Whistleblowing, responsabile anche chi fornisce il software

La relazione del Garante privacy 2023 affronta anche il delicato tema dei trattamenti dei dati personali nell’ambito delle procedure di acquisizione e gestione delle segnalazioni di illeciti da parte dei dipendenti e di terzi.
Si tratta di una questione sempre più attuale, anche alla luce del decreto legislativo 24/2023 (di attuazione della direLe responsabilitàttiva Ue 2019/1937 del Parlamento europeo e del Consiglio) la cui applicazione è obbligatoria da oggi per le aziende con più di 249 lavoratori e da dicembre per quelle con almeno 50 lavoratori subordinati (nonché, come in precedenza, per tutte le aziende che adottano un modello di gestione in base al decreto legislativo numero 231/2001).
Il Garante ha avviato nel 2022 (e certamente continuerà a farlo) un ciclo di attività ispettive avente a oggetto i software e le procedure per la gestione delle segnalazioni degli illeciti. Dagli esiti degli accertamenti emerge l’importanza della corretta configurazione dei software volta a evitare la registrazione dei dati di navigazione degli utenti non essenziale ai fini della gestione delle segnalazioni.
Parimenti il Garante ricorda la necessità (ribadita dall’ultimo intervento normativo) di effettuare una preventiva valutazione di impatto del trattamento dei dati, una corretta contestuale informativa agli interessati, l’aggiornamento del registro dei trattamenti con l’inserimento di tale specifico trattamento, la predisposizione di idonee misure di sicurezza volte a garantire la protezione delle credenziali di autenticazione.

Gli eventuali profili di responsabilità non riguardano unicamente la società, datrice di lavoro, che adotta la procedura whistleblowing, ma coinvolgono altresì la società informatica che, in qualità di responsabile del trattamento, fornisce all’azienda l’applicazione di whistleblowing allorché, come rilevato in occasione di un recente accertamento ispettivo del Garante, la società informatica omette di dare specifiche istruzioni sul trattamento dei dati degli interessati al fornitore esterno per il servizio di hosting dei sistemi che ospitano l’applicativo.
Problematica pure la commistione che si crea con l’eventuale utilizzo del medesimo servizio di hosting anche per altre finalità proprie della società relative alla gestione del rapporto di lavoro con i dipendenti e la gestione contabile e amministrativa.
Al momento dell’attivazione della procedura whistleblowing occorre dunque regolare il rapporto con i fornitori del servizio, secondo l’articolo 28 del Gdpr, mediante la nomina del responsabile del trattamento, dando istruzioni precise su limiti e modalità di gestione dei dati concernenti segnalante, segnalato e altri lavoratori interessati.

SOTTOPONI UN QUESITO

L'esperto risponde

Scopri di più

EBOOK

I Focus di Norme & Tributi

Scopri di più