Whistleblowing e GDPR. È in dirittura d’arrivo il Decreto legislativo (che ha avuto anche il parere favorevole del Garante) di recepimento della Direttiva Ue 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione. Il documento è ancora in fase embrionale, come comunicato dal Consiglio dei Ministri in data 9/12/2022. La comunicazione dell’effettiva emanazione del Decreto dovrebbe arrivare comunque in questi giorni.
Il punto fondamentale del Decreto
Il Decreto, che nasce dalla necessità di uniformare le normative in materia di Whistleblowing, va a dare maggior rilievo al rafforzamento delle tutele dei segnalanti. L’iter di recepimento della direttiva è alle sue ultime battute, in quanto lo schema del decreto legislativo è, ora, sottoposto al vaglio del Parlamento italiano. In sostanza, il testo normativo, quando verrà emesso, di fatto, obbligherà le aziende a gestire il trattamento Whistleblowing e di conseguenza a effettuare una DPIA, come da Art.35 del GDPR. In questo sistema sono trattati dati ed informazioni delicati e che, pertanto, possono minare diritti e libertà del segnalante che potrebbe essere soggetto a possibili effetti ritorsivi e discriminatori.
Un esempio pratico
Facciamo un esempio pratico di una situazione tipo in cui un lavoratore viene a conoscenza di violazioni a danno dell’azienda in cui opera. Chiameremo il lavoratore signor Mario. Il signor Mario una sera decide di andare a cena con la moglie, nello stesso ristorante, pochi tavoli più in là, si trovano dei colleghi di lavoro che parlano tra loro di violazioni interne all’azienda (irregolarità contabili, o violazioni di norme ambientali o di sicurezza), pensando di non essere sentiti. Il signor Mario sente tutto, pur non essendo visibile ai colleghi. Che fare? Segnalare e seguire la legge tutelando l’azienda o, per timore di ripercussioni sul proprio lavoro, stare zitto? Proprio in relazione a situazioni come questa interviene la Direttiva che tutela il segnalante vietando alle aziende interessate di rivalersi con comportamenti ritorsivi e discriminatori nei confronti del Signor Mario.
Dati personali del segnalante
Il signor Mario ha deciso di segnalare. In che modo, con il nuovo decreto in arrivo, l’azienda deve tutelare il segnalante? La risposta ci viene fornita dal’art.13, comma 6 dello schema di decreto, che indica alle aziende come comportarsi. Le aziende devono definire:
Il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati.
Gestione delle segnalazioni
In riferimento al paragrafo precedente, le aziende dovranno svolgere una serie di attività operative:
- creazione di un canale di segnalazione (come, ad esempio, un software) che sia in grado di garantire sicurezza e riservatezza del contenuto della segnalazione e dell’identità del segnalante.
- svolgere una valutazione d’impatto – come da art.35 del GDPR – in ragione dell’alto rischio derivante dai trattamenti effettuati
- individuare uno o più soggetti dedicati alla gestione delle segnalazioni. Il soggetto può essere interno o esterno all’azienda
- predisporre una procedura gestionale
Il ruolo del consulente
Considerando che il nuovo decreto impone alle aziende la valutazione d’impatto, come da art.35 del gdpr:
Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
è importante porre l’accento sul ruolo del consulente in ambito privacy, considerando l’alto grado di tecnicismo richiesto da questi adempimenti. Primo tra tutti vi è la stesura di una Dpia, la quale richiede conoscenze tecniche tese ad individuare il rischio derivante dalle violazioni e dalle possibili conseguenze nell’ambito del trattamento dei dati personali. Proprio in ragione delle specifiche conoscenze richieste e della necessità di aggiornamenti periodici, appare chiaro il ruolo chiave del consulente privacy in tale ambito. Importante anche quello del DPO, figura che pur non stilando di norma una Dpia, deve rendere un parere al Titolare del Trattamento dei dati personali nel caso di trattamenti ad alto rischio.
Per informazioni sui nostri servizi
