Chi denuncia tramite una piattaforma di segnalazione di illeciti potrebbe inserire dati personali nei suoi messaggi. Le organizzazioni che vogliono predisporre una piattaforma di segnalazione di illeciti per i propri dipendenti, fornitori o altre parti devono prendere in considerazione gli aspetti inerenti alla privacy che entrano in gioco. Come si possono combinare la segnalazione di illeciti e l’RGPD in modo pragmatico?
L’articolo 6 del Regolamento (Ue) 2016/679 (Regolamento generale sulla protezione dei dati o RGPD) impone la “liceità del trattamento”. Il consenso sembra un’ottima opzione, ma in realtà non lo è. Non per la segnalazione di illeciti.
E perché no?
Il consenso deve essere “espresso liberamente”, ma tra il datore di lavoro e i suoi dipendenti esiste un rapporto di subordinazione. Se il datore di lavoro chiede il consenso, la maggior parte dei dipendenti lo fornisce e basta. Secondo il parere 2/2017 (WP 249) del Gruppo di lavoro ‘Articolo 29’: “Salvo in situazioni eccezionali, i datori di lavoro dovranno basarsi su un fondamento giuridico diverso dal consenso”.
Da un punto di vista più concreto, il consenso è un fondamento instabile. Può essere revocato in qualsiasi momento. Se, durante un’indagine interna seria, un/una dipendente decidesse all’improvviso di revocare il suo consenso, cosa fareste?
Mettendo da parte gli aspetti legali e concreti, immaginate un/una dipendente che abbia subito molestie sessuali. Per poter denunciare un comportamento scorretto tramite la vostra piattaforma di segnalazione di illeciti, bisogna spuntare una casella per il consenso. Finalmente il/la dipendente ha trovato il coraggio di denunciare anonimamente l’accaduto e la prima domanda a cui deve rispondere è: “Dai il consenso al trattamento dei tuoi dati personali?” Il rischio che questo spaventi coloro che vorrebbero segnalare, spingendoli persino a decidere di denunciare pubblicamente, è enorme. Non volete lasciarvi scappare casi importanti!
Quindi, niente consenso. Allora, come ci si adegua all’RGPD nell’ambito delle segnalazioni di illeciti?
Basate le procedure sul vostro legittimo interesse a individuare i comportamenti scorretti che altrimenti, con molta probabilità, non verrebbero scoperti in fase iniziale. Alla fine, non dimenticate che la protezione dei dati e il diritto alla privacy sono molto importanti, ma l’obiettivo finale è organizzare un efficiente meccanismo di segnalazione di illeciti. I dipendenti dovrebbero sentirsi liberi di denunciare affinché la vostra organizzazione possa individuare e gestire in modo efficace i comportamenti scorretti gravi!
Parla con i nostri esperti
Volete saperne di più, discutere alcune idee o condividere opinioni?