Utilizzare una semplice e-mail o una casella di posta elettronica certificata (PEC) non può essere considerato uno strumento sicuro, né tantomeno efficace per la gestione delle segnalazioni.
Le
principali criticità riguardano la
protezione e la sicurezza delle informazioni dei dati trasmessi, così come la riservatezza dei soggetti coinvolti, ai sensi della normativa sul trattamento dei dati personali, ma anche elementi di contrasto con la normativa
whistleblowing specifica, dove è esplicito il riferimento alla riservatezza dei dati dei soggetti coinvolti e a profili di
compliance privacy.
La posta elettronica non è raffigurabile come una forma di comunicazione sicura. I dati contenuti nelle e-mail non sono criptati, possono essere lette da chiunque e persino il loro contenuto può essere alterato. Soggetti aziendali quali i membri dell’IT, per esempio, possono accedere facilmente a tutte le informazioni compromettendo, di fatto, la riservatezza dell’identità del whistleblower e di tutti gli altri soggetti coinvolti. Un altro aspetto critico da considerare è il venire meno ai principi di accountability e di privacy by design e by default previsti dal GDPR. Inoltre, i documenti inviati e relativi al caso segnalato non potranno essere archiviati in modo sicuro e idoneo a garantire adeguati livelli di sicurezza, esponendo l’azienda a possibili e gravi data breach.
Oltre all’invio delle segnalazioni l’altro aspetto da considerare è la gestione delle segnalazioni. Il Decreto legislativo 24/2023 prevede che venga fornito un riscontro al segnalante entro 7 giorni, ed entro 3 mesi l’esito della segnalazione stessa, le aziende inadempienti possono incorrere in sanzioni fino a 50.000 euro.