La procedura whistleblowing, originariamente prevista per il settore pubblico è stata estesa, alla fine del 2017, anche per il settore privato confluendo nei commi 2-bis, 2-ter e 2-quater dell’art. 6 del D. Lgs. 231/2001.
Questo sistema di prevenzione degli episodi criminosi all’interno delle aziende non è confinato esclusivamente alle cooperative che virtuosamente hanno adottato un modello organizzativo di gestione e controllo (c.d. MOG) ma è destinato a coinvolgere, su spinta europea[1], tutte le organizzazioni con più di 50 dipendenti.
La procedura di comunicazione del whistleblowing presuppone la circolazione di dati personali tra il segnalante (al quale va garantito l’anonimato, se richiesto) e la funzione aziendale/ente esterno delegato per la ricezione delle segnalazioni. Quali sono, quindi, gli accorgimenti minimi necessari per garantire il rispetto del GDPR?
Quali dati vengono trattati e quali figure sono essenziali?
I dati personali oggetto di trattamento nelle procedure di segnalazione sono essenzialmente dati anagrafici (identità, funzioni aziendali ricoperte in azienda e recapiti) e categorie particolari di dati, relativi a condanne penali e reati, eventualmente contenuti nella segnalazione e in atti e documenti ad essa allegati, riferiti a “interessati”, ovvero alle persone fisiche (identificate o identificabili) che inoltrano una segnalazione o a quelle indicate come possibili responsabili delle condotte illecite.
L’Azienda che implementa un sistema di whistleblowing è il titolare del trattamento di dati personali, ossia il soggetto che “determina le finalità e i mezzi del trattamento di dati personali”. Il Titolare del trattamento è l’unico soggetto responsabile dell’individuazione puntuale degli incaricati al trattamento di whistleblowing: questi ultimi, pertanto, andranno forniti di specifica formazione sulla protezione dei dati personali e di adeguata formalizzazione dell’incarico quale autorizzato (cfr. art. 29 GDPR).
Il ruolo dell’OdV?
L’Organismo di Vigilanza, soggetto preposto al controllo sul funzionamento e il rispetto del Modello di Organizzazione, Gestione e Controllo è certamente coinvolto nella procedura di segnalazione e deve, dunque, essere inquadrato all’interno dei ruoli privacy, con specificazione delle funzioni da svolgere.
Misure organizzative idonee
Il Titolare del trattamento non è vincolato all’adozione di alcuna misura organizzativa standard[2]: questo è un principio cardine del GDPR, il c.d. principio di Accountability (responsabilità verificabile del Titolare). Pertanto, ogni organizzazione aziendale sarà chiamata a svolgere un’analisi riguardante la propria struttura organizzativa valutando aspetti come budget, risorse disponibili, strumenti informatici a disposizione e ogni altro fattore sensibile al fine del rispetto della normativa 231 e di protezione dei dati. Il fine ultimo che dovrà essere perseguito sarà quello di proteggere adeguatamente il dato personale circolante in azienda in un’ottica di minimizzazione dei dati (raccolta dei soli dati necessari al raggiungimento della finalità), di legittimazione di trattamento (scegliendo la base giuridica idonea[3]) nonché il rispetto dell’integrità e disponibilità dei dati garantendo un tempo di conservazione strettamente necessario al raggiungimento dello scopo.
[1] La direttiva n. 2019/1937 del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione dovrà essere recepita dagli Stati membri entro il 17 dicembre 2021.
[2] Per approfondimento sulle modalità organizzative idonee cfr. “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)” ANAC e relativo parere del Garante Privacy del 4 novembre 2019, doc. web n. 9215763.
[3] Su indicazione del Garante italiano è stata identificata nell’esecuzione di un obbligo legale – artt. 6, par. 1, lett. c; 9, par. 2, lett. b); nonché per l’esecuzione di un compito di interesse pubblico contemplato dall’ordinamento (artt. 6, par. 1, lett. e), e 9, par. 2, lett. g), del Regolamento.