La pratica del whistleblowing solleva importanti questioni riguardo alla privacy e alla protezione dei dati personali. Ciò è dovuto al fatto che le segnalazioni possono implicare la raccolta e il trattamento di informazioni personali relative al segnalante, al soggetto segnalato e, eventualmente, ad altri individui citati nella segnalazione stessa. È fondamentale garantire la riservatezza sia del whistleblower che del contenuto della segnalazione, con un’attenzione particolare anche per il soggetto segnalato.
Le norme si misurano con questa esigenza ma, come di consueto, pongono numerose questioni interpretative. Nella chiacchierata che abbiamo avuto con l’avv. Guido Scorza, Componente del Collegio del Garante per la protezione dei dati personali, abbiamo cercato di delineare gli aspetti principali.
Il trattamento dei dati
La gestione delle segnalazioni whistleblowing prevede che ci siano diversi trattamenti di dati personali di soggetti diversi, interni ed esterni alla realtà aziendale. Quindi è necessario seguire la base giuridica vigente che stabilisce come debbano essere trattati tali dati, da chi e anche per quanto tempo. Nel caso specifico del whistleblowing la data retention è pari a 5 anni e si riferisce ai dati strumentali della procedura.
Poiché in un sistema di whistleblowing, come abbiamo accennato poc’anzi, possono essere diversi i soggetti che debbono trattare i dati personali del segnalante e del segnalato è necessario prevedere un’informativa in cui sia ben chiari i vari ruoli, chi è il titolare del trattamento e chi sono i responsabili del trattamento o le persone autorizzate al trattamento.
È importante tenere presente che a determinare le finalità e le caratteristiche del trattamento è il titolare, il responsabile è solo chi agisce per conto del titolare. Quindi è fondamentale creare delle policy ad hoc per ogni soggetto che andrà a gestire i dati.
Quali dati e quali regole seguire
Anche nei sistemi di whistleblowing la regola base da seguire è quella che prevede il trattamento di dati personali nella misura minima e necessaria al perseguimento degli obblighi derivanti dalla disciplina vigente. Inoltre l’implementazione del sistema di whistleblowing e dei relativi trattamenti deve necessariamente essere preceduta da una valutazione di impatto privacy; così come è essenziale adottare una policy ad hoc che descriva e disciplini i flussi di dati connessi all’inoltro e alla gestione delle segnalazioni e alla loro conservazione.
Come tutelare la privacy del segnalato
Il segnalato, finché è soltanto un “segnalato” è una persona che mantiene gli stessi diritti del segnalante, non ci sono ragioni per comprimere il suo diritto alla privacy o per riservargli un trattamento deteriore.
Nell’ambito del whistleblowing, è palese che al segnalato non può essere consentito l’accesso alla segnalazione, perché cadrebbe immediatamente la riservatezza del segnalante. Il punto di bilanciamento prevede da un lato la riservatezza del segnalante e quindi la tutela della sua privacy, dall’altro è il garante stesso che tutela la privacy del segnalato e che si interfaccia per valutare che non si siano violazioni a danno del segnalato stesso.
Tecnologia e privacy
L’implementazione di un sistema di whistleblowing implica che ci sia anche una conoscenza delle tecnologie necessarie alla tutela dei dati. Una piattaforma che gestisce le segnalazioni deve essere necessariamente in grado di criptare i dati e garantire un accesso sicuro.
Parallelamente a queste, ci sono altre due considerazioni da fare: la prima è che il sistema deve essere semplice da usare sia per i segnalanti che per chi deve gestire le segnalazioni. La seconda è quella di creare un percorso guidato nella segnalazione per aiutare il segnalante ad inserire solo i dati realmente necessari ai fini della segnalazione.