| Il Decreto legislativo n. 24/2023 ha introdotto in Italia una nuova disciplina del whistleblowing. Il provvedimento ha dato attuazione alla direttiva (UE) 2019/1937 che raccoglie in un unico testo normativo l’intera disciplina dei canali di segnalazione e delle tutele riconosciute ai segnalanti, sia del settore pubblico che privato. Non tutte le organizzazioni sono, però, consapevoli che la nuova disciplina ha imposto, in capo ai titolari del trattamento, un adempimento specifico anche in materia di protezione dei dati personali: l’obbligo di eseguire una valutazione di impatto sulla protezione dei dati (altrimenti nota come “data protection impact assessment” o “DPIA”). Il comma 6 dell’art. 13 del Decreto Whistleblowing stabilisce, infatti, che i soggetti tenuti ad adottare un sistema di gestione delle segnalazioni “[…] definiscono il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base di una valutazione d’impatto sulla protezione dei dati, e disciplinando il rapporto con eventuali fornitori esterni che trattano dati personali per loro conto ai sensi dell’articolo 28 del regolamento (UE) 2016/679 o dell’articolo 18 del decreto legislativo n. 51 del 2018”. La DPIA è il processo che consente di valutare e mitigare i rischi connessi al trattamento di dati personali e di tutelare i diritti di tutte le persone coinvolte nel processo. Nel contesto del whistleblowing, bisognerà, pertanto, valutare le modalità di raccolta dei dati, la loro conservazione e l’adeguatezza delle misure di protezione adottate. La scelta del legislatore deriva dal fatto che il trattamento di dati, nel contesto del whistleblowing, presenta rischi molto elevati: le segnalazioni di illeciti, per loro natura, comportano la trasmissione di informazioni la cui divulgazione potrebbe causare danni significativi alle persone coinvolte e si deve garantire la riservatezza dei dati, proteggendo il segnalante da possibili ritorsioni. Cosa deve, pertanto, fare il titolare del trattamento? L’Ente pubblico o l’azienda che istituisce il canale di whistleblowing è tenuto a svolgere la DPIA prima di avviare il trattamento dei dati relativi alle segnalazioni. |
dell’Avv. B. Carbonetto – Area GDPR, 25/02/2025
Gesta Srl Società Benefit 0187 564442 – gesta@gestaconsulenza.it
