IP, IT E DATA PROTECTION
Whistleblowing: gli adempimenti privacy obbligatori dal 15 luglio 2023
VEDI TUTTI I CONTENUTI SU
Con il
D.lgs. 10 marzo 2023 n. 24, l’Italia ha dato attuazione alla
Direttiva UE 2019/1937 del Parlamento europeo e del Consiglio che intende tutelare il processo di Whistleblowing. Tra gli obblighi spiccano, altresì, gli adempimenti privacy connessi alla tutela del segnalante e alla gestione del processo di segnalazione.
La nuova normativa prevista dal
Decreto legislativo n. 24 del 2023 intende intensificare la tutela dei soggetti segnalanti c.d. whistleblowers che procedono ad una segnalazione di comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato.
I destinatari della normativa sono individuati dall’
del decreto legislativo citato, in particolare per quanto concerne il settore privato l’obbligo è esteso anche alle imprese che non abbiamo adottato il modello di gestione dei rischi di cui al
D.lgs. n. 231 del 2001, ma che versino in una delle seguenti ipotesi: abbiano impiegato nell’ultimo anno, la media di almeno cinquanta lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato; o che si occupino di alcuni specifici settori (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato.
L’
del Decreto legislativo prevede l’attuazione di una serie di misure di sicurezza per le comunicazioni interne; le stesse devono garantire la riservatezza del segnalante anche attraverso sistemi di crittografia. A ciò si unisce l’obbligo di assegnare la gestione del canale ad una persona o ad un ufficio autonomo dedicato e con personale specificatamente formato. L’
disciplina la protezione dei dati personali dei trattamenti dei dati personali che riguardano le segnalazioni ed estende tutele di cui al GDPR e Codice privacy all’intero processo di segnalazione.
Il comma 2 dell’
precisa, altresì, che i dati non utili alla segnalazione devono essere immediatamente cancellati richiamando i principi di cui all’
art. 5 del
GDPR che impongo, tra gli altri, il rispetto dei principi di finalità e minimizzazione del trattamento. Il decreto in parola richiama il rispetto dei diritti degli interessati riconosciuti dagli
artt. 15 e ss. del
GDPR, tuttavia occorre tenere presente che l’
art. 2 undecies del
Codice privacy individua dell’eccezioni all’esercizio dei diritti in determinate condizioni alcune delle quali sono speculari alla tutela del segnalante.
Il soggetto ricevente opera in qualità di titolare del trattamento ed è tenuto a fornire specifiche informazioni nel rispetto del principio di trasparenza e dell’
art. 13 del
GDPR ai segnalanti, nonché ad attuare, come anzidetto, specifiche misure di sicurezza per tutelare la riservatezza delle informazioni. Il comma 5 dell’
richiama l’importanza della data governance. Invero, risulta evidente come la delicatezza della disciplina imponga l’adozione di specifiche nomine ai soggetti che partecipano al processo siano essi interni, esterni e/o versino in situazioni di contitolarità. La governance del processo nonché quello di corretta gestione dei soggetti che partecipano al trattamento è un elemento essenziale da cui si estrinseca, altresì, l’accountability richiesto dal GDPR. Tale necessità viene richiamata anche dall’
del decreto in esame relativo all’obbligo di riservatezza, il quale sancisce l’obbligo di nominare i soggetti che partecipano al processo nel rispetto del combinato disposto di cui all’
art. 29 e
32 del
GDPR nonché nel dell’
I titolari del trattamento sono tenuti al ricevimento delle segnalazioni individuando preventivamente, e sotto la logica dei principi privacy e security by design, idonee misure tecniche e organizzative volte ad evitare che si verifichino rischi per i diritti e le libertà degli interessati. Nel processo sarà quindi importante mappare il flusso dei dati, adottando misure di sicurezza specifiche, sia da un punto di vista tecnologico che fisico. La finalità dovrà essere quella di predisporre un canale di segnalazione in grado di rispettare tanto la riservatezza del segnalante, quanto l’esattezza del processo instaurato. Invero, l’
comma 1 lett. b. sancisce il diritto per il segnalante di adire l’Autorità competente, l’ANAC, qualora la segnalazione interna effettuata non abbia avuto seguito. In tal caso, l’Autorità potrebbe dar seguito ad un’indagine circa la corretta gestione della segnalazione. A tal uopo, si segnala che l’
prevede uno specifico piano sanzionatorio con un massimo edittale di cinquanta mila euro nell’ipotesi in cui venga accertato che non siano stati istituiti canali idonei di segnalazione o qualora la segnalazione sia stata ostacolata o sia stata violata la riservatezza dei soggetti.
Infine, il comma 6 dell’
art. 13 del
Decreto Legislativo n. 24/2023 prevede che i soggetti destinatari della normativa debbano adottare le misure idonee a proteggere i dati personali dei segnalanti sulla base dello svolgimento di una valutazione d’impatto ai sensi dell’
art. 35 del
GDPR.
In aggiunta a quanto già succitato circa l’importanza del processo di data governance, il comma 6 dell’
in esame richiede di prendere in considerazione nella valutazione d’impatto i rischi inerenti ai fornitori che partecipano al processo di segnalazione. A tal uopo si ricorda, che applicazione dell’
art. 28 del
GDPR implica una preventiva analisi circa le garanzie offerte dai responsabili del trattamento. Come ribadito, a più battute, dall’Autorità Garante ricade sul Titolare del trattamento l’onere di verificare l’adozione di misure specifiche da parte del responsabile del trattamento prima di affidare l’incarico.
Per quanto riguarda il periodo di data retention l’
art. 14 del
Decreto legislativo n. 24/2023 prevede che le segnalazioni, interne ed esterne, nonché la relativa documentazione, deve essere conservata nel rispetto del principio di limitazione della conservazione, e in ogni caso, per un periodo non superiore a 5 anni che decorre dalla data dell’esito finale della procedura di segnalazione.
Ulteriormente, si ricorda la necessità di aggiornare il registro delle attività di trattamento di cui all’
art. 30 del
GDPR.
Gli obblighi previsti dalla normativa saranno obbligatori per tutti i soggetti destinatari della normativa il prossimo 15 luglio. L’
comma 2 posticipa gli obblighi di segnalazione al 17 dicembre 2023 per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a 249 dipendenti.
Riferimenti normativi:
Direttiva UE 2019/1937 del Parlamento europeo e del Consiglio
Altalex, Di CC.Romito
Lascia un commento