Nuove prescrizioni “privacy” nel nuovo sistema di whistleblowing

Con l’approvazione del decreto legislativo 10 marzo 2023, n. 24, il nostro Paese ha un nuovo ordinamento per la tutela del dipendente che segnala illeciti, il cosiddetto “whistleblower”.

Il provvedimento abroga l’articolo 54-bis del decreto 165/2001 e introduce nuove importanti prescrizioni riguardo al trattamento dei dati personali.

In particolare è previsto che competa al Responsabile della prevenzione della corruzione la gestione del “canale di segnalazione interna”, di cui l’ente deve dotarsi. Ed è consentito che tale canale possa essere condiviso con altra amministrazioni pubbliche o affidato a un soggetto esterno.

Nel primo caso si richiede la stipula di un accordo di “contitolarità”, ai sensi dell’art. 26 del GDPR.

Nel caso in cui, invece, si affidi il servizio all’esterno è necessario fare ricorso alla prescrizione contenuta nell’articolo 28 del GDPR che riguarda l’individuazione del Responsabile del trattamento.

In ogni caso, il processo per la gestione del sistema di segnalazione deve essere “mappato” allo scopo di individuarne le fasi, le modalità di acquisizione, gestione e conservazione dei dati e soggetti designati al trattamento.

È inoltre prescritto che, sia il soggetto segnalante, sia il soggetto coinvolto, siano informati sulle modalità si trattamento dei dati, nel rispetto della previsione dell’articolo 13 del GDPR.

Di seguito un breve video che riepiloga il contenuto della norma