A cura di Eugenia Canistro – Avvocato & Privacy Officer
Torniamo a parlare delle novità introdotte dalla c.d. normativa whistleblowing (D.lgs. 24/2023). Abbiamo introdotto le novità che il legislatore ha voluto apportare alla disciplina qui, oggi approfondiamo uno degli aspetti più rilevanti, lato privacy, richiesti dal Decreto, ovvero l’obbligo di redigere una valutazione di impatto (c.d. DPIA) preventiva che analizzi la procedura whistleblowing adottata dall’azienda.
La valutazione d’impatto sulla protezione dei dati (o DPIA – Data Protection Impact Assessment) è una particolare procedura, prevista dall’articolo 35 e dai considerando 90 e 93 del GDPR che viene eseguita dal Titolare del trattamento al fine di individuare, e quindi mitigare, i rischi connessi a peculiari trattamenti di dati personali.
La valutazione d’impatto deve essere eseguita prima di iniziare il trattamento dei dati personali e spetta al Titolare, in un’ottica di accountability, decidere quando eseguire una DPIA (per maggiori approfondimenti in relazione ai trattamenti che necessitano – o necessiterebbero – di essere sottoposti a valutazione d’impatto si rimanda alle linee guida del EDPB “Valutazioni di impatto sulla protezione dei dati Trattamento a rischio elevato”).
Tuttavia, in deroga al principio cardine della normativa in materia di dati personali (accountability), secondo il quale è solamente il Titolare a scegliere di svolgere o meno una DPIA sui propri trattamenti di dati, nel caso della normativa whistleblowing è il legislatore europeo a dettare una regola universale: il trattamento dei dati personali effettuato nell’ambito dell’implementazione di una procedura whistleblowing deve essere analizzato con una DPIA.
COSA DEVE FARE L’AZIENDA?
Ogni Titolare del trattamento, definita la propria procedura whistleblowing, identificate quindi le modalità di trattamento dei dati, gli eventuali software gestionali scelti per gestire le segnalazioni, identificati i responsabili esterni che, sempre eventualmente, gestiranno porzioni di trattamento, deve valutare l’impatto delle proprie scelte sui diritti e le libertà degli interessati.
La valutazione d’impatto è un giudizio prognostico sulle possibili ripercussioni che, ogni interessato, potrebbe subire in caso di trattamento illegittimo dei propri dati, di utilizzo di strumenti informatici non compliance al Regolamento, di trasmissione dei dati – quand’anche, e soprattutto, accidentale – a soggetti non legittimati a riceverli.
Il trattamento è certamente un obbligo normativo, pertanto, il focus sul quale le aziende devono concentrarsi non sarà la legittimità del trattamento in sé, quanto la sicurezza (e l’allineamento normativo) degli strumenti utilizzati per gestire i flussi di dati trasmessi dai whistleblowers.
COSA DEVE CONTERE LA DPIA?
Gli elementi che devono essere valutati in occasione della redazione della DPIA svolta sui trattamenti c.d. whistleblowing sono:
- la descrizione sistematica dei trattamenti e delle finalità del trattamento;
- la valutazione della proporzionalità del trattamento rispetto alle finalità;
- la valutazione dei rischi per i diritti e le libertà degli interessati;
- le misure previste per gestire e mitigare i rischi derivanti dal trattamento, in attuazione del principio di responsabilizzazione (accountability) di cui abbiamo già accennato.
La DPIA dovrà quindi essere conservata presso l’azienda e mostrata agli organi competenti qualora richiesta. Inoltre, periodicamente, se le modalità di gestione delle segnalazioni whistleblowing dovessero cambiare (acquisto di nuovi gestionali, cambio fornitori di servizi, ecc.) la valutazione d’impatto dovrà essere aggiornata. È bene, infatti, rammentare sempre, che il modello organizzativo privacy è un modello dinamico, che cresce e muta con la crescita e i cambiamenti aziendali.
Infine, la DPIA deve essere svolta preventivamente rispetto all’inizio del trattamento dei dati, pertanto, le aziende con più di 50 dipendenti o quelle che, anche senza raggiungere i cinquanta collaboratori all’attivo, ma che hanno implementato un modello organizzativo ai sensi del D.lgs. 231/2001, saranno tenute a svolgere la DPIA entro il 17 dicembre 2023, termine ultimo per dotarsi di una procedura whistleblowing ai sensi del Decreto 24/2023.
Oppure contattaci per richiedere informazioni
A cura di Eugenia Canistro – Avvocato & Privacy Officer
Torniamo a parlare delle novità introdotte dalla c.d. normativa whistleblowing (D.lgs. 24/2023). Abbiamo introdotto le novità che il legislatore ha voluto apportare alla disciplina qui, oggi approfondiamo uno degli aspetti più rilevanti, lato privacy, richiesti dal Decreto, ovvero l’obbligo di redigere una valutazione di impatto (c.d. DPIA) preventiva che analizzi la procedura whistleblowing adottata dall’azienda.
La valutazione d’impatto sulla protezione dei dati (o DPIA – Data Protection Impact Assessment) è una particolare procedura, prevista dall’articolo 35 e dai considerando 90 e 93 del GDPR che viene eseguita dal Titolare del trattamento al fine di individuare, e quindi mitigare, i rischi connessi a peculiari trattamenti di dati personali.
La valutazione d’impatto deve essere eseguita prima di iniziare il trattamento dei dati personali e spetta al Titolare, in un’ottica di accountability, decidere quando eseguire una DPIA (per maggiori approfondimenti in relazione ai trattamenti che necessitano – o necessiterebbero – di essere sottoposti a valutazione d’impatto si rimanda alle linee guida del EDPB “Valutazioni di impatto sulla protezione dei dati Trattamento a rischio elevato”).
Tuttavia, in deroga al principio cardine della normativa in materia di dati personali (accountability), secondo il quale è solamente il Titolare a scegliere di svolgere o meno una DPIA sui propri trattamenti di dati, nel caso della normativa whistleblowing è il legislatore europeo a dettare una regola universale: il trattamento dei dati personali effettuato nell’ambito dell’implementazione di una procedura whistleblowing deve essere analizzato con una DPIA.
COSA DEVE FARE L’AZIENDA?
Ogni Titolare del trattamento, definita la propria procedura whistleblowing, identificate quindi le modalità di trattamento dei dati, gli eventuali software gestionali scelti per gestire le segnalazioni, identificati i responsabili esterni che, sempre eventualmente, gestiranno porzioni di trattamento, deve valutare l’impatto delle proprie scelte sui diritti e le libertà degli interessati.
La valutazione d’impatto è un giudizio prognostico sulle possibili ripercussioni che, ogni interessato, potrebbe subire in caso di trattamento illegittimo dei propri dati, di utilizzo di strumenti informatici non compliance al Regolamento, di trasmissione dei dati – quand’anche, e soprattutto, accidentale – a soggetti non legittimati a riceverli.
Il trattamento è certamente un obbligo normativo, pertanto, il focus sul quale le aziende devono concentrarsi non sarà la legittimità del trattamento in sé, quanto la sicurezza (e l’allineamento normativo) degli strumenti utilizzati per gestire i flussi di dati trasmessi dai whistleblowers.
COSA DEVE CONTERE LA DPIA?
Gli elementi che devono essere valutati in occasione della redazione della DPIA svolta sui trattamenti c.d. whistleblowing sono:
- la descrizione sistematica dei trattamenti e delle finalità del trattamento;
- la valutazione della proporzionalità del trattamento rispetto alle finalità;
- la valutazione dei rischi per i diritti e le libertà degli interessati;
- le misure previste per gestire e mitigare i rischi derivanti dal trattamento, in attuazione del principio di responsabilizzazione (accountability) di cui abbiamo già accennato.
La DPIA dovrà quindi essere conservata presso l’azienda e mostrata agli organi competenti qualora richiesta. Inoltre, periodicamente, se le modalità di gestione delle segnalazioni whistleblowing dovessero cambiare (acquisto di nuovi gestionali, cambio fornitori di servizi, ecc.) la valutazione d’impatto dovrà essere aggiornata. È bene, infatti, rammentare sempre, che il modello organizzativo privacy è un modello dinamico, che cresce e muta con la crescita e i cambiamenti aziendali.
Infine, la DPIA deve essere svolta preventivamente rispetto all’inizio del trattamento dei dati, pertanto, le aziende con più di 50 dipendenti o quelle che, anche senza raggiungere i cinquanta collaboratori all’attivo, ma che hanno implementato un modello organizzativo ai sensi del D.lgs. 231/2001, saranno tenute a svolgere la DPIA entro il 17 dicembre 2023, termine ultimo per dotarsi di una procedura whistleblowing ai sensi del Decreto 24/2023.