L’adeguamento aziendale alla normativa in materia di whistleblowing passa anche per alcuni adempimenti privacy. Si tratta, in particolare, di operazioni e passaggi che, direttamente o indirettamente, derivano dal recepimento delle nuove norme all’interno dell’azienda. Attivare un canale di segnalazione interno, infatti, comporta la designazione di (almeno) un soggetto quale legittimato a ricevere e gestire le segnalazioni. Questo significa, ovviamente, che la persona (o le persone) in questione entrerà in contatto con tutta una serie di dati personali. Logico, dunque, che la privacy policy aziendale debba ricevere un aggiornamento.

Incarichi, formazione e registro dei trattamenti

I ritocchi all’impianto whistleblowing e quello privacy devono andare a braccetto. Serve, anzitutto, individuare le persone che, a vario titolo, possono operare nella gestione delle segnalazioni. Per costoro, occorrerà un incarico specifico da parte del titolare del trattamento, che li autorizzi ai trattamenti di dati personali implicati. È indispensabile, inoltre, che questi soggetti ricevano la formazione adeguata, data la delicatezza delle informazioni che andranno a trattare.

La gestione delle segnalazioni comporta, come detto, il trattamento di dati personali, che possono essere tanto quelli del segnalante quanto quelli delle persone coinvolte. Questo significa, peraltro, che diventa necessario aggiornare il registro dei trattamenti, nel quale troverà spazio anche questa peculiare attività. L’inserimento andrà completato indicando le categorie di dati trattati, le categorie di destinatari e di interessati, le finalità e le basi giuridiche del trattamento.

Misure di sicurezza, progettazione, valutazione d’impatto e informativa

La normativa impone stringenti obblighi di riservatezza circa i dati personali trattati nella gestione delle segnalazioni. Da ciò deriva che l’azienda dovrà rivedere le misure tecniche e organizzative, che dovranno garantire standard di sicurezza particolarmente severi. E occhio alla privacy by design e privacy by default, principi da avere sempre in mente nella scelta del canale di segnalazione interno, che deve essere, fin dalla progettazione, adeguato a garantire la riservatezza. Orientarsi sul canale informatico o su quello, per così dire, analogico, non è quindi una decisione di poco peso ed è l’ennesima prova della stretta correlazione tra adeguamento whistleblowing e privacy policy aziendale.

Il rischio connesso alla gestione di dati in questo campo va a braccetto con la redazione di una valutazione di impatto. Adempimento che diventa indispensabile se si opta per il canale di segnalazione informatico, implicante cioè l’utilizzo di tecnologie, con i connessi rischi che ne derivano. Non da ultimo, bisognerà fornire agli interessati un’informativa espressamente dedicata al whistleblowing.