Viola la privacy chi abusa del whistleblowing per fare gossip
Viola la privacy chi abusa delle tutele per il whistleblowing per propalare indiscrezioni o vociferazioni scarsamente attendibili. È questo il monito del Garante della privacy (provvedimento n. 304 del 6 luglio 2023), che ha rilasciato parere favorevole sullo schema di linee guida dell'Anac ad oggetto la disciplina attuativa del d.lgs. 24/2023, relativo alle segnalazioni di illeciti all'interno delle aziende e degli enti pubblici.
Il parere del Garante enumera anche gli adempimenti che, in parallelo alla istituzione di canali di segnalazione, imprese e PA dovranno eseguire in base alla disciplina della privacy, considerato che le segnalazioni costituiscono intrinsecamente un trattamento dei dati.
No a indiscrezioni - Il garante rileva che sono da trattare come segnalazioni coperte dalla tutela del whistleblowing le sole informazioni fondate su elementi concreti e ragionevoli.
In caso contrario, spiega il Garante, si rischia di compiere trattamenti di dati non pienamente conformi alla disciplina di settore. Sarebbe questo il caso, in particolare, delle segnalazioni riferite a circostanze generiche o riconducibili ad una fase antecedente all'eventuale commissione di possibili illeciti, oppure frutto di mere indiscrezioni o vociferazioni scarsamente attendibili.
Base giuridica - Il Garante chiarire che questi trattamenti sono necessari per dare attuazione agli obblighi di legge e ai compiti d'interesse pubblico: saranno queste le basi giuridiche da inserire nelle informative privacy.
Accordo contitolari - Il d.lgs. 24/2023 permette agli enti di dimensioni minori di condividere il canale di segnalazione interna.
Il Garante sottolinea che, in questo caso, gli enti sono contitolari del trattamento e, per questo, devono stipulare un accordo di contitolarità (articolo 26 del regolamento Ue 2016/679 o Gdpr).
Autorizzati - Gli enti tenuti agli obblighi del whistleblowing devono individuare quali soggetti autorizzati al trattamento soltanto le persone (in genere propri dipendenti) addette alle segnalazioni adeguatamente istruite. L'accesso alle segnalazioni non può essere promiscuo.
(Nella foto: l'Avv. Antonio Ciccia Messina)
Informative - Ciascun ente pubblico o privato, tenuto ad organizzare un canale di whistleblowing, deve fornire l'informativa sul trattamento dei dati personali ai possibili interessati e cioè a segnalanti, segnalati, persone interessate dalla segnalazione, facilitatori.
Il Garante indica che l'adempimento può essere realizzato mediante la pubblicazione di documenti informativi, ad esempio tramite sito web o piattaforma informatica. Nel contempo, il parere in esame indica altri strumenti quali le informative brevi in occasione dell'utilizzo degli altri canali per l'invio della segnalazione (ad esempio il telefono).
Peraltro, gli enti, precisa il Garante, non sono tenuti a fornire agli specifici interessati direttamente coinvolti menzionati da una segnalazione informative su base individuale.
Dpia - I titolari del trattamento, enti pubblici e privati, devono redigere una valutazione d'impatto sulla protezione dei dati (articolo 35 Gdpr).
di Antonio Ciccia Messina (Fonte: Italia Oggi)