ARGOMENTO:

Allora, circa il primo punto mi rifarei sempre alle Linee guida ANAC:
“Chi gestisce le segnalazioni è necessario possieda il requisito dell’autonomia, che, ad avviso di ANAC, va declinato come imparzialità e indipendenza. Pertanto le amministrazioni/enti del settore pubblico e privato nell’affidare tale incarico devono valutare se il soggetto abbia le caratteristiche indispensabili per svolgere l’attività richiesta”.
Certo si può discutere in particolare sulla portata dell’indipendenza ma qui penso la si intenda come capacità di decidere in autonomia e resistere a influenze terze.
Ciò sia se il soggetto in esame è interno, sia se esterno.

Sul secondo aspetto, la locuzione "I trattamenti di dati personali relativi al ricevimento e alla
gestione delle segnalazioni sono effettuati dai soggetti di cui all'articolo 4, in qualità di titolari del trattamento", non vedrei contraddizioni atteso che la vedo riferita al comma 1 dell’art. 4, mentre il gestore (la persona a cui è affidata la) del canale di segnalazione (comma 2) è, secondo la mia lettura, un agente del titolare.

Circa il terzo aspetto, riporto anche qui un passaggio delle Linee guida ANAC sul soggetto gestore delle segnalazioni “ Tale ruolo, a meri fini esemplificativi, può essere affidato, tra gli altri, agli organi di internal audit, all’Organismo di vigilanza previsto dalla disciplina del d.lgs. n. 231/2001, ai comitati etici” (pag. 38).
Che poi l’OdV possa essere inquadrato come “Titolare dei propri trattamenti” è una questione più ampia rispetto a quelli del whistleblowing e meriterebbe un suo approfondimento, anche chiarendo a quali trattamenti ci si intende riferire.
Aggiungerei solo che la materia del whistleblowing ancora deve ben sedimentarsi e trovare linee consolidate di attuazione che ne valorizzino la portata della versione europea.
A tal proposito mi permetto di citare un mio ulteriore intervento sul portale: www.federprivacy.org/informazione/primo-...rischi-organizzativi

l'art. 4 comma 2 del DL24/2023 recita: "La gestione del canale di segnalazione è affidata a una persona
o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione, ovvero è affidata a un soggetto esterno, anch'esso autonomo e con
personale specificamente formato.", se è Responsabile ai sensi dell'art. 28 come si manifesta l'autonomia se deve sottostare alle decisioni del Titolare?
l'art. 14 del Dl 24/2023 al comma 4 recita: "I trattamenti di dati personali relativi al ricevimento e alla
gestione delle segnalazioni sono effettuati dai soggetti di cui all'articolo 4, in qualità di titolari del trattamento", questo non contrasta con quanto da lei proposto?
è corretto fare un parallelismo con l'OdV richiesto dalla 231/2000 che è visto spesso da molti colleghi come Titolare dei propri trattamenti?
grazie per l'attenzione

Sulla configurazione del ruolo del gestore del canale interno, ritengo che come risposta – coerente con il GDPR - possa essere considerato quanto indicato nuove Linee guida dell’ANAC dello scorso luglio. Per semplicità ne riporto il brano “i soggetti che gestiscono le segnalazioni devono:
o laddove si tratti di soggetti interni, essere autorizzati al trattamento dei dati personali da parte delle amministrazioni/enti e quindi essere destinatari di una specifica formazione in materia di privacy (cfr. per i dettagli § 4.1.3. della presente parte);
o nel caso di soggetti esterni, questi sono responsabili del trattamento in base ad un accordo appositamente stipulato con l’amministrazione/ente (…)”.
Aggiungerei solo che, sulla base dell’art. 2 quaterdecies ( Attribuzione di funzioni e compiti a soggetti designati ) del “nuovo” Codice della Privacy , tali soggetti interni (nelle P.A. si tratterà del RPCT) potrebbero essere considerati (e designati) in maniera diversa che più meri autorizzati al trattamento (su tale aspetto rimanderei a un mio intervento pubblicato il 4 aprile su questo portale).
Tale articolo, infatti, consente di ampliare la compagine organizzativa degli addetti alla privacy, con l’ipotesi di figure cui conferire specifici compiti e funzioni, espressamente designate (che non saranno titolari del trattamento ma, solo nel caso di ricorso all’esterno, potranno essere resposnabili del trattamento). Figure che di base sono, va da sé, autorizzate al trattamento ma con un mandato (espresso) che conferisce implica un ingaggio di maggior livello.
Per completezza, va evidenzio che, come ribadito nelle Linee guida ANAC, nel caso si accerti “che non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute” come responsabile (da sanzionare) verrebbe considerato il gestore del canale di segnalazione (mentre se il tutto si svolgesse nel contesto GDPR, il responsabile sarebbe il titolare o il responsabile del trattamento).
Se occorressero altri chiarimenti, sono a disposizione.

la persona o l'ufficio che ai sensi dell'art. 4 del DL24/2023 deve gestire il canale interno di segnalazioni secondo voi deve essere Titolare del trattamento o Responsabile nominato dall'azienda? nel secondo caso come si estrinseca l'autonomia richiesta dal DL 24/2023?
grazie