Whistleblowing: Rispetto della normativa GDPR per tutto il processo

Il Garante con i provvedimenti nn. 134 e 135 del 7 aprile 2022 ha ribadito i principi che regolano il sistema del cosiddetto whistleblowing interno.

Per prima cosa tutte le imprese private (ma anche la PA) devono fare sì che i sistemi di  “whistleblowing”, garantiscano la massima riservatezza ai dipendenti e di ogni altro soggetto che intenda presentare segnalazioni di condotte illecite avvenute sui luoghi di lavoro. Sul punto, è bene rammentare che le segnalazioni oggetto di whistleblowing devono necessariamente riguardare condotte in violazioni di una legge, di un regolamento oppure in minaccia di interesse pubblico o, ancora, tali da potersi configurare reato (a titolo meramente esemplificativo corruzione, frode e/o gravi situazioni di pericolo per la salute e la sicurezza pubblica). Non vi rientrano dunque le lamentele di carattere personale.

In casi analoghi a quelli oggetto dei provvedimenti richiamati, nell’eventualità in cui il titolare del trattamento affidi la raccolta delle segnalazioni a un responsabile esterno, questi non può a sua volta cederli ad un proprio responsabile esterno senza previa autorizzazione da parte del titolare del trattamento. Il titolare del trattamento deve impartire indicazioni specifiche sul trattamento dei dati raccolti e il responsabile esterno deve garantire il rispetto della normativa in materia a tutela dell’identità del segnalante e soprattutto, non utilizzare i dati per scopi diversi da quelli oggetto dell’incarico.

È dunque onere del titolare del trattamento verificare il rispetto della normativa GDPR durante tutto il processo.