231 e privacy: il whistleblowing

L’adozione di sistemi di segnalazione di illeciti (c.d. whistleblowing), come previsti dalla normativa in ambito di rischio penale d’impresa, è da tempo all’attenzione delle Autorità di controllo in ragione delle sue implicazioni in materia di protezione dei dati personali.

Nei suoi numerosi interventi sul tema, il Garante ha costantemente ribadito la necessità di raggiungere un bilanciamento tra l’esigenza di riservatezza della segnalazione, da una parte, e la necessità di accertamento degli illeciti e il diritto di difesa del segnalato, dall’altra.
Ne consegue come i soggetti obbligati al rispetto delle disposizioni in materia di rischio penale saranno tenuti contemporaneamente agli adempimenti privacy nel trattamento dei dati necessari alla gestione delle segnalazioni.

In tale cornice, si colloca l’intervento ispettivo del Garante che, da ultimo, ha visto sanzionare un’azienda ospedaliera e la società informatica che gestiva la piattaforma di whistleblowing, in qualità di responsabile del trattamento, per il mancato rispetto del GDPR.
Il Garante ha, infatti, ribadito ancora una volta la necessità per il titolare di conformare il proprio modello di gestione delle segnalazioni ai principi di privacy by design e by default, al fine di garantire un’adeguata informativa e tutela dei dati dei segnalanti.

Per informazioni:
Tel.: 0422 916417
E-mail: privacy@unisef.it