NEWS

Il ruolo del Data Protection Officer nella tutela del whistleblower

Tra le attività che richiedono il necessario coinvolgimento del Data Protection Officer nel contesto lavorativo rientrano senza dubbio quelle derivanti dall’applicazione dell’istituto giuridico del whistleblowing, in ragione dell’evidente impatto del medesimo in ambito privacy.  Tale istituto assume sempre maggior rilievo all’interno dell’ordinamento, anche alla luce degli attesi sviluppi normativi.

Antonio Valentini, Avvocato e membro del Membro del Gruppo di Lavoro Federprivacy per la tutela della privacy nella gestione del personale

(Nella foto: Antonio Valentini, Avvocato e membro del Membro del Gruppo di Lavoro Federprivacy per la tutela della privacy nella gestione del personale. E' coautore del libro "Privacy e gestione del personale", edito da Teleconsul con il patrocinio di Federprivacy e della Fondazione Studi dei Consulenti del Lavoro)


Come noto, infatti, entro il 31 dicembre 2021 gli Stati Membri dovranno recepire la Direttiva UE 2019/1937 riguardante la protezione delle persone che segnalano violazioni, sia in ambito pubblico sia nel settore privato.

La disciplina del whistleblowing – introdotta in Italia dalla l. n. 190/2012 per i pubblici dipendenti e rafforzata ed estesa al settore privato dalla l. n. 179/2017 – è finalizzata a tutelare il soggetto che segnala condotte illecite di cui sia venuto a conoscenza nell’esercizio delle sue mansioni.

Dall’acquisizione e gestione delle segnalazioni derivano una serie di attività di trattamento di dati personali, anche appartenenti a particolari categorie di dati e relativi a condanne penali e reati.

Pertanto, nell’applicazione dell’istituto de quo, è onere del Titolare del trattamento garantire:

- il rispetto dei principi di “liceità, correttezza e trasparenza”, “minimizzazione”, “integrità e riservatezza”, “protezione dei dati fin dalla progettazione” e “protezione dei dati per impostazione predefinita”;
- l’adozione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi;
- lo svolgimento di una valutazione di impatto.

L’importanza di tali attività è stata a più riprese ribadita dall’Autorità Garante per la protezione dei dati personali che già nel 2009 - sulla scorta di quanto affermato dal WP 29 (Opinion 1/2006 - 00195/06/EN, pp. 7 e 8) - sollecitava il legislatore italiano ad adottare apposite disposizioni a riguardo (doc. web n. 1693019).

il Dpo deve tutelare il whistleblower

Nel corso degli anni il Garante si è pronunciato più volte in materia di whistleblowing, da ultimo con il provvedimento n. 235 del 10/06/2021, nel quale ha evidenziato le misure tecniche e organizzative più idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dal trattamento.

In particolare, l’Autorità ha reputato fondamentale a tutela degli interessati la previsione di:

• tecniche crittografiche per il trasporto e la conservazione dei dati;
• misure tecniche che limitino il tracciamento degli accessi all’applicativo utilizzato per le segnalazioni di Illeciti;
• una valutazione d’impatto sulla protezione dei dati acquisiti mediante i sistemi di acquisizione e gestione delle segnalazioni di illeciti.

Alla luce di quanto sopra, emerge con evidenza la fondamentale importanza del DPO nell’applicazione delle procedure di whistleblowing in conformità alla normativa privacy.

Concretamente, il DPO dovrà infatti vigilare su:

- utilizzabilità dei dati personali;
- rispetto dei principi di necessità e proporzionalità;
- obbligo del Titolare di fornire informazioni chiare e complete sulla procedura;
- rispetto dei diritti del soggetto denunciato;
- sicurezza dei trattamenti effettuati dall’organizzazione;
- gestione delle procedure interne di denuncia.

In particolare, il DPO dovrà in primo luogo fornire osservazioni in merito alla rispondenza del modello di gestione delle segnalazioni ai principi della privacy by design e privacy by default.

In secondo luogo, sarà suo onere supportare il Titolare nell’individuazione delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti, anche nel caso in cui ci si avvalga di strumenti o servizi realizzati da terzi.

Infine, in ragione della particolare delicatezza delle informazioni trattate e degli elevati rischi ritorsivi e discriminatori, anche indiretti, che potrebbero derivare per i diritti e le libertà del segnalante, dovrà coadiuvare il Titolare nell’esecuzione della valutazione di impatto, sia nelle fasi preliminari sia durante il suo svolgimento.

Note Autore

Antonio Valentini Antonio Valentini

Avvocato, co-fondatore Opera Professioni, Membro del Gruppo di Lavoro per la tutela della privacy nella gestione del personale

Prev Istruzione, formazione e aggiornamento degli autorizzati: prerequisito fondamentale per la compliance al Gdpr
Next Prima il sospetto e poi il controllo difensivo

App di incontri e rischi sulla privacy

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy