Tag: privacy by design e by default

• GPDP, Docweb 9768363, 11.5.2022 (6)

  Massima (6) – Il trattamento dei dati personali effettuato mediante i sistemi di acquisizione gestione delle segnalazioni di attività illecite (whistleblowing) presenta rischi specifici per i diritti e le libertà degli interessati, considerata anche la particolare delicatezza delle informazioni potenzialmente trattate, la “vulnerabilità” degli interessati nel contesto lavorativo, nonché lo specifico regime di riservatezza dell’identità del segnalante previsto dalla normativa di settore. In relazione a tale trattamento sussiste pertanto l’obbligo di effettuare preventivamente la valutazione di impatto di cui all’art. 35 GDPR, necessaria a individuare misure specifiche per attenuare i rischi derivanti da tale trattamento.

• GPDP, Docweb 9768363, 11.5.2022 (5)

  Massima (5) – Le credenziali di autenticazione (una per verifica dell’anagrafica dei segnalanti e una per la gestione delle segnalazioni di attività illecite) assegnate ed utilizzate dal RPCT quale soggetto legittimato alla gestione del whistleblowing, devono essere immediatamente disattivate qualora lo stesso rassegni le proprie dimissioni, anche se abbia provveduto a consegnare le predette credenziali al responsabile dell’Ufficio prevenzione della corruzione, trasparenza e trattamento dei dati personali all’interno di una busta chiusa, affinché le stesse vengano consegnate al nuovo RPCT. Allo stesso modo va impedito che il RPCT dimissionario possa avere accesso alle notifiche dell’avvenuta iscrizione di un segnalante e della ricezione di una segnalazione, qualora l’applicativo web per la gestione del whistleblowing provveda a trasmettere tali informazioni ad un indirizzo di posta elettronica preimpostato.

• GDPD, Docweb 9768363, 11.5.2022 (2)

  Massima (2) – Nell’ambito della disciplina relativa alla tutela del dipendente pubblico che segnala illeciti e di quella in materia di whistleblowing riferita ai soggetti privati, andata ad integrare la normativa in materia di responsabilità amministrativa delle persone giuridiche, il titolare del trattamento (considerata anche la particolare delicatezza delle informazioni potenzialmente trattate e la “vulnerabilità” degli interessati nel contesto lavorativo), anche quando utilizza prodotti o servizi realizzati da terzi oltre all’assolvimento dell’obbligo di rendere adeguate informazioni agli interessati deve eseguire, anche avvalendosi del supporto del responsabile della protezione dei dati ove nominato, una valutazione dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento.

• La tutela dell’identità del segnalante nel quadro della disciplina dettata in materia di segnalazioni di condotte illecite (“whistleblowing”)

  GPDP, Docweb n. 9768363 dell’11 maggio 2022 | Massime e Commento di Luca Petrone