Blog

Il mese scorso abbiamo parlato del nuovo obbligo di predisporre canali di segnalazione protetti per contrastare possibili illeciti e diffondere la cultura dell’etica e della legalità all’interno delle organizzazioni.

Abbiamo quindi parlato di whistleblowing, ossia di quelle disposizioni normative finalizzate alla protezione delle persone che segnalano violazioni di norme che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza in un contesto lavorativo.

Cerchiamo oggi di approfondire il risvolto specifico che ha il whistleblowing sul trattamento e sulla protezione dei dati personali di tutti gli attori coinvolti nel processo di segnalazione.

Trattamento dei dati personali

L’articolo 13 del D.lgs. n. 24 del 10 marzo 2023, inizia affermando un principio di fondo:

“Ogni trattamento dei dati personali, compresa la comunicazione tra le autorità competenti, previsto dal presente decreto, deve essere effettuato a norma del regolamento (UE) 2016/679, del decreto legislativo 30 giugno 2003 n. 196 e del decreto legislativo 18 maggio 2018 n. 51”.

Il trattamento dei dati personali deve quindi rispettare:

• il GDPR,
• il Codice Privacy,
• dove presente, la specifica normativa in materia di trattamento dei dati da parte di autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.

Adempimenti sul trattamento e sulla protezione dei dati personali

I soggetti individuati:

• per l’attivazione del Canale di segnalazione interno e/o,
• per la ricezione e la trattazione delle segnalazioni,

sono qualificati come responsabili del trattamento dei dati personali ex art. 28 del GDPR.

Pertanto, le realtà tenute ad applicare la normativa whistleblowing devono essere compliant in materia di privacy e protezione dei dati, applicando i seguenti adempimenti:

1. Ai soggetti segnalanti e alle persone coinvolte va fornita adeguata informativa sul trattamento dei loro dati personali a norma degli artt. 13 e 14 del GDPR.
2. Va definito uno o più canali di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato.
   Ad esempio vanno attivati “canali di segnalazione, che garantiscano, anche tramite il ricorso a strumenti di crittografia, la riservatezza dell’identità della persona segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione”.
3. Tra le misure organizzative da adottare vi è la formazione del personale: “La gestione del canale di segnalazione è affidata a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione, ovvero è affidata a un soggetto esterno, anch’esso autonomo e con personale specificamente formato”.
4. Il trattamento va sottoposto a preventiva valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR: “I soggetti di cui all’articolo 4 definiscono il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base di una valutazione d’impatto sulla protezione dei dati […]”.
5. Il rapporto con eventuali fornitori esterni (es. fornitore della piattaforma) va definito ai sensi di quanto previsto dal GDPR o dalla Direttiva Polizia.
6. Le segnalazioni, interne ed esterne, e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto del principio di limitazione della conservazione (di cui all’art. 5, paragrafo 1, lettera e), del GDPR e dell’art. 3, comma 1, lettera e), del decreto legislativo n. 51 del 2018 di attuazione della Direttiva Polizia.
7. Il whistleblowing deve essere inserito quale attività di trattamento specifica all’interno del registro delle attività di trattamento ai sensi dell’art. 30 paragrafo 1 del GDPR.

Cosa possiamo fare per te

Spaziottantotto affianca aziende, enti pubblici e privati nella gestione degli adempimenti che riguardano il trattamento dei dati personali nel rispetto del GDPR. Inoltre, è in grado di assistere e agevolare l’adattamento aziendale alle nuove responsabilità legate al whistleblowing.

Per maggiori informazioni puoi scriverci all’indirizzo e-mail info@spazio88.com oppure contattare i nostri uffici dal lunedì al venerdì al numero di telefono +39 011 0122 331.