Ciò senz’altro in considerazione anche delle significative sanzioni in capo a chi non attuerà correttamente – ovvero disattenderà nella pratica corrente – le nuove e più dettagliate indicazioni normative.