Whistleblowing? Proteggi i dati personali di chi segnala

Pubblicato il 25 Luglio 2023

Signalethic è la soluzione whistleblowing che garantisce la protezione dei dati personali nella gestione delle segnalazioni di illeciti e irregolarità aziendali

Whistleblowing, le linee guida definitive per le aziende

Dopo la Direttiva Europea Whistleblowing, con Delibera n. 311 del 12 luglio 2023, l’ANAC ha approvato e pubblicato la versione definitiva delle Linee guida sul whistleblowing.

Le linee guida forniscono anche chiarimenti e principi di carattere generale che i soggetti privati che istituiscono un canale interno – e che quindi rivestono il ruolo di titolari del trattamento dei dati personali – possono tenere in considerazione nell’ambito delle proprie scelte di natura organizzativa e tecnica finalizzate alla scelta e all’implementazione dei canali di segnalazione interni.

La tutela della riservatezza del segnalante, del facilitatore, della persona coinvolta e delle persone menzionate non sono un elemento accessorio del canale interno di segnalazione, ma sono una caratteristica fondamentale per consentirne l’utilizzo.

Nelle linee guida l’ANAC infatti chiarisce che un eventuale segnalante può legittimamente decidere di ricorrere direttamente al canale esterno presso ANAC e non utilizzare il canale interno di segnalazione messo a disposizione dall’azienda, nel caso in cui questo, anche se attivo e messo a disposizione dei segnalanti, non sia conforme a quanto previsto dal legislatore, anche in merito alle modalità di presentazione delle segnalazioni.

Banner_Signalethic 1

Perché scegliere un sistema whistleblowing di segnalazioni più sicuro in azienda?

Anche il Garante per i dati personali, il quale ha espresso un parere sulle linee guida, ha ribadito come la scelta e la comunicazione dei canali di segnalazione deve essere effettuata sulla base di una valutazione del rischio.

Taluni canali di segnalazione non possono infatti offrire garanzie in termini di sicurezza e privacy e quindi violano la normativa informatica.

Se il ricorso alla posta elettronica ordinaria e alla posta elettronica certificata non può essere di per sé uno strumento adeguato a garantire la riservatezza, anche altri sistemi possono non essere soluzioni sufficienti per soddisfare i requisiti della normativa whistleblowing o richiedere misure aggiuntive.

Questo è il caso, ad esempio, dell’utilizzo di form pubblicati sul sito web dell’azienda, che comunque comportano una raccolta dati di navigazione del segnalante o l’invio della segnalazione a un indirizzo email, mentre l’uso di moduli cartacei che devono essere consegnati di persona potrebbe esporre al rischio che colleghi di lavoro, o altri individui, possano testimoniare il momento in cui la segnalazione viene effettuata.

In tutti questi casi è troppo alto il rischio che non si possa garantire la sicurezza del sistema o che individui non autorizzati possano accedere ai dati della segnalazione compromettendo la riservatezza della stessa.

Il sistema informatico da utilizzare per il whistleblowing deve soddisfare i requisiti del GDPR in termini di sicurezza e privacy by design e by default, anche tramite l’utilizzo di tecniche come la crittografia dei dati, e assicurare la non tracciabilità del segnalante anche tramite software che evita by default la raccolta e registrazione dei dati di navigazione degli utenti non essenziali.

Il Garante ha effettuato, durante il 2022, attività ispettive per verificare lo stato di adeguamento alla protezione dei dati personali dei sistemi e processi utilizzati dalle aziende per il whistleblowing.

La scelta di un sistema di gestione delle segnalazioni sicuro e privacy preserving è quindi fondamentale per evitare criticità e gestioni scorrette e sanzionabili.

Banner_Signalethic 2

Segnalazioni whistleblowing? La soluzione di Sanmarco Informatica è Signalethic

Signalethic è la soluzione cloud based di Sanmarco Informatica per la gestione delle segnalazioni whistleblowing e risponde ai requisiti della normativa sulla protezione dei dati personali.

Signalethic è stata progettata seguendo i principi della privacy e sicurezza by design e by default, ovvero tramite una strategia di programmazione che integra i requisiti del GDPR per impostazione predefinita e sin dalla progettazione di un prodotto o di un servizio.

Questo si è potuto realizzare grazie all’unione di intenti e alla collaborazione, durante tutto il percorso di progettazione e sviluppo del software, fra competenze specializzate in software design, sicurezza informatica e protezione dei dati personali.

Con Signalethic viene inoltre fornita una brochure informativa che contiene informazioni tecniche su come le caratteristiche in termini di privacy e sicurezza del software offrano al cliente soluzioni ai requisiti e agli adempimenti della protezione dei dati.

La guida e le informazioni tecniche sono state sviluppate sulla base dell’esperienza dei professionisti di Sanmarco Informatica e vengono fornite al cliente al fine supportarlo nell’adempimento degli obblighi di valutazione di impatto DPIA – Data Protection Impact Assessment.

Ma l’uso di un’applicazione sicura non è sufficiente. È necessario inoltre sviluppare processi che garantiscano la gestione a norma delle segnalazioni whistleblowing.

Sanmarco Informatica offre servizi di consulenza privacy e valutazione d’impatto (DPIA) tramite professionisti con esperienza nazionale e internazionale, affiancandosi a Docuverse, azienda che si occupa di servizi di consulenza, conservazione, GDPR e privacy.

Contattaci per ricevere maggiori informazioni!

Richiedi maggiori informazioni

Potrebbe interessarti anche...