La recente introduzione del Decreto Legislativo 24/2023, noto come la normativa sul whistleblowing, ha apportato significativi cambiamenti nel mondo della protezione dei dati personali. Oltre agli obblighi legati alle segnalazioni interne e alla tutela dei whistleblower, il Decreto (art.13 comma 6) impone un aspetto critico in termini di privacy: l’obbligo di condurre una Valutazione di Impatto sulla Protezione dei Dati, nota come DPIA, specificamente per le procedure di whistleblowing adottate dalle aziende.
Cos’è una DPIA e perché è così rilevante?
La DPIA, o Valutazione di Impatto sulla Protezione dei Dati, è una procedura fondamentale prevista dal Regolamento Generale sulla Protezione dei Dati (GDPR) che mira a individuare e mitigare i rischi legati al trattamento dei dati personali. Questo processo deve essere completato prima dell’inizio del trattamento dei dati stessi. In questo contesto, è compito del Titolare del trattamento decidere quando eseguire una DPIA.
Tuttavia, il Decreto sul whistleblowing introduce una deviazione interessante da questo principio di “accountability”. In questo caso, il legislatore europeo stabilisce una regola universale: tutte le operazioni di trattamento dei dati personali effettuate nell’ambito delle procedure di whistleblowing devono essere analizzate attraverso una DPIA.
Cosa devono fare le organizzazioni?
Ogni Titolare del trattamento deve, in primo luogo, definire la propria procedura di whistleblowing e identificare le modalità di trattamento dei dati. Questo può includere la selezione di software gestionali specifici per gestire le segnalazioni o l’identificazione di responsabili esterni che gestiranno porzioni di trattamento. Una volta definito lo strumento da utilizzare, occorre eseguire la DPIA e quindi valutare preventivamente le possibili conseguenze che i singoli interessati potrebbero subire in caso di trattamento illegittimo dei loro dati.
Contenuto chiave di una DPIA
Durante la redazione di una DPIA per i trattamenti di whistleblowing, è essenziale considerare i seguenti elementi:
- Una descrizione dettagliata dei trattamenti e delle relative finalità.
- Una valutazione della proporzionalità del trattamento rispetto alle finalità.
- Una valutazione dei rischi per i diritti e le libertà degli interessati.
- Le misure previste per gestire e mitigare i rischi, in conformità con il principio di responsabilizzazione (accountability) del GDPR.
La DPIA deve essere mantenuta all’interno dell’azienda e resa disponibile agli organi competenti su richiesta. Inoltre, è necessario aggiornarla periodicamente in caso di modifiche nella gestione delle segnalazioni di whistleblowing. Fondamentale sarà il supporto del fornitore scelto per il software di whistleblowing che dovrà essere in grado di fornire le necessarie informazioni utili alle valutazioni del caso.
Come può aiutarti FinData?
Con oltre un decennio di esperienza nella gestione dei rischi e della privacy, il nostro Data Protection Team può guidarti attraverso il processo di DPIA. In questo modo puoi verificare la conformità della tua organizzazione alle normative sul whistleblowing e che i dati personali siano adeguatamente protetti.
Da ricordare, le aziende con più di 50 dipendenti o che hanno implementato un modello organizzativo ai sensi del D.lgs. 231/2001 devono condurre la DPIA entro il 17 dicembre 2023, in conformità, come detto, alle previsioni del Decreto 24/2023.
Contattaci per ulteriori informazioni e per proteggere i dati personali nella tua azienda!