DECRETO LEGISLATIVO 10 marzo 2023, n. 24
Attuazione della direttiva (UE) 2019/1937 del Parlamento Europeo e del Consiglio del 23 ottobre 2019
riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.
DATA PROTECTION IMPACT ASSESSMENT
Indice dei contenuti
VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI
(art.35 Regolamento UE/2016/679 GDPR)
Premessa
Ai sensi dell’art. 35 del Regolamento UE n. 2016/679 (in seguito anche “GDPR”), la DPIA corrisponde alla valutazione d’impatto del trattamento del dato sulla protezione dei dati personali, qualora il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, considerata la natura, il contesto e le finalità del trattamento.
Il GDPR introduce dunque una valutazione di stampo preliminare, che consente al Titolare del trattamento di prendere visione del rischio prima ancora di procedere al trattamento e di attivarsi perché tale rischio possa essere, se non annullato, quantomeno fortemente ridotto.
I principi fondamentali della DPIA risultano pertanto:
– i diritti e le libertà fondamentali dell’interessato, punto cardine dell’intero impianto del GDPR;
– la gestione dei rischi per la privacy, attraverso le misure tecniche ed organizzative, sia fisiche che logiche, di volta in volta adeguate rispetto al rischio.
Una DPIA poggia su due pilastri:
1. i principi e i diritti fondamentali, i quali sono “non negoziabili”, stabiliti dalla legge e che devono essere rispettati e non possono essere soggetti ad alcuna variazione, indipendentemente dalla natura, gravità e probabilità dei rischi;
2. la gestione dei rischi per la privacy dei soggetti interessati, che determina i controlli tecnici e organizzativi opportuni a tutela dei dati personali
La presente valutazione d’impatto è stata svolta e redatta dal Titolare:
xxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxx
Normativa di riferimento e Basi legali per la liceità del trattamento
Ai fini della redazione del presente atto si fa riferimento specificatamente ai seguenti atti normativi:
– Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
– Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” come modificato e integrato dal Decreto Legislativo 10 agosto 2018 n.101;
– Legge 30 Novembre 2017, n. 179 “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato.”
– Decreto Legislativo 10 marzo 2023, n. 24 “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.”
Panoramica del trattamento
Quale è il trattamento in considerazione.
Piattaforma Whistleblowing di:
FREELAND S.r.l.
part. iva 05031920480
Esso svolge funzioni di raccolta e gestione delle segnalazioni di illeciti per contrastare fenomeni corruttivi/illeciti, sia nelle imprese private sia nelle pubbliche amministrazioni.
Fondamento giuridico del trattamento.
Il fondamento giuridico del trattamento dei dati risiede nell’assolvimento di funzioni ed obblighi di legge
Quali sono le responsabilità connesse al trattamento.
Titolare del trattamento dei dati personali:
FREELAND S.r.l.
part. iva 05031920480
che ha nominato come Responsabile del “portale web”
xxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxx
Standard applicabili al trattamento.
Utilizzo di politiche privacy indicate nel Registro del Trattamento, in particolare si applicheranno le linee guida del Garante nazionale per la protezione dei dati.
Valutazione: Rischio Basso
Dati, processi e risorse di supporto
Quali sono i dati trattati?
La piattaforma informatica utilizzata consente la compilazione, l’invio e la ricezione delle segnalazioni di presunti fatti illeciti nonché la possibilità per l’ufficio dell’INCARICATO o RPC/ODV, che riceve tali segnalazioni, di comunicare in forma riservata.
Qual è il ciclo di vita del trattamento dei dati (descrizione funzionale).
Le segnalazioni non possono essere utilizzate oltre quanto necessario per dare adeguato seguito alle stesse. Le segnalazioni e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui all’articolo 12 del decreto legislativo 24 del 2023 e del principio di cui agli articoli 5, paragrafo 1, lettera e), del regolamento (UE) 2016/679 e 3, comma 1, lettera e), del decreto legislativo n. 51 del 2018.
Quali sono le risorse di supporto ai dati.
I dati sono gestiti mediante un’apposita piattaforma nel rispetto delle garanzie di riservatezza previste dalla normativa vigente. Le segnalazioni di illeciti da parte dei dipendenti e/o terze parti, come il dialogo con i segnalanti, sarà effettuato in modo anonimo così come previsto dal Decreto Legislativo 24 del 2023.
Il software open source GlobaLeaks??? è stato creato per permettere l’avvio di iniziative di whistleblowing in modo sicuro ed anonimo.
Valutazione: Rischio Basso
Principi Fondamentali
Proporzionalità e necessità
Gli scopi del trattamento sono specifici, espliciti e legittimi.
Il trattamento in questione comporta il conferimento all’INCARICATO o RPC/ODV, tramite compilazione di un form su apposita procedura web, di dati connessi alla condotta illecita.
I dati forniti verranno trattati esclusivamente per l’istruttoria della segnalazione ai sensi del Decreto Legislativo 24 del 10 marzo 2023, e sarà garantita la riservatezza della stessa, ad eccezione dei casi in cui sia configurabile una responsabilità a titolo di calunnia e di diffamazione ai sensi delle disposizioni del codice penale o dell’art. 2043 del codice civile e delle ipotesi in cui l’anonimato non sia opponibile per legge (ad esempio, indagini penali, tributarie o amministrative, ispezioni di organi di controllo). Pertanto, fatte salve le citate eccezioni, l’identità del segnalante non può essere rivelata senza il suo espresso consenso, e tutti coloro che ricevono o sono coinvolti nella gestione della segnalazione sono tenuti a tutelare la riservatezza di tale informazione.
In questo ambito, i trattamenti di dati personali effettuati dai soggetti obbligati possono essere considerati necessari per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento, con riguardo a categorie particolari di dati o a dati relativi a condanne penali e reati, possono, altresì, essere considerati necessari per l’esecuzione di un compito di interesse pubblico. Il trattamento dei dati personali è improntato ai principi di correttezza, liceità e trasparenza e di tutela della riservatezza e dei diritti dell’interessato, nonché agli ulteriori principi previsti dall’art. 5 del Regolamento.
Tali attività sono esplicitate attraverso specifica informativa ai sensi dell’articolo 13 del Regolamento Ue 679/2016 .
Valutazione: Rischio Basso
I dati raccolti sono adeguati, pertinenti e limitati a quanto è necessario in relazione alle finalità per cui sono trattati (minimizzazione dei dati).
In applicazione dei principi di pertinenza, adeguatezza e limitazione dei dati (c.d. minimizzazione dei dati) di cui all’articolo 5 , paragrafo 1, lettera c) GDPR, i sistemi informativi ed i programmi informatici utilizzati, sono configurati per ridurre al minimo l’utilizzazione dei dati personali e identificativi in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità.
Il trattamento dei dati personali verrà effettuato esclusivamente dall’INCARICATO o RPC/ODV, con l’utilizzo di procedure anche informatizzate, dotate di strumenti di crittografia per garantire la riservatezza del contenuto delle segnalazioni e della relativa documentazione, adottando misure tecniche e organizzative, fisiche e logiche, adeguate a proteggerli da accessi non autorizzati o illeciti, dalla distruzione, dalla perdita d’integrità e riservatezza, anche accidentali.
I dati verranno conservati per 5 anni e comunque per tutta la durata dell’eventuale procedimento disciplinare, penale. I dati personali non saranno comunicati ad altri soggetti, ad esclusione dei casi sopra indicati, così come non saranno oggetto di diffusione.
Valutazione: Rischio Basso
I dati sono esatti e aggiornati.
Al fine della verifica della correttezza e dell’aggiornamento dei dati si stabilisce la prima verifica entro tre mesi dalla redazione del presente documento.
Valutazione: Rischio Basso
Qual è il periodo di conservazione dei dati.
Ai sensi dell’articolo 14 del D.Lgs. 24 del 10 marzo 2023 le segnalazioni, interne ed esterne, e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui all’articolo 12 del decreto legislativo citato e del principio di cui agli articoli 5, paragrafo 1, lettera e), del regolamento (UE) 2016/679 e 3, comma 1, lettera e), del decreto legislativo n. 51 del 2018.
Valutazione: Rischio Basso
Misure a tutela dei diritti degli interessati
Come sono informati del trattamento gli interessati.
Ai sensi dell’articolo 13 del D.Lgs. 24 del 10 marzo 2023, ogni trattamento dei dati personali, compresa la comunicazione tra le autorità competenti viene effettuato a norma del regolamento (UE) 2016/679, del decreto legislativo 30 giugno 2003, n. 196 e del decreto legislativo 18 maggio 2018, n. 51.
I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati immediatamente. Sono fornite idonee informazioni alle persone segnalanti e alle persone coinvolte ai sensi degli articoli 13 e 14 del medesimo regolamento (UE) 2016/679 o dell’articolo 11 del citato decreto legislativo n. 51 del 2018.
Valutazione: Rischio Basso
Ove applicabile: come si ottiene il consenso degli interessati.
Il consenso degli interessati è espresso mediante l’accettazione delle condizioni di utilizzo della piattaforma di segnalazione.
Valutazione: Basso
Come fanno gli interessati a esercitare i loro diritti di accesso e di portabilità dei dati.
Gli interessati del trattamento hanno diritto di ottenere, nei casi previsti dal Regolamento, l’accesso ai dati personali, la rettifica, l’integrazione, la cancellazione degli stessi o la limitazione del trattamento ovvero di opporsi al trattamento medesimo (artt. 15 e ss. del Regolamento).
L’interessato potrà esercitare tutti i diritti di cui sopra inviando una e-mail all’indirizzo di posta elettronica DDDDDDDDDDDDDD@DDDDDDDDD.IT
Gli interessati che ritengano che il trattamento dei dati personali a loro riferiti avvenga in violazione di quanto previsto dal Regolamento hanno, inoltre, il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali, come previsto dall’art. 77 del Regolamento stesso, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).
Nella informativa presente sulla home page è indicato il riferimento del titolare del trattamento, del DPO/RDP (se nominato) e del Garante Italiano per la protezione dei dati personali, con gli indirizzi mail e fisici, ai quali rivolgersi per avere informazioni ovvero per segnalare eventuali violazioni.
Valutazione: Rischio Basso
Come fanno gli interessati a esercitare i loro diritti di rettifica e di cancellazione (diritto all’oblio).
Il diritto all’oblio si realizza automaticamente entro i termini previsti dalla norma per cui i dati sono conservati per cinque anni e comunque per tutta la durata dell’eventuale procedimento disciplinare. Oppure inviando una e-mail all’indirizzo di posta elettronica DDDDDDDDDDDDDD@DDDDDDDDD.IT
Valutazione: Rischio Basso
Come fanno gli interessati a esercitare i loro diritti di limitazione e di opposizione.
L’interessato potrà esercitare i diritti di limitazione ed opposizione inviando una e-mail all’indirizzo di posta elettronica DDDDDDDDDDDDDDD@DDDDDDDD.IT
Nella informativa presente sulla home page è indicato il riferimento del titolare del trattamento, XXXXXXXXXX ragione sociale XXXX e dell’DDDDDDD@DDDDD per la protezione dei dati personali in riferimento al D.Lgs.24 del 10 marzo 203 (Whistleblowing) e del GARANTE ITALIANO per la protezione dei dati personali, (GDPR) con gli indirizzi mail, ai quali rivolgersi per avere informazioni ovvero per segnalare eventuali violazioni.
Valutazione: Rischio Basso
Gli obblighi dei responsabili del trattamento sono definiti con chiarezza e disciplinati da una lettera d’incarico.
Sono contenute nell’atto di designazione a responsabile del trattamento.
Valutazione: Rischio Basso
In caso di trasferimento di dati al di fuori dell’Unione europea, i dati godono di una protezione equivalente.
Non è previsto alcun trasferimento al di fuori dell’Unione Europea.
Valutazione: Rischio Basso
Valutazione del sistema
Misure esistenti o pianificate
Crittografia
La piattaforma di segnalazione utilizza l’applicativo GlobaLeaks che implementa uno specifico protocollo crittografico realizzato per applicazioni di whistleblowing in collaborazione con l’Open Technology Fund di Washington. Ogni informazione scambiata viene protetta in transito da protocollo TLS 1.2+ con SSLLabs rating A+. Ogni informazione circa le segnalazioni e i relativi metadati registrata dal sistema viene protetta con chiave asimmetrica personale e protocollo a curve ellittiche per ciascun utente avente accesso al sistema e ai dati delle segnalazioni. Nessun dato viene salvato in chiaro su supporto fisico in nessuna delle fasi di caricamento Il sistema è installato su sistema operativo Linux su cui è attiva Full Disk Encryption (FDE) a garanzia di maggiore tutela dei sistemi integralmente cifrati in condizione di fermo e in condizione di backup remoto. Protocollo crittografico: https://docs.globaleaks.org/en/main/security/EncryptionProtocol.html.
Valutazione: Rischio Basso
Sicurezza dei documenti cartacei
I documenti cartacei vengono conservati dall’INCARICATO o RPC/ODV, in specifici raccoglitori in modo tale che non vadano dispersi e che non siano visibili a terzi non autorizzati, gli uffici devono essere chiusi e l’accesso consentito soltanto agli addetti o i soggetti autorizzati.
Valutazione: Rischio Basso
Specifiche Misure di Sicurezza
Il Titolare del trattamento e l’INCARICATO o RPC/ODV, previa valutazione dei rischi, mettono in atto misure fisiche e logiche, volte a:
• vietare alle persone non autorizzate l’accesso alle attrezzature utilizzate per il trattamento («controllo dell’accesso alle attrezzature»);
• impedire che supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate («controllo dei supporti di dati»);
• impedire che i dati personali siano inseriti senza autorizzazione e che i dati personali conservati siano visionati, modificati o cancellati senza autorizzazione («controllo della conservazione»);
• impedire che persone non autorizzate utilizzino sistemi di trattamento automatizzato mediante attrezzature per la trasmissione di dati («controllo dell’utente»);
• garantire che le persone autorizzate a usare un sistema di trattamento automatizzato abbiano accesso solo ai dati personali cui si riferisce la loro autorizzazione d’accesso («controllo dell’accesso ai dati»);
• garantire la possibilità di verificare e accertare gli organismi ai quali siano stati o possano essere trasmessi o resi disponibili i dati personali utilizzando attrezzature per la trasmissione di dati («controllo della trasmissione»);
• garantire la possibilità di verificare e accertare a posteriori quali dati personali sono stati introdotti nei sistemi di trattamento automatizzato, il momento della loro introduzione e la persona che l’ha effettuata («controllo dell’introduzione»);
• impedire che i dati personali possano essere letti, copiati, modificati o cancellati in modo non autorizzato durante i trasferimenti di dati personali o il trasporto di supporti di dati («controllo del trasporto»);
• garantire che, in caso di interruzione, i sistemi utilizzati possano essere ripristinati («recupero»);
• garantire che le funzioni del sistema siano operative, che eventuali errori di funzionamento siano segnalati («affidabilità») e che i dati personali conservati non possano essere falsati da un errore di funzionamento del sistema («integrità»).
E’ consigliato effettuare il trattamento delle segnalazioni illecite, esclusivamente tramite il sistema del portale web.
Valutazione: Rischio Basso
Accesso illegittimo ai dati
Quali potrebbero essere i principali impatti sugli interessati se il rischio si dovesse concretizzare?
Qualora fosse realizzato un accesso abusivo al sistema da soggetti attrezzati e travisati e fosse possibile asportare la memoria di massa senza il pronto intervento dei sistemi di sicurezza, i dati sarebbero crittografati, Quindi si tratterebbe di un impatto limitato.
Quali sono le principali minacce che potrebbero concretizzare il rischio?
Furto, Vandalismo.
Quali sono le fonti di rischio?
interne, esterne.
Quali misure fra quelle individuate contribuiscono a mitigare il rischio?
Specifiche Misure di Sicurezza sia fisiche che logiche.
Come è stimata la gravità del rischio, specialmente alla luce degli impatti potenziali e delle misure pianificate?
Limitato, poiché il sistema di crittografia e il posizionamento del computer di accesso in un locale sicuro e presidiato qual è l’ufficio dell’ODV rendono molto limitato il rischio di accesso abusivo ai dati e limitato il rischio di distruzione degli stessi.
Come è stimata la probabilità del rischio, specialmente con riguardo alle minacce, alle fonti di rischio e alle misure pianificate?
Limitata, sulla base delle misure pianificate.
Valutazione: Rischio Basso
Alla luce del piano d’azione, come è valutata la gravità di questo rischio (Accesso illegittimo ai dati)? Limitata
Modifiche indesiderate dei dati
Quali sarebbero i principali impatti sugli interessati se il rischio si dovesse concretizzare?
Qualora fosse realizzato un accesso abusivo al sistema da soggetti attrezzati e travisati e fosse possibile asportare la memoria di massa senza il pronto intervento dei sistemi di sicurezza, i dati sarebbero crittografati, Quindi si tratterebbe di un impatto limitato
Quali sono le principali minacce che potrebbero consentire la concretizzazione del rischio?
Errore materiale, evento doloso o abuso/violazione da parte degli addetti ai lavori, accesso ai dati da parte di soggetti esterni non competenti e non autorizzati.
Quali sono le fonti di rischio?
esterne, interne.
Quali misure, fra quelle individuate, contribuiscono a mitigare il rischio?
Specifiche Misure di Sicurezza fisiche e logiche.
Come è stimata la gravità del rischio, in particolare alla luce degli impatti potenziali e delle misure pianificate?
Limitata, il sistema di crittografia e il controllo logico degli accessi rende pressoché impossibile l’accesso ai dati ai fini della modifica se non ai soggetti autorizzati e quindi formati e competenti.
Valutazione: Rischio Basso
Perdita di dati
Quali potrebbero essere gli impatti principali sugli interessati se il rischio dovesse concretizzarsi?
Perdita delle informazioni
Quali sono le principali minacce che potrebbero consentire la materializzazione del rischio?
errore materiale, Furto, Vandalismo, danno o malfunzionamento del sistema di registrazione dei dati.
Quali sono le fonti di rischio?
esterne, interne.
Quali misure, fra quelle individuate, contribuiscono a mitigare il rischio?
Specifiche Misure di Sicurezza fisiche e logiche.
Come stimereste la gravità del rischio, specialmente alla luce degli impatti potenziali e delle misure pianificate?
Limitata, in quanto il server che ospita il servizio è collocato in ambiente sicuro in grado di garantire un elevato livello di resilienza ai guasti e ai disservizi nonché da un giornaliero backup. Il server è inoltre replicato su Datacenter distante oltre 100 Km. Il Backup prevede un sistema di retention di 30 giorni.
Come stimereste la probabilità del rischio, specialmente con riguardo alle minacce, alle fonti di rischio e alle misure pianificate?
I sistemi di sicurezza adottati rendono limitato il rischio.
Valutazione: Rischio Basso