Con il nuovo decreto privacy (D.lgs. 101/2018) di recepimento del GDPR, i diritti dell’interessato possono essere limitati solo in casi di interesse superiore, come la sicurezza nazionale o l’anonimato di un dipendente che denuncia un reato scoperto durante il lavoro. I consigli degli esperti di Unione Fiduciaria.
Per avere ulteriori chiarimenti sulla complicata questione della gestione delle segnalazioni whistleblowing nell’ambito del GDPR, si propone di seguito un’intervista ai consulenti di Unione Fiduciaria, esperti del settore.
In che modo il nuovo D.lgs. 101/2018 influisce sulle segnalazioni whistleblowing?
L’esercizio dei diritti dell’interessato ex articolo da 15 a 22 del Regolamento privacy (diritto all’accesso, alla rettifica dei dati, alla cancellazione, alle limitazioni, all’opposizione, alla portabilità) non può essere rivendicato nel caso in cui debba essere tutelato un interesse superiore (ad esempio, la sicurezza nazionale o la riservatezza di un dipendente che denuncia un illecito emerso nell’ambito della propria attività lavorativa, il cosiddetto whistleblower).
Quale nuova disposizione normativa lo prevede?
Il D.lgs. 101/2018 ha introdotto nel Codice Privacy l’art. 2-undecies che stabilisce specifiche limitazioni ai diritti dell’interessato, i quali non possono essere esercitati con richiesta al titolare o al responsabile del trattamento ovvero con reclamo, nel caso in cui da tale esercizio possa scaturire un pregiudizio concreto ad altri interessi superiori normativamente tutelati.
Quali sono i casi in cui prevale la volontà di evitare un pregiudizio?
Il citato articolo 2-undecies le limitazioni ai diritti dell’interessato a diversi ambiti tra i quali: antiriciclaggio, attività delle Commissioni parlamentari di inchiesta, controllo dei mercati finanziari, sostegno alle vittime di atti estorsivi, esercizio di diritti in sede giudiziaria e per ragioni di giustizia, riservatezza del dipendente che segnala un illecito in ragione del proprio rapporto di lavoro (art. 2-undecies, comma 1, lettera f).
Cosa consigliate alle funzioni di controllo le cui aziende sono coinvolte dalla nuova legge?
A tutte le funzioni di controllo interno (internal audit, compliance, ODV, RPCT, ecc.) consigliamo di non trascurare assolutamente la legge attuale sul whistleblowing a cui la maggior parte delle realtà aziendali, sia pubbliche che private, si stanno uniformando. E raccomandiamo inoltre di valutare se le proprie procedure di whistleblowing siano conformi alle disposizioni del nuovo Regolamento privacy. Come? Con queste azioni:
- istituire dei canali di reporting interno/esterno con riguardo ai contenuti delle segnalazioni whistleblowing e adottare regole specifiche che delineano in modo chiaro la finalità del trattamento dei dati;
- assicurare la riservatezza e la confidenzialità delle informazioni ricevute;
- proteggere l’identità del segnalante e degli altri soggetti coinvolti nei fatti oggetto di segnalazione;
- utilizzare esclusivamente le informazioni che risultano necessarie in relazione al caso specifico oggetto di segnalazione;
- identificare quali informazioni sono rilevanti ai fini dell’istruttoria che viene svolta nell’ambito della gestione della segnalazione;
- informare tutti i soggetti coinvolti sulle modalità relative al trattamento dei propri dati;
- consentire l’accesso ai dati solamente ai soggetti Responsabili e abilitati alla ricezione di tale tipologia di segnalazioni, limitando il trasferimento delle informazioni riservate soltanto quando ciò risulta necessario;
- definire modalità e termini di conservazione dei dati appropriate e proporzionate ai fini della procedura di whistleblowing.
In caso di ulteriori domande o approfondimenti sul tema del whistleblowing in relazione al GDPR, contattateci via mail o sui social: Unione Fiduciaria sarà lieta di rispondervi!