Continua il dialogo tra segnalazioni illeciti da parte dei c.d. whistleblower e quanto prescritto dal GDPR in materia di protezione dati personali. Come sempre, le pronunce del Garante guidano i titolari del trattamento verso un’applicazione compliant della normativa, talvolta vaga, confusa, lacunosa. Il casus belli sfruttabile, da un punto di vista interpretativo, riguarda il provvedimento del Garante adottato nei confronti dell’Aeroporto Guglielmo Marconi di Bologna (per 40.000 euro) e la società fornitrice del software “WB Confidential” finalizzato alla ricezione delle segnalazioni (per 20.000 euro).
Attraverso una semplificazione del provvedimento tentiamo di estrapolare alcune best practices utilizzabili per l’implementazione di un canale di segnalazione illeciti conforme al Regolamento UE 679/2016 (GDPR).
Innanzitutto, una breve riflessione circa l’importanza dell’adozione, all’interno delle imprese, di canali di rilevazione illeciti commessi dalla società titolare e segnalabili da chiunque: interni ed esterni. Tale procedura è regola consolidata per le aziende che adottano un Modello organizzativo di gestione e controllo ai sensi del D.lgs. 231/2001 e diventerà obbligatoria, per le aziende che contano più di 50 dipendenti, grazie all’entrata in vigore della direttiva europea avvenuta a fine 2019 (da recepirsi entro il dicembre 2021), indipendentemente dall’adozione o meno di un modello organizzativo 231.
Volendo, quindi, conformarsi alle prescrizioni europee, si rende necessario individuare fornitori di software che siano idonei alla gestione, ex art. 28 GDPR, del dato personale circolante sull’applicativo, in un’ottica di accountability e nel rispetto dei principi di “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento).
Di seguito, i punti salienti del provvedimento.
Al fine di tutelare l’identità dei whistleblowers, protetta da uno specifico regime di garanzia e riservatezza previsto dalla normativa di settore, vista la particolare delicatezza delle informazioni trattate e per gli elevati rischi di ritorsioni e discriminazioni nel contesto lavorativo, il titolare del trattamento che voglia avvalersi di tale servizio sarà chiamato a valutare: