GPDP, Docweb 9768363, 11.5.2022 (3)

Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy  collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Massima (3) – I trattamenti di dati personali effettuati per finalità di acquisizione e gestione di segnalazioni di condotte illecite (c.d. whistleblowing) vanno censiti nel registro delle attività di trattamento di cui all’art. 30 GDPR, che deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. La tenuta del registro è funzionale al rispetto del principio di “responsabilizzazione” del titolare (art. 5, par. 2, GDPR), in quanto costituisce uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione del titolare. Ciò risulta particolarmente rilevante con riguardo alle attività di valutazione e di analisi del rischio, costituendo, pertanto, un adempimento preliminare rispetto a tali attività.

Provvedimento:  GPDP, Docweb n. 9768363 dell’11 maggio 2022 

Link:  https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9768363

Commento: https://www.dataprotection-privacy.it/?p=751

Massima e Commento di Luca Petrone