L’entrata in vigore del GDPR e la conseguente adozione da parte del legislatore italiano del D.lgs. 101/18 ha portato non poche novità per Enti pubblici e privati. Nell’analisi della compliance aziendale alla normativa comunitaria e nazionale è bene tenere in considerazione ed analizzare i risvolti che la stessa, così come modificata, ha avuto sulla disciplina relativa al whistleblowing, ossia alle segnalazioni aziendali della commissione di illeciti previsto e disciplinato dalla L. 179/17.

L’Autorità Garante per la protezione dei dati personali aveva mosso alcune osservazioni sulla disciplina  del whistleblowing, già quando la norma prevedeva l’applicabilità di tale policy solamente agli Enti Pubblici. Nel dettaglio l’Autorità evidenziava come fosse necessario da un lato estendere agli enti privati una disciplina per la segnalazione degli illeciti, e, dall’altro, individuare nel dettaglio i presupposti di liceità del trattamento, disciplinando le condizioni per l’eventuale ammissibilità delle segnalazioni anonime e, infine, normare a livello interno il rapporto e il corretto bilanciamento tra il diritto di accesso del segnalato ai propri dati personali e la protezione dell’identità del segnalante.

Il legislatore anche in considerazione di tali raccomandazioni, non solo ha esteso la disciplina del  whistleblowing anche agli enti privati, già nel 2017, ma con il D.lgs. 101/18 ha posto l’accento sulla tutela dell’identità del segnalante e sulla corretta gestione dei dati personali attinenti alle attività di segnalazione.

Infatti, esercitando la facoltà accordata dall’art.23 del GDPR che riconosce agli stati membri la possibilità di poter porre delle limitazioni all’esercizio dei diritti da parte dei soggetti interessati, l’art. 2-undecies prevede la limitazione del diritto di accesso, riconosciuto all’interessato, ai propri dati personali qualora questo, una volta esercitato, possa comportare un pregiudizio concreto ed effettivo alla riservatezza dell’identità del dipendente che segnala un illecito ai sensi della L. 179/17.

L’esercizio di questi diritti può essere limitato, ritardato o eventualmente eluso per mezzo di una comunicazione motivata, senza che questa possa in alcun modo compromettere la finalità della limitazione, nei tempi e nei limiti in cui questo rappresenti una misura proporzionata e necessaria.

Dunque, nell’ottica di una corretta adozione e attuazione dei c.d. “whistleblowing schemes aziendaliche possano definirsi compliant alla normativa sulla protezione dei dati personali e al principio dell’accountability, ossia di “responsabilizzazione” del Titolare, è indispensabile che la progettazione e la normazione di policy whistleblowing tengano in considerazione la qualità dei dati raccolti. L’attenzione, pertanto, deve esser rivolta a quei dati necessari per lo svolgimento dell’attività di trattamento posta in essere per la finalità indicata dalla policy whistleblowing, rapportandosi al principio di proporzionalità del trattamento, senza prescindere dall’obbligo di fornire informazioni chiare e complete sulla procedura, sui diritti del soggetto denunciato e sulla sicurezza dei trattamenti che la procedura deve garantire e alle modalità di gestione della stessa.