Whistleblowing, cambia anche la Privacy: massima tutela per chi fa la segnalazione
A partire dal 15 luglio 2023 sono entrate in vigore le nuove disposizioni in materia di whistleblowing per le aziende del settore privato che, nell'ultimo anno, abbiano impiegato una media di almeno 250 lavoratori subordinati, con contratti a tempo indeterminato o determinato. Dal 17 dicembre, tali norme si applicheranno anche alle imprese con più di 49 dipendenti.
In termini di Privacy, ci sono alcuni aspetti cruciali da considerare: ne abbiamo parlato con Camillo Cigaina, consulente Privacy di Artser.
1. È obbligatorio aggiornare il registro dei trattamenti includendo questa specifica attività, in conformità con le direttive del GDPR. È essenziale annotare dettagliatamente le modalità di raccolta, conservazione e trattamento dei dati relativi alle segnalazioni di whistleblowing.
2. È necessario fornire tutte le informazioni sulla Privacy aggiornate in merito al whistleblowing a tutti i soggetti interessati, garantendo trasparenza e conformità con le leggi vigenti. Le informative Privacy devono chiaramente delineare i diritti e le protezioni fornite ai segnalanti.
3. È espressamente prevista la redazione di una valutazione d’impatto sulla protezione dei dati (DPIA), un documento redatto dal titolare del trattamento qualora il trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone, come nel caso delle attività di whistleblowing. Questo processo consente di valutare in modo accurato tutte le misure che devono essere adottate in azienda per garantire la compliance con il GDPR. Infatti, la finalità di un DPIA è quella di descrivere il trattamento, valutare la necessità e la proporzionalità ed a stabilire come gestire gli eventuali rischi per i diritti e le libertà delle persone derivanti dal trattamento.
4. Si richiede di fornire e far sottoscrivere una lettera di incarico da parte dei soggetti interni autorizzati a gestire il canale di segnalazione.
5. Le segnalazioni possono pervenire attraverso diversi canali, come ad esempio una piattaforma dedicata, una mail o un canale promosso da terzi. Tuttavia, è fondamentale garantire il massimo livello di sicurezza per la tutela dei dati. A tal fine, si raccomandano misure come l'uso della crittografia end-to-end per proteggere la confidenzialità e l'integrità delle informazioni.
6. Nel caso in cui l'azienda decida di fare affidamento su un fornitore terzo per la gestione del canale, tale fornitore dovrà essere nominato come responsabile esterno del trattamento, in conformità con le disposizioni del GDPR e il contratto dovrà dettagliare chiaramente i compiti e le responsabilità del fornitore per garantire la sicurezza dei dati e la conformità normativa. Sarà importante stabilire procedure di sicurezza e audit per monitorare le attività del fornitore.