Quali attività privacy sono obbligatorie per il Whistleblowing?

A proposito di questioni pratiche in materia di Whistleblowing, non possiamo non parlare della tematica privacy. Affrontando il tema e la trasversalità dei destinatari bisogna tener conto sia dei casi in cui la struttura abbia un proprio DPO, sia di quelli in cui tale figura non sia presente. In entrambe le ipotesi la domanda è: di chi sono le responsabilità di predisporre determinati documenti che – pur restando in capo all’azienda e all’Ente – devono essere popolati da informazioni fornite sia da chi realizza la piattaforma sia da chi poi gestisce materialmente il canale di segnalazione?

Vuoi approfondire le tue esigenze in tema di Whistleblowing?

Ti aspettiamo al prossimo Colin Focus Day mercoledì 8 novembre alle 11.00

Cosa dicono le normative e gli interventi delle Autorità sul Whistleblowing

Vediamo cosa dispongono la Direttiva Whistleblowing, le linee guida ANAC e l’intervento del Garante sul punto. Tutti e tre gli impianti normativi prevedono che la piattaforma selezionata per la gestione delle segnalazioni sia sottoposta ad un data protection impact assessment. Dove presente, tale valutazione in genere viene impostata dal DPO, evidenziando eventuali rischi sussistenti mentre – nei casi in cui l’azienda non abbia designato un responsabile della protezione dei dati – il documento dovrà essere realizzato dal titolare e dovrà contenere delle informazioni che dimostrino che c’è un equilibrio tra il sistema di acquisizione dei dati, gli obiettivi normativi e i dati che vengono realmente trattati.

Sussistono inoltre ulteriori aspetti, sul fronte privacy, da considerare – al di là delle consuete informative per il segnalante – nei casi in cui il dato si trasformi da anonimo a riconoscibile. Così come è importante valutare l’informativa al gestore del canale dal momento che, tecnicamente, la piattaforma registra dei dati.

Il caso pratico

Può infatti accadere – come nel caso di un nostro cliente – che la segnalazione arrivi a soggetti che non appartengono al canale stesso. Si tratta di un passaggio normativo previsto dalle stesse Linee guida ANAC, che deve essere risolto sia sotto il profilo procedurale, che dal punto di vista privacy. Ma come lo abbiamo affrontato?

Innanzi tutto, integrando le autorizzazioni al trattamento ai soggetti che lavorano all’interno dell’azienda e che potrebbero ricevere le segnalazioni da un punto di vista privacy. Applicare tale procedura in un’organizzazione strutturata, e avvezza al tema della gestione dei processi, risulta senza dubbio più semplice rispetto all’introduzione di tale flusso in aziende più piccole. Queste ultime, pur interessate dall’obbligo normativo, devono essere sensibilizzate e formate e introdurre nella quotidiana pratica di business questi elementi di estrema novità.

Il passo successivo è quello di istruire tali risorse sotto il profilo della riservatezza poiché – sulla base della procedura fornita dall’azienda – avranno l’obbligo di portare la segnalazione direttamente sul canale di gestione.

In ultima analisi occorre informare e formare i destinatari della norma (in particolare quelli interni che potrebbero facilmente presentare la segnalazione ai colleghi) che la presenza del canale di segnalazione rappresenta una garanzia essendo un canale dedicato e protetto, ma che resta di fatto una ipotesi riconosciuta quella del rilascio della segnalazione anche fuori dal canale stesso.

Teniamo inoltre presente che i dati raccolti adempiendo alla norma in materia di Whistleblowing rappresentano comunque un nuovo trattamento e che quindi il Registro dovrà essere aggiornato.

Il ruolo del fornitore della piattaforma

Infine, sotto il profilo privacy è particolarmente rilevante l’approccio adottato dal Fornitore della piattaforma, che oltre a fornire le informazioni tecniche per predisporre il DPIA, dovrà garantire i principi di privacy and security by design e ricevere (o fornire se ben strutturato!) apposita nomina a Responsabile esterno proporzionata al proprio ruolo. Tale nomina coinvolgerà necessariamente anche i soggetti che saranno individuati per la gestione del canale andando chiaramente a calibrare in modo differenziato, i contenuti.

Vi ricordiamo che il nostro servizio W-ALL comprende oltre alla piattaforma in linea con gli obblighi normativi Whistleblowing, anche la documentazione privacy oltre a tutte le procedure ed i documenti formali che investono la creazione del canale di gestione.

Vuoi ricevere il nostro supporto? wall@consulentelegaleinformatico.it