Whistleblowing e privacy
Lo schema del d. lgs. di recepimento della Direttiva UE sulla segnalazione degli illeciti, prevede che pubblica amministrazione e imprese siano obbligate a scrivere e gestire la valutazione d’impatto privacy per il whistleblowing.
L’art. 13 dello schema del decreto è infatti dedicato al trattamento di dati personali nei procedimenti di whistleblowing, con l’obiettivo di chiarire alcuni adempimenti derivanti dall’applicazione della disciplina sulla privacy.
Poiché l’art. 35 del GDPR è generico nello stabilire quando è necessaria la Dpia, limitandosi a renderla obbligatoria nei trattamenti ad alto rischio, la precisazione dello schema del decreto è opportuna, per evitare il rischio di interpretazioni difformi.
Poiché per redigere e applicare la valutazione d’impatto è necessaria un’alta specializzazione, le PA e le imprese coinvolte tenute agli adempimenti whistleblowing saranno anche tenute a nominare un Dpo, per non incorrere nel rischio di sanzioni.