Whistleblowing: parere favorevole allo schema di decreto che recepisce la direttiva UE

Si tratta della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio detta, appunto, direttiva whistleblowing. L'obiettivo è quello di ricondurre ad un unico testo la disciplina della tutela dei soggetti che segnalano violazioni di norme, tra le quali figurano anche quelle in materia di privacy. Da tale contesto sono escluse, invece, le contestazioni o le rivendicazioni a carattere personale nei rapporti individuali di lavoro o di pubblico impiego nonché le segnalazioni di violazioni nell'ambito della sicurezza nazionale o di appalti relativi a profili di difesa o sicurezza nazionale.
Lo schema di decreto prescrive che il canale di segnalazione debba garantire l'assoluta riservatezza non solo del segnalante, ma anche delle altre persone coinvolte e del contenuto della segnalazione medesima, la quale può essere fatta in forma scritta (anche con modalità informatiche), orale, telefonica, tramite messaggi vocali ovvero mediante colloquio diretto. Tali modalità devono essere chiaramente pubblicate sul sito internet del datore di lavoro, oltre ad essere visibili e accessibili.
Attraverso le stesse modalità, poi, sarà possibile effettuare una segnalazione presso l'ANAC, nel caso di assenza o di inefficacia dei canali di segnalazione interni oppure in presenza di timori di ritorsioni o di pericolo per il pubblico interesse.
Per quanto concerne invece la conservazione delle segnalazioni, essa si estende per il tempo necessario alla definizione e comunque non può superare i 5 anni dalla data di comunicazione dell'esito finale.

Prime indicazioni sul Decreto Trasparenza

Nella comunicazione inviata al Ministero del Lavoro e all'INL in risposta ai quesiti ricevuti a imprese e P.A. emergono nello specifico le seguenti indicazioni:

• Maggiori controlli e garanzie rigorose ai fini dell'utilizzo di sistemi decisionali o di monitoraggio automatizzato del rapporto di lavoro, sia pubblico che privato;
• Conciliazione del Decreto Trasparenza con il rispetto del GDPR;
• Supporto dei datori di lavoro nella corretta esecuzione delle nuove disposizioni.

Inoltre, il Garante Privacy si è reso disponibile ad avviare un tavolo di confronto con il Ministero e con l'INL per definire la corretta interpretazione delle norme oggetto del Decreto Trasparenza, il quale, si ricorda, si applica ai contratti di tipo subordinato e ad altre forme di lavoro.
Il Garante ha sottolineato, poi, che l'impiego di sistemi particolarmente invasivi, come strumenti di machine learning, di rating e ranking, pone delle criticità in termini di riservatezza.

Sanità e uso di algoritmi: sanzionate tre ASL friulane

Mediante l'utilizzo di algoritmi, le ASL classificavano gli assistiti in relazione al rischio di avere o meno delle complicanze in caso di infezione da Covid-19, elaborando i dati presenti senza però predisporre una base normativa idonea, senza fornire agli interessati le informazioni necessarie e senza effettuare in via preliminare la valutazione d'impatto prevista dal Regolamento UE in materia di protezione dei dati.
Come spiega il Garante, la profilazione dell'utente del servizio sanitario può essere effettuata solo in presenza di un presupposto normativo idoneo, rispettando requisiti specifici e in presenza di adeguate garanzie per i diritti e le libertà degli interessati, tutti elementi assenti nel caso concreto, che è costato ben 55mila euro alle tre ASL friulane, che dovranno inoltre provvedere alla cancellazione dei dati elaborati.

Via libera alla nuova Carta della cultura

Sostituirà il Bonus 18app con lo scopo di promuovere e sostenere la lettura.
Si tratta nello specifico di una carta elettronica di importo pari a 100euro da utilizzare entro un anno dal rilascio a cittadini italiani e stranieri residenti in Italia ed appartenenti a nuclei familiari economicamente svantaggiati per acquistare libri, prodotti e servizi digitali.
Il nuovo Decreto ministeriale sottoposto al parere del Garante prevede il riuso delle “applicazioni software 18app” con analogo trattamento dei dati personali, restando conformi alla normativa privacy le categorie di dati trattati.
In ogni caso, l'Autorità invita ad effettuare, prima di avviare il trattamento dei dati previsti per la gestione della Carta, una valutazione d'impatto con le misure di sicurezza tecniche e organizzative idonee ad assicurare un livello di sicurezza adeguato e ad individuare i tempi di conservazione dei dati.