Il Garante per la protezione dei dati personali ha pubblicato il parere n. 581 del 9 ottobre, diffuso nella newsletter n. 540 del 27 novembre. Il documento interviene sulle linee guida dell’Anac in materia di whistleblowing e segna un passaggio importante per la tutela della riservatezza nelle segnalazioni interne. Le aziende italiane dovranno ora rivedere i propri canali di comunicazione per garantire la sicurezza dei dati e la protezione dell’identità dei segnalanti.
Whistleblowing e privacy: perché l’e-mail non è più sufficiente
Il Garante privacy sottolinea che la posta elettronica non può essere considerata un canale sicuro per la gestione delle segnalazioni. Un messaggio inviato tramite e-mail, infatti, può essere intercettato, inoltrato o archiviato in sistemi non protetti, esponendo informazioni riservate a rischi di accesso non autorizzato. Per questo motivo l’Autorità suggerisce di sostituire l’e-mail con piattaforme digitali dedicate, progettate per garantire anonimato, tracciabilità e limitazione degli accessi solo ai soggetti competenti. La raccomandazione non è un dettaglio tecnico: rappresenta un cambio di paradigma per le imprese che ancora gestiscono le segnalazioni con strumenti tradizionali. Adeguarsi non significa soltanto rispettare la normativa, ma anche rafforzare la cultura della fiducia all’interno dell’organizzazione.
Valutazioni d’impatto e tempi di conservazione: le nuove regole
Tra le indicazioni del Garante emerge l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati, utile per individuare in anticipo vulnerabilità e criticità. Questo processo deve coinvolgere anche i fornitori di tecnologia, assicurando che ogni sistema di whistleblowing rispetti i principi del GDPR e preveda misure tecniche adeguate. L’Autorità richiama inoltre l’attenzione sui tempi di conservazione delle segnalazioni, che devono essere definiti e proporzionati alle finalità del trattamento. L’accumulo di dati non più necessari aumenta il rischio di violazioni e riduce la trasparenza. Alcune strutture potranno condividere il canale di segnalazione con altri enti, ma solo se vengono garantite rigorose misure di separazione dei dati e delle competenze.
Il parere del Garante si inserisce in un percorso più ampio di armonizzazione tra protezione dei dati e responsabilità aziendale. Con il recepimento delle nuove disposizioni sul whistleblowing, le imprese dovranno investire in strumenti informatici che rendano i processi di segnalazione conformi e sicuri. Un impegno che, se affrontato correttamente, riduce il rischio di sanzioni e rafforza la reputazione digitale delle organizzazioni.
