Whistleblowing adempimenti privacy


IP, IT E DATA PROTECTION

Whistleblowing: gli adempimenti privacy obbligatori dal 15 luglio 2023

VEDI TUTTI I CONTENUTI SU

Privacy e data protection

Con il 


D.lgs. 10 marzo 2023 n. 24, l’Italia ha dato attuazione alla 


Direttiva UE 2019/1937 del Parlamento europeo e del Consiglio che intende tutelare il processo di Whistleblowing. Tra gli obblighi spiccano, altresì, gli adempimenti privacy connessi alla tutela del segnalante e alla gestione del processo di segnalazione.

La nuova normativa prevista dal 


Decreto legislativo n. 24 del 2023 intende intensificare la tutela dei soggetti segnalanti c.d. whistleblowers che procedono ad una segnalazione di comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato.

destinatari della normativa sono individuati dall’


art. 3


del decreto legislativo citato, in particolare per quanto concerne il settore privato l’obbligo è esteso anche alle imprese che non abbiamo adottato il modello di gestione dei rischi di cui al 


D.lgs. n. 231 del 2001, ma che versino in una delle seguenti ipotesi: abbiano impiegato nell’ultimo anno, la media di almeno cinquanta lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato; o che si occupino di alcuni specifici settori (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato.

L’


art. 6


del Decreto legislativo prevede l’attuazione di una serie di misure di sicurezza per le comunicazioni interne; le stesse devono garantire la riservatezza del segnalante anche attraverso sistemi di crittografia. A ciò si unisce l’obbligo di assegnare la gestione del canale ad una persona o ad un ufficio autonomo dedicato e con personale specificatamente formato. L’


art. 13


disciplina la protezione dei dati personali dei trattamenti dei dati personali che riguardano le segnalazioni ed estende tutele di cui al GDPR e Codice privacy all’intero processo di segnalazione.

Il comma 2 dell’


art. 13


precisa, altresì, che i dati non utili alla segnalazione devono essere immediatamente cancellati richiamando i principi di cui all’


art. 5 del 


GDPR che impongo, tra gli altri, il rispetto dei principi di finalità e minimizzazione del trattamento. Il decreto in parola richiama il rispetto dei diritti degli interessati riconosciuti dagli 


artt. 15 e ss. del 


GDPR, tuttavia occorre tenere presente che l’


art. 2 undecies del 


Codice privacy individua dell’eccezioni all’esercizio dei diritti in determinate condizioni alcune delle quali sono speculari alla tutela del segnalante.

Il soggetto ricevente opera in qualità di titolare del trattamento ed è tenuto a fornire specifiche informazioni nel rispetto del principio di trasparenza e dell’


art. 13 del 


GDPR ai segnalanti, nonché ad attuare, come anzidetto, specifiche misure di sicurezza per tutelare la riservatezza delle informazioni. Il comma 5 dell’


art. 13


 richiama l’importanza della data governance. Invero, risulta evidente come la delicatezza della disciplina imponga l’adozione di specifiche nomine ai soggetti che partecipano al processo siano essi interni, esterni e/o versino in situazioni di contitolarità. La governance del processo nonché quello di corretta gestione dei soggetti che partecipano al trattamento è un elemento essenziale da cui si estrinseca, altresì, l’accountability richiesto dal GDPR. Tale necessità viene richiamata anche dall’


articolo 12


del decreto in esame relativo all’obbligo di riservatezza, il quale sancisce l’obbligo di nominare i soggetti che partecipano al processo nel rispetto del combinato disposto di cui all’


art. 29 e 


32 del 


GDPR nonché nel dell’


art. 2 quaterdecies del 


Codice privacy.

I titolari del trattamento sono tenuti al ricevimento delle segnalazioni individuando preventivamente, e sotto la logica dei principi privacy e security by design, idonee misure tecniche e organizzative volte ad evitare che si verifichino rischi per i diritti e le libertà degli interessati. Nel processo sarà quindi importante mappare il flusso dei dati, adottando misure di sicurezza specifiche, sia da un punto di vista tecnologico che fisico. La finalità dovrà essere quella di predisporre un canale di segnalazione in grado di rispettare tanto la riservatezza del segnalante, quanto l’esattezza del processo instaurato. Invero, l’


art. 6


comma 1 lett. b. sancisce il diritto per il segnalante di adire l’Autorità competente, l’ANAC, qualora la segnalazione interna effettuata non abbia avuto seguito. In tal caso, l’Autorità potrebbe dar seguito ad un’indagine circa la corretta gestione della segnalazione. A tal uopo, si segnala che l’


art. 21


 prevede uno specifico piano sanzionatorio con un massimo edittale di cinquanta mila euro nell’ipotesi in cui venga accertato che non siano stati istituiti canali idonei di segnalazione o qualora la segnalazione sia stata ostacolata o sia stata violata la riservatezza dei soggetti.

Infine, il comma 6 dell’


art. 13 del 


Decreto Legislativo n. 24/2023 prevede che i soggetti destinatari della normativa debbano adottare le misure idonee a proteggere i dati personali dei segnalanti sulla base dello svolgimento di una valutazione d’impatto ai sensi dell’


art. 35 del 


GDPR.

In aggiunta a quanto già succitato circa l’importanza del processo di data governance, il comma 6 dell’


art. 13


 in esame richiede di prendere in considerazione nella valutazione d’impatto i rischi inerenti ai fornitori che partecipano al processo di segnalazione. A tal uopo si ricorda, che applicazione dell’


art. 28 del 


GDPR implica una preventiva analisi circa le garanzie offerte dai responsabili del trattamento. Come ribadito, a più battute, dall’Autorità Garante ricade sul Titolare del trattamento l’onere di verificare l’adozione di misure specifiche da parte del responsabile del trattamento prima di affidare l’incarico.

Per quanto riguarda il periodo di data retention l’


art. 14 del 


Decreto legislativo n. 24/2023 prevede che le segnalazioni, interne ed esterne, nonché la relativa documentazione, deve essere conservata nel rispetto del principio di limitazione della conservazione, e in ogni caso, per un periodo non superiore a 5 anni che decorre dalla data dell’esito finale della procedura di segnalazione.

Ulteriormente, si ricorda la necessità di aggiornare il registro delle attività di trattamento di cui all’


art. 30 del 


GDPR.

Gli obblighi previsti dalla normativa saranno obbligatori per tutti i soggetti destinatari della normativa il prossimo 15 luglio. L’


art. 24


comma 2 posticipa gli obblighi di segnalazione al 17 dicembre 2023 per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a 249 dipendenti.

Riferimenti normativi:


D.lgs. 10 marzo 2023 n. 24


Direttiva UE 2019/1937 del Parlamento europeo e del Consiglio

Altalex, Di CC.Romito


Commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *