Le attività richieste dalla Direttiva Whistleblowing, per essere a norma di legge, devono essere svolte e impostate nel rispetto del Regolamento Europeo per la Protezione dei Dati Personali (GDPR, detto anche Regolamento Privacy).
In particolare, l’azienda che attua la Direttiva nel rispetto della normativa privacy deve svolgere i seguenti adempimenti:
- Registrare il relativo trattamento dati nel Registro dei Trattamenti. Il trattamento deve essere stato progettato fin dall’inizio nel rispetto dei principi imposti dal Regolamento.
- Fornire a dipendenti, collaboratori, azionisti ecc. un’apposita Informativa Privacy al fine di renderli consapevoli a priori di come verrebbero trattati i loro dati nel momento in cui decidessero di effettuare una segnalazione.
- Eseguire una DPIA (Data Protection Impact Assesment), in italiano “Valutazione di Impatto sulla Protezione dei Dati Personali”. Si tratta di un’attività richiesta dal GDPR ogni volta che il trattamento può comportare un rischio elevato per i diritti e le libertà delle persone, come nel caso delle attività di whistleblowing. In particolare, una DPIA serve a descrivere il trattamento, valutarne la necessità e la proporzionalità nonché a determinare come gestire gli eventuali rischi per i diritti e le libertà delle persone derivanti dal trattamento.
- Fornire e far sottoscrivere un’apposita lettera di Autorizzazione al Trattamento ai dipendenti chiamati a gestire il canale di segnalazione e provvedere alla loro formazione.
- Nell’ipotesi in cui l’azienda si avvalesse di fornitori terzi per la gestione del canale di segnalazione (es. fornitore di un software terzo), designare tali fornitori come “Responsabili del Trattamento”.
- Nel caso di realtà che decidono di condividere il sistema per il ricevimento e la gestione delle segnalazioni, stipulare un accordo interno con gli altri contitolari del trattamento per definire le rispettive responsabilità.
