RGPD e segnalazione di illeciti: conservazione dei dati

RGPD e segnalazione di illeciti

Chi denuncia tramite una piattaforma di segnalazione di illeciti potrebbe inserire dati personali nei suoi messaggi. Le organizzazioni che vogliono predisporre una piattaforma di segnalazione di illeciti per i propri dipendenti, fornitori o altre parti devono prendere in considerazione gli aspetti inerenti alla privacy che entrano in gioco. Ad esempio, come ci si allinea all’RGPD in termini di periodi di conservazione dei dati nelle piattaforme di segnalazione di illeciti?

I dati devono essere archiviati per il minor tempo possibile. O come dichiarato nell’articolo 5 (1) (e) del Regolamento (Ue) 2016/679 (il Regolamento generale sulla protezione dei dati o RGPD): “i dati personali sono conservati (…) per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

Quindi, dovete considerare per quanto tempo potete conservare i dati personali e per quali finalità li state conservando.

Il Gruppo di lavoro ‘Articolo 29’ fornisce ulteriori indicazioni nel parere 1/2006: “I dati personali trattati nell’ambito di una procedura interna di denuncia dovrebbero essere cancellati prontamente e di norma entro due mesi dal completamento della verifica dei fatti esposti nella denuncia”.

Nell’ambito delle segnalazioni di illeciti, però, bisogna fare qualche passo indietro prima di poter dire che tutti i dati verranno cancellati e/o resi anonimi dopo due mesi.

Come stabilire regole sulla conservazione dei dati nella segnalazione di illeciti in conformità con l’RGPD?

Per prima cosa, bisogna decidere quando è possibile chiudere un’indagine interna. Ogni caso è a parte. I “non casi” possono essere chiusi immediatamente, mentre le indagini interne su comportamenti scorretti gravi possono durare anni. Alcune indagini interne risulteranno in procedimenti legali. A volte ci saranno delle eccezioni, come per gli obblighi relativi alle risorse umane che richiedono un periodo di conservazione dei dati più lungo (ad es. per i fascicoli disciplinari).

È importante considerare questo aspetto quando si stabiliscono le proprie politiche di gestione e chiusura dei casi. La questione non è priva di ambiguità. Quando si presenta un caso, il giusto seguito varia da caso a caso. Ciò influisce sulla durata e sull’inizio del periodo di conservazione dei dati.

Le regole sulla conservazione dei dati mirano principalmente a spingere le organizzazioni a valutare in modo critico le proprie procedure di archiviazione dei dati, oltre che a informare adeguatamente gli interessati. Nelle politiche della vostra organizzazione, potete essere trasparenti verso le persone interessate e fornire istruzioni unificate ai responsabili della gestione dei casi.

E naturalmente, non dimenticate di controllare che la vostra politica sulla chiusura dei casi venga rispettata.