IP, IT e Data protection

Whistleblowing: gli adempimenti privacy obbligatori dal 15 luglio 2023

Di Chiara Ciccia Romito
Avvocato, Research fellow ISLC, Università degli Studi di Milano
… continua a leggere
Pubblicato il
Vedi tutti i contenuti su
Privacy e data protection

Con il D.lgs. 10 marzo 2023 n. 24, l’Italia ha dato attuazione alla Direttiva UE 2019/1937 del Parlamento europeo e del Consiglio che intende tutelare il processo di Whistleblowing. Tra gli obblighi spiccano, altresì, gli adempimenti privacy connessi alla tutela del segnalante e alla gestione del processo di segnalazione.

La nuova normativa prevista dal Decreto legislativo n. 24 del 2023 intende intensificare la tutela dei soggetti segnalanti c.d. whistleblowers che procedono ad una segnalazione di comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato.

I destinatari della normativa sono individuati dall’art. 3del decreto legislativo citato, in particolare per quanto concerne il settore privato l’obbligo è esteso anche alle imprese che non abbiamo adottato il modello di gestione dei rischi di cui al D.lgs. n. 231 del 2001, ma che versino in una delle seguenti ipotesi: abbiano impiegato nell’ultimo anno, la media di almeno cinquanta lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato; o che si occupino di alcuni specifici settori (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato.

L’art. 6del Decreto legislativo prevede l’attuazione di una serie di misure di sicurezza per le comunicazioni interne; le stesse devono garantire la riservatezza del segnalante anche attraverso sistemi di crittografia. A ciò si unisce l’obbligo di assegnare la gestione del canale ad una persona o ad un ufficio autonomo dedicato e con personale specificatamente formato. L’art. 13disciplina la protezione dei dati personali dei trattamenti dei dati personali che riguardano le segnalazioni ed estende tutele di cui al GDPR e Codice privacy all’intero processo di segnalazione.

Il comma 2 dell’art. 13precisa, altresì, che i dati non utili alla segnalazione devono essere immediatamente cancellati richiamando i principi di cui all’art. 5 del GDPR che impongo, tra gli altri, il rispetto dei principi di finalità e minimizzazione del trattamento. Il decreto in parola richiama il rispetto dei diritti degli interessati riconosciuti dagli artt. 15 e ss. del GDPR, tuttavia occorre tenere presente che l’art. 2 undecies del Codice privacy individua dell’eccezioni all’esercizio dei diritti in determinate condizioni alcune delle quali sono speculari alla tutela del segnalante.

Il soggetto ricevente opera in qualità di titolare del trattamento ed è tenuto a fornire specifiche informazioni nel rispetto del principio di trasparenza e dell’art. 13 del GDPR ai segnalanti, nonché ad attuare, come anzidetto, specifiche misure di sicurezza per tutelare la riservatezza delle informazioni. Il comma 5 dell’art. 13 richiama l’importanza della data governance. Invero, risulta evidente come la delicatezza della disciplina imponga l’adozione di specifiche nomine ai soggetti che partecipano al processo siano essi interni, esterni e/o versino in situazioni di contitolarità. La governance del processo nonché quello di corretta gestione dei soggetti che partecipano al trattamento è un elemento essenziale da cui si estrinseca, altresì, l’accountability richiesto dal GDPR. Tale necessità viene richiamata anche dall’articolo 12del decreto in esame relativo all’obbligo di riservatezza, il quale sancisce l’obbligo di nominare i soggetti che partecipano al processo nel rispetto del combinato disposto di cui all’art. 29 e 32 del GDPR nonché nel dell’art. 2 quaterdecies del Codice privacy.

I titolari del trattamento sono tenuti al ricevimento delle segnalazioni individuando preventivamente, e sotto la logica dei principi privacy e security by design, idonee misure tecniche e organizzative volte ad evitare che si verifichino rischi per i diritti e le libertà degli interessati. Nel processo sarà quindi importante mappare il flusso dei dati, adottando misure di sicurezza specifiche, sia da un punto di vista tecnologico che fisico. La finalità dovrà essere quella di predisporre un canale di segnalazione in grado di rispettare tanto la riservatezza del segnalante, quanto l’esattezza del processo instaurato. Invero, l’art. 6comma 1 lett. b. sancisce il diritto per il segnalante di adire l’Autorità competente, l’ANAC, qualora la segnalazione interna effettuata non abbia avuto seguito. In tal caso, l’Autorità potrebbe dar seguito ad un’indagine circa la corretta gestione della segnalazione. A tal uopo, si segnala che l’art. 21 prevede uno specifico piano sanzionatorio con un massimo edittale di cinquanta mila euro nell’ipotesi in cui venga accertato che non siano stati istituiti canali idonei di segnalazione o qualora la segnalazione sia stata ostacolata o sia stata violata la riservatezza dei soggetti.

Infine, il comma 6 dell’art. 13 del Decreto Legislativo n. 24/2023 prevede che i soggetti destinatari della normativa debbano adottare le misure idonee a proteggere i dati personali dei segnalanti sulla base dello svolgimento di una valutazione d’impatto ai sensi dell’art. 35 del GDPR.

In aggiunta a quanto già succitato circa l’importanza del processo di data governance, il comma 6 dell’art. 13 in esame richiede di prendere in considerazione nella valutazione d’impatto i rischi inerenti ai fornitori che partecipano al processo di segnalazione. A tal uopo si ricorda, che applicazione dell’art. 28 del GDPR implica una preventiva analisi circa le garanzie offerte dai responsabili del trattamento. Come ribadito, a più battute, dall’Autorità Garante ricade sul Titolare del trattamento l’onere di verificare l’adozione di misure specifiche da parte del responsabile del trattamento prima di affidare l’incarico.

Per quanto riguarda il periodo di data retention l’art. 14 del Decreto legislativo n. 24/2023 prevede che le segnalazioni, interne ed esterne, nonché la relativa documentazione, deve essere conservata nel rispetto del principio di limitazione della conservazione, e in ogni caso, per un periodo non superiore a 5 anni che decorre dalla data dell’esito finale della procedura di segnalazione.

Ulteriormente, si ricorda la necessità di aggiornare il registro delle attività di trattamento di cui all’art. 30 del GDPR.

Gli obblighi previsti dalla normativa saranno obbligatori per tutti i soggetti destinatari della normativa il prossimo 15 luglio. L’art. 24comma 2 posticipa gli obblighi di segnalazione al 17 dicembre 2023 per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a 249 dipendenti.

Riferimenti normativi:

D.lgs. 10 marzo 2023 n. 24

Direttiva UE 2019/1937 del Parlamento europeo e del Consiglio

Copyright © - Riproduzione riservata

Per approfondire

Prodotti suggeriti

Speciale Privacy: Commentario GDPR e Normativa Privacy + Privacy e Data protection

Speciale Privacy: Commentario GDPR e Normativa Privacy + Privacy e Data protection

Compliance - Commentario

Compliance - Commentario

€ 200,00 (-30%) € 140,00

Approfondimenti consigliati in Edicola Professionale

Più Letti

  1. Quote Tfr non versate dal datore al fondo complementare? Il lavoratore può insinuarsi al passivo
  2. Dichiarazione sostitutiva di atto notorio
  3. Legge 104: la guida completa
  4. Decreto flussi 2023-2025: ok dal Consiglio dei Ministri
  5. Codice Civile
  6. Eccesso di velocità e auto sbalzata oltre il guard rail: il Comune è responsabile?
  7. Eredità: tutto quello che devi sapere sulle successioni ereditarie
  8. Pignoramento presso terzi: la guida completa
  9. Codice di procedura civile
  10. Le quote ereditarie

Novità editoriali

Vedi Tutti
GDPR e Normativa Privacy Commentario

GDPR e Normativa Privacy Commentario

Belisario Ernesto , Riccio Giovanni M., Scorza Guido
Risparmi 30% € 140,00
€ 98,00
Acquista
eBook - GDPR: il nuovo regolamento europeo sulla Privacy

eBook - GDPR: il nuovo regolamento europeo sulla Privacy

Marini Paolo
€ 14,90
Acquista
Guida al Codice Privacy

Guida al Codice Privacy

Ciccia Antonio
Risparmi 30% € 30,00
€ 21,00
Acquista
Potere di controllo e privacy

Potere di controllo e privacy

Barraco Enrico
Risparmi 30% € 40,00
€ 28,00
Acquista
eBook - Privacy e nuove tecnologie

eBook - Privacy e nuove tecnologie

Michele Iaselli
€ 9,90
Acquista
eBook - Controlli a distanza

eBook - Controlli a distanza

Soffientini Marco, Rossi Laura
€ 14,90
Acquista