Il whistleblower è la persona che segnala reati o irregolarità di cui sia venuto a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato. La normativa di riferimento è la L. 179/2017. In particolare, il dipendente pubblico che segnala illeciti non può essere sottoposto a provvedimenti disciplinari e può usufruire di una rete di protezione contro le azioni ritorsive anche con il coinvolgimento dell’ANAC. In ambito privato, invece, si richiede alle aziende (ex D.Lgs 231/2001) di prevedere canali che garantiscano la riservatezza del segnalante di condotte illecite circostanziate.
Rispetto a questo quadro, sinteticamente ricostruito, va osservato che il GDPR, in più punti, incontra la normativa italiana:
- l’utilizzabilità dei dati rivelati dal whistleblower trova riscontro, nell’ambito privato, dall’istituto del legittimo interesse del titolare o di terzi, quale base giuridica del trattamento;
- in ambito pubblico, la base giuridica invocabile è quella del pubblico interesse connesso alla scoperta di corrotti e autori di reati ai danni dell’Erario.
Peraltro, il GDPR incide sul trattamento dei dati di un’attività di whistleblower, così come sul trattamento dei dati dello stesso, con il complesso delle c.d. “regole trasversali”, relative ad ogni trattamento: misure tecniche-organizzative atte a garantire l’integrità e la disponibilità del dato.