Privacy&

2021/2

Francesca Gravili Rodolfo Zani

Whistleblowing: come identificare il titolare del trattamento nei Gruppi

La segnalazione del whistleblower dà o può dare luogo all’acquisizione da parte dell’ente di dati personali – anche appartenenti a categorie particolari oppure relativi a condanne penali e reati, eventualmente contenuti nella stessa segnalazione o in atti e documenti ad essa allegati – riferiti a specifici “interessati”. Il processo di acquisizione dell’informazione deve garantire quindi il puntuale rispetto della normativa sulla protezione dei dati personali (GDPR, Codice Privacy e Provvedimenti delle competenti Autorità Nazionali ed Europee).

Tutta la legislazione di riferimento è tesa a garantire la riservatezza e la sicurezza dei dati e la tutela del segnalante e del segnalato.

Pertanto, quando un’azienda decide di implementare un processo che recepisce tale tipo di comunicazioni non è sufficiente che la stessa predisponga una semplice procedura e istituisca un organo destinatario della segnalazione, che potrebbe essere l’organismo di vigilanza.

I dati relativi alle segnalazioni whistleblowing devono essere tutelati e, quindi, devono essere definiti i flussi e i canali informativi rispondendo in primis a domande quali: a chi il whistleblower deve inviare le informazioni che ritiene rilevanti? Chi stabilisce chi deve ricevere le segnalazioni e come? È necessario valutare la conformità dell’intero processo anche e soprattutto alla luce della normativa privacy procedendo ad individuare il titolare del trattamento, cui spetta la verifica della suddetta conformità e la risposta alle indicate domande. Tale individuazione è semplice quando è una singola azienda o ente che decide di dotarsi di tale sistema, mentre l’analisi diventa complessa ove si ricada nel caso di un gruppo di imprese; in particolare laddove si decida di utilizzare una piattaforma informatica, fornita spesso da un terzo, a disposizione di tutte le società. Le considerazioni che si andranno ad esporre derivano da esperienze dirette avute verificando le prassi aziendali, cui abbiamo dato una risposta relativamente ai ruoli privacy interpretando ed applicando i principi del GDPR naturalmente senza alcuna pretesa di esaustività. Dall’analisi svolta emerge che il concetto di titolarità è molto ampio: deve essere cercato in un qualsiasi centro d’imputazione di interessi, inteso nel senso di fonte decisionale sul trattamento.

L'ACCESSO A QUESTO CONTENUTO E' RISERVATO AGLI UTENTI ABBONATI

Sei abbonato? Esegui l'accesso oppure abbonati.