Whistleblowing: il Garante francese adotta le Linee Guida sul trattamento dei dati personali nell’ambito delle segnalazioni di illeciti

La Commission nationale de l’informatique et des libertés (“CNIL”), il garante privacy francese, ha recentemente rilasciato delle linee guida al fine di dotare organismi sia pubblici che privati degli strumenti necessari per conformarsi alle disposizioni in materia di trattamento dei dati personali effettuato nell’ambito di segnalazioni di illeciti. Nel documento, l’Autorità si riferisce tanto ai sistemi di segnalazione messi in piedi in conformità a disposizioni nazionali specifiche, tanto a quelli realizzati su base volontaria, previa adozione di codici etici. In entrambi i casi, le segnalazioni comportano il trattamento di dati personali, sia dei dipendenti che effettuano la segnalazione – per i quali, ribadisce l’Autorità, l’anonimato, pur dovendo essere in principio scoraggiato, resta un’opzione, così come d’altronde suggerito anche dal Garante italiano – sia dei soggetti su cui la segnalazione verte.

Il trattamento per la segnalazione di illeciti si basa, di regola, sull’obbligo di legge – nei casi previsti dalla normativa francese – ovvero sull’interesse legittimo dell’organismo, equamente controbilanciato con i diritti e le libertà dell’interessato. Tuttavia, il whistleblowing presenta profili privacy altamente delicati, laddove si considera che oggetto di trattamento sono spesso categorie particolari di dati (ad es., oltre ai dati su condanne penali o reati, anche dati relativi ad origine razziale o etnica, opinioni politiche, appartenenza sindacale, etc), per i quali, in principio, il trattamento è unicamente ammesso in presenza delle eccezioni previste dal GDPR.

In tale contesto, la valutazione d’impatto sui dati ai sensi dell’articolo 35 del GDPR è un adempimento indispensabile; inoltre, laddove sia stato nominato un DPO, questo deve essere obbligatoriamente consultato. Specifiche sono poi le istruzioni sulla conservazione dei dati: se la segnalazione non va a buon fine, i dati vanno immediatamente cancellati ovvero anonimizzati, mentre nel caso inverso, i dati personali devono essere conservati per due mesi dal termine delle operazioni di verifica; infine, in caso di procedimento contenzioso o disciplinare sorto a seguito della segnalazione, i dati saranno conservati fino al termine del procedimento e per il tempo necessario al decorso della prescrizione.

Se al segnalante va consegnata l’informativa privacy al momento della segnalazione, al dipendente segnalato tale informativa dovrà essere consegnata in differita, conformemente all’articolo 14, par. 5, lett b) del GDPR, al fine di non compromettere le finalità del trattamento o divulgare informazioni vitali per l’inchiesta.