NEWS

Il consenso nei trattamenti del whistleblowing

Il D.lgs. n. 24/2023 ha previsto alcune operazioni di trattamento in ambito whistleblowing che necessitano del consenso dell’interessato (art. 6 e 7 del GDPR), quale condizione di liceità per specifiche finalità. Tali trattamenti sono previsti dall’art. 12 (obbligo di riservatezza), paragrafi 2 e 5 e dalla art. 14 (conservazione della documentazione), paragrafi 2 e 4, del citato Dlgs. n. 24/2023.

Nei trattamenti di dati personali connessi al whistleblowing serve il consenso del lavoratore

Il par. 2 dell’art. 12 prevede il trattamento che concerne la “rivelazione dell’identità del segnalante” a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, comunque espressamente autorizzate e istruite a trattare tali dati.

Nel caso in cui si ravvisi tale necessità il titolare del trattamento dovrà informare l’interessato (segnalante) ed acquisire un consenso libero e specifico a tal fine, giacché il suddetto art. 12, par. 2, prevede appunto che l’identità del segnalante non può essere rivelata senza il consenso espresso dello stesso.

Il suddetto trattamento può riguardare anche la “rivelazione” dell’identità della persona segnalante nell'ambito del procedimento disciplinare, ed è disciplinata dal par. 5 del cit. art. 12, a norma del quale l'identità della persona segnalante non può essere rivelata, ove la contestazione dell'addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa.

Invece, qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa dell'incolpato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità.

Tale trattamento (di rivelazione dell’identità del segnalante nel procedimento disciplinare) è collegato all’utilizzabilità di un atto per finalità di difesa e il consenso espresso del segnalante costituisce appunto condizione di utilizzabilità della segnalazione ai fini difensivi.

Pertanto, il titolare del trattamento dovrebbe informare l’interessato (segnalante) della necessità di prestare tale espresso consenso alla rivelazione della sua identità affinché la segnalazione possa essere utilizzata in suo favore.

Il trattamento di “conservazione e documentazione” è invece previsto dall’art. 14, par. 2 cit, secondo il quale se per la segnalazione si utilizza una linea telefonica registrata o un altro sistema di messaggistica vocale registrato, la segnalazione, previo consenso della persona segnalante, è documentata a cura del personale addetto mediante registrazione su un dispositivo idoneo alla conservazione e all'ascolto oppure mediante trascrizione integrale.

Il par. 4, dell’art. 14, prevede altresì che quando su richiesta della persona segnalante, la segnalazione è effettuata oralmente nel corso di un incontro con il personale addetto, essa, previo consenso della persona segnalante, è documentata a cura del personale addetto mediante registrazione su un dispositivo idoneo alla conservazione e all'ascolto oppure mediante verbale.

In caso di verbale, la persona segnalante può verificare, rettificare e confermare il verbale dell'incontro mediante la propria sottoscrizione.

Ne consegue che il titolare del trattamento dovrà, anche per tali operazioni di trattamento, informare il segnalante e acquisire un consenso necessario e specifico per le stesse.

Pertanto, il trattamento whistleblowing è fondato in generale sulla base giuridica dell’adempimento di un obbligo legale, stabilito dal diritto dell’Unione e dello Stato membro (art. 6, par. 1, lett. c) e par. 3, a) e b)), mentre i peculiari trattamenti che attengono alle operazioni connesse alla “rivelazione della identità del segnalante” e alla “conservazione ai fini di documentazione” devono essere fondati sulla base giuridica del consenso per espressa previsione di legge.

Note sull'Autore

Marco Pagliara Marco Pagliara

Avvocato, DPO e Privacy Officer certificato TÜV Italia. E' Delegato Federprivacy nella provincia di Foggia.

Prev Dalla Commissione UE una proposta di Regolamento per stabilire norme procedurali aggiuntive sui casi transfrontalieri in ambito privacy
Next Cyber Resilience Act, via libera della Commissione per l'industria del Parlamento UE

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy