In attuazione della Direttiva (UE) 2019/1937, è stato emanato il D.Lgs. n. 24 del 10 marzo 2023 riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”.

Il decreto è entrato in vigore il 30 marzo 2023 e le disposizioni ivi previste hanno effetto a partire dal 15 luglio 2023.

Con il termine whistleblowing s’intende: la rivelazione spontanea da parte di un individuo, detto “segnalante” (in inglese “whistleblower”) di un illecito o di un’irregolarità commessa all’interno dell’organizzazione che ledono l’interesse pubblico l’integrità dell’amministrazione pubblica o dell’ente privato, acquisite nell’ambito del proprio contesto lavorativo.

Il segnalante spesso è un dipendente ma può anche essere un fornitore, gli azionisti o le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.

Si parla di whistleblowing “interno” quando la segnalazione viene fatta per il tramite dei canali di segnalazione interni all’azienda.

Questi strumenti hanno lo scopo di garantire un canale di comunicazione a tutti coloro che sono a conoscenza di illeciti o atti non etici avvenuti all’interno dell’organizzazione.

Ed è proprio qui che la disciplina sulla protezione dei dati personali trova applicazione!

La nuova disciplina, infatti, in termini di protezione dei dati personali, ha lo scopo di garantire la riservatezza dell’identità della persona segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché’ del contenuto della segnalazione e della relativa documentazione.

Di fatto il Reg. UE 2016/679 «GDPR» si applica a tutti i trattamenti dati dell’organizzazione, ed in particolare in questo contesto occorre disciplinare le modalità ed i canali di comunicazione in termini di accountability, privacy by design & by default, misure di sicurezza, formazione, DPIA e tutti gli altri adempimenti richiesti.

L’installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell’ordinamento applicabili: ad esempio, le vigenti norme dell’ordinamento civile e penale in materia di interferenze illecite nella vita privata, o in materia di controllo a distanza dei lavoratori. (art. 4 legge 300/1970 Statuto dei Lavoratori)

Va sottolineato, in particolare, che l’attività di videosorveglianza va effettuata nel rispetto del cosiddetto principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e dislocazione e alla gestione delle varie fasi del trattamento.

I dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite.

Il Comitato europeo per la protezione dei dati (EDPB)  ha adottato le “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” allo scopo di fornire indicazioni sull’applicazione del Regolamento in relazione al trattamento di dati personali attraverso dispositivi video, inclusa la videosorveglianza.