Il Garante per la protezione dei dati personali ha espressamente escluso dal proprio Parere ogni considerazione in merito al “nuovo e diverso ruolo che l’ente potrebbe assumere in relazione alle segnalazioni effettuate nell’ambito della normativa whistleblowing.
Tuttavia, questa lacuna è stata ora colmata dal D.Lgs. 24/2023, che introduce un’apposita norma volta a disciplinare il trattamento dei dati personali in relazione alle segnalazioni di violazioni. Ai sensi dell’articolo 13, comma 1, del D.Lgs. 24/2023, tutti i trattamenti devono essere conformi al GDPR. Inoltre, il comma 4 specifica che il trattamento dei dati personali connesso alla ricezione e alla gestione delle segnalazioni deve essere effettuato dai Responsabili del trattamento designati.
Ciò significa che l’OdV, quando individuato come destinatario di segnalazioni di violazioni ai sensi della normativa whistleblowing, agirà in qualità di autonomo Titolare del trattamento (anziché di Rappresentante), a seconda della tipologia di segnalazione ricevuta.
Pertanto, l’OdV dovrà individuare e attuare adeguate misure tecniche e organizzative per garantire che il trattamento dei dati personali sia conforme al GDPR e garantisca un livello di sicurezza adeguato al rischio (ex artt. 24 e 32 del GDPR) . L’OdV deve inoltre essere in grado di dimostrare l’adozione e l’adeguatezza di tali misure (in ottemperanza al principio di accountability, di cui all’art. 5, comma 2, del GDPR).
In particolare, in qualità di Titolare del trattamento, l’OdV dovrà porre in essere misure di sicurezza idonee a tutelare la riservatezza del segnalante, nonché l’integrità e riservatezza dei dati personali oggetto della segnalazione.
Il nuovo Decreto Whistleblowing richiede inoltre agli enti privati soggetti alla normativa in materia (ex artt. 2 e 3 D.Lgs. 24/2023) di effettuare una valutazione d’impatto sulla protezione dei dati come previsto dall’art. 13, comma 6, D.Lgs. 24/2023.