Servizi whistleblowing alla luce della multa Meta - considerazioni da fare quando si sceglie un fornitore di servizi whistleblowing

di Mathilda Kronér e Henrik Almström, Morris Law.

Alla luce dell’ingente multa per il GDPR emessa dall’Autorità irlandese per la Protezione dei Dati (dopo la decisione vincolante del Comitato Europeo per la Protezione dei Dati) il 22 maggio scorso, le aziende dovrebbero mettere sotto osservazione i loro protocolli di conformità al GDPR. Azione fondamentale per garantire una gestione lecita in relazione al trattamento dei dati personali. Soprattutto quando si tratta di trasferire dati personali in paesi terzi come gli Stati Uniti. La necessità di garantire la conformità al GDPR e la sicurezza dei trasferimenti di dati personali è, da un punto di vista economico, più importante che mai.

La multa di 1,2 miliardi di euro inflitta a Meta, proprietario di Facebook, è da record. Questa sanzione costituisce un chiaro esempio per le conseguenze dell’uso improprio dei dati personali delle persone quando si trasferiscono i dati dall’UE agli USA.

La sicurezza prima di tutto – garantire un whistleblowing sicuro e la protezione dei dati personali

Una situazione di whistleblowing è per sua natura considerata delicata. Il processo spesso coinvolge dati personali sensibili che rientrano nell’ambito delle categorie previste dall’articolo 9 del GDPR o dati relativi a reati penali previsti dall’articolo 10 del GDPR. In considerazione di quanto sopra, è importante implementare procedure per garantire che il trattamento dei dati sia corretto e sicuro. Quando si scelgono o si forniscono servizi whistleblowing si deve quindi sempre considerare la sicurezza al primo posto.

Servizi whistleblowing con sede in America: sicuri da usare nell’UE?

I servizi whistleblowing comportano tipicamente il trasferimento dei dati personali inclusi nella denuncia all’azienda che funge da fornitore di servizi. Pertanto, è importante scegliere con cura i fornitori e i subfornitori e assicurarsi della loro conformità al GDPR, soprattutto perché il trasferimento può comportare il trattamento di dati personali sensibili. I trasferimenti di dati personali all’interno dell’UE/EES sono sicuri e completamente regolamentati dal GDPR.

La sentenza di alto profilo Schrems II ha dichiarato non valida la decisione della Commissione Europea sullo scudo per la privacy (Privacy Shield) come misura di sicurezza per il trasferimento di dati negli Stati Uniti. Questa decisione ha portato a requisiti legali rigorosi per quanto riguarda tali trasferimenti di dati negli Stati Uniti. L’ultima salvaguardia per i trasferimenti da paesi terzi, le Clausole Contrattuali Standard (SCC), dopo Schrems II deve essere modificata con misure di sicurezza aggiuntive per garantire la legittimità dei trasferimenti.

In particolare, questi requisiti si applicano non solo ai fornitori di servizi o ai server con sede negli Stati Uniti, ma anche ai fornitori di servizi e ai server con sede nell’U. Questi ultimi possono essere soggetti ai requisiti se operano sotto il controllo di società statunitensi. Ad esempio, tali fornitori di servizi possono avere sede nell’UE e utilizzare servizi di hosting di fornitori statunitensi come Amazon o Azure.

La catena del whistleblowing – la vostra responsabilità

Poiché il whistleblowing è legato al trattamento di informazioni sensibili, le aziende devono assicurarsi che sia sicuro inviare una segnalazione. Sia per motivi di conformità interna che per proteggere la privacy del segnalante.

Quando si utilizza un servizio whistleblowing esterno, nella maggior parte dei casi il fornitore del servizio agisce come incaricato del trattamento dei dati. L’azienda che acquista il servizio assume il ruolo di responsabile del trattamento dei dati. Poiché la vostra azienda agisce probabilmente come responsabile del trattamento dei dati quando acquistate un servizio whistleblowing, la vostra azienda ha la responsabilità di garantire l’applicazione di misure di sicurezza adeguate durante l’intera catena di trattamento. Ciò significa che la vostra azienda avrà la responsabilità di garantire che il trattamento sicuro non venga messo a repentaglio, ad esempio a causa della mancanza di misure di sicurezza da parte di un fornitore.

Come garantire un whistleblowing sicuro e conforme?

Innanzitutto, assumendo attivamente la responsabilità di responsabile del trattamento dei dati. Sia quando si sceglie un nuovo fornitore che quando si rivede quello attuale, è sempre opportuno richiedere informazioni sulla conformità legale del servizio. Ciò si riflette nell’articolo 28.1 del GDPR, secondo cui “il responsabile del trattamento si avvale esclusivamente di incaricati del trattamento che offrano garanzie sufficienti” per garantire un trattamento conforme al GDPR. In un mondo post Schrems II, ora ulteriormente esasperato dalla multa di Meta, ciò significa richiedere e ricevere informazioni rassicuranti su come il servizio fornito sia conforme. Un fornitore che non è in grado di fornire risposte rassicuranti almeno alle seguenti domande può costituire un rischio per l’assunzione (o il mantenimento dell’assunzione).

Per garantire che il vostro servizio whistleblowing sia conforme al GDPR, è meglio utilizzare un fornitore o un subfornitore europeo. In alternativa, quando è inevitabile utilizzare un servizio americano, l’azienda deve assicurarsi che i fornitori e i subfornitori americani possano dimostrare che il loro trattamento dei dati personali è conforme al GDPR.

1. I dati sono memorizzati all’interno dell’UE?
2. I dati sono memorizzati solo su server che non sono sotto il controllo di entità non residenti nell’UE?
3. In caso di risposta negativa, quali misure vengono adottate per garantire la conformità al GDPR/Schrems II e come viene verificato che tali misure siano valide e sufficienti?

Mentre le prime due domande offrono risposte semplici, l’ultima può comportare una valutazione complessa di ciò che è sufficiente o meno. Ai sensi del GDPR, il rischio di tali valutazioni ricade sul titolare del trattamento, spesso con possibilità limitate di trasferire contrattualmente il rischio al fornitore/incaricato.

Considerando la multa Meta, è importante una revisione generale dell’esposizione al rischio derivante dall’uso di fornitori, e i servizi whistleblowing dovrebbero essere in cima alla lista delle priorità.

Sei interessato a saperne di più sulla nostra piattaforma whistleblowing e sui canali di segnalazione interni sicuri? Scopri di più sulla Direttiva UE sul whistleblowing e sulla legge n.179/2017.
Volete saperne di più su un servizio di whistleblowing e su canali di segnalazione interni sicuri? Potete saperne di più sulla soluzione all-in-one di Whistlelink qui o prenotare una demo gratuita!