Da poche settimane, il Senato ha dato parere favorevole allo schema di decreto legislativo per l’attuazione della direttiva UE riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione, i cosiddetti whistleblower. Il decreto riprende il contenuto della direttiva ma il nostro legislatore introduce una norma inedita: per tutti i soggetti che devono predisporre canali di segnalazioni interni a disposizione dei whistleblower, viene infatti prescritto l’obbligo di dar corso ad una DPIA, ovvero una valutazione di impatto sulla protezione dei dati.
Questo punto ha colto di sorpresa gli interessati poiché impone un’attività notevole specie per le pubbliche amministrazioni di dimensione più modesta, specie se si considera che l’Italia non ha esercitato l’opzione, prevista dalla Direttiva, di esentare i comuni sotto i 10mila abitanti e/o le amministrazioni con meno di 50 dipendenti dall’obbligo di predisporre canali interni per gestire le segnalazioni.
Questa guida, redatta da Network Digital 360, illustra gli impatti che l’obbligo di DPIA avrà per le aziende e nelle PA in questo scenario. Leggendola, approfondirete questi argomenti:
- cosa comporta l’obbligo della valutazione di impatto privacy
- i casi in cui si applica il decreto
- i 3 canali di segnalazione a disposizione dei whistleblower previsti dalla direttiva
- la disciplina in tema di tutela dei dati personali
- gli elementi che devono essere contenuti nella valutazione d’impatto ai sensi del GDPR