Decreto Whitleblowing (segnalazioni)
Lo scorso 15 marzo è stato pubblicato il D.Lgs. n. 24/2023 (nel prosieguo anche “Decreto”), che recepisce la Direttiva UE n. 1937/2019 – c.d. “Direttiva Whistleblowing” – e che per alcune aziende ed enti si applica dallo scorso 15 luglio.
Segnalazioni
Il Decreto whistleblowing, amplia la portata degli illeciti e delle violazioni che possono essere oggetto di segnalazioni:
- illeciti amministrativi, contabili, civili o penali;
- condotte illecite rilevanti ai sensi del decreto legislativo 231/2001, o violazioni dei modelli di organizzazione e gestione ivi previsti;
- illeciti che rientrano nell’ambito di applicazione degli atti dell’Unione europea o nazionali relativi ai seguenti settori: appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi;
- atti od omissioni che ledono gli interessi finanziari dell’Unione;
- atti od omissioni riguardanti il mercato interno;
- atti o comportamenti che vanificano l’oggetto o la finalità delle disposizioni di cui agli atti dell’Unione.
I soggetti segnalatori
I soggetti che possono avanzare una segnalazione, comprendendo:
-
-
-
-
-
-
- dipendenti pubblici;
- lavoratori subordinati di soggetto del settore privato;
- lavoratori autonomi;
- collaboratori, liberi professionisti e consulenti;
- volontari e tirocinanti (anche non retribuiti);
- azionisti e persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.
-
-
-
-
-
Il decalogo per il trattamento dati
Il Garante privacy ha espresso Parere favorevole sul decreto. Di seguito, in materia di trattamento di dati personali, i punti di contatto tra il Decreto e il GDPR.
- Il fornitore della piattaforma per il whistleblowing deve sempre essere nominato quale responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 679/2016 (GDPR).
- Il RPCT e il suo team devono sempre essere nominati autorizzati e debitamente istruiti in merito al trattamento dei dati personali (ai sensi dell’art. 4, par. 10, 29, 32, §. 4 del Regolamento (UE) 679/2016 e art. 2-quaterdecies del d.lgs. 196 del 2003).
- Gli interessati (nello specifico il segnalante) devono ricevere idonea informativa ai sensi dell’art. 13 GDPR.
- Il whistleblowing deve essere inserito quale trattamento specifico all’interno del registro redatto ai sensi dell’art. 30 GDPR.
- Le segnalazioni e gli allegati alla segnalazione devono essere sottratti al diritto di accesso e all’accesso civico generalizzato.
- La piattaforma deve registrare e conservare in modo sicuro i log di accesso, mentre deve assolutamente essere evitato il tracciamento dei log del segnalante, anche nel caso in cui l’accesso sia mediato da un firewall o da un proxy server.
- Le informazioni devono essere scambiate attraverso protocolli sicuri (HTTPS).
- Il titolare deve adottare ogni idonea misura di sicurezza ai sensi dell’art. 32 GDPR.
- Le segnalazioni devono essere conservate per un arco di tempo non superiore al conseguimento delle finalità per cui sono state trattate. La conservazione delle segnalazioni interne ed esterne e della relativa documentazione può protrarsi per il tempo necessario alla loro definizione e, comunque, per non più di cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza e del principio di limitazione della conservazione definito dal GDPR.
- Il titolare, prima di procedere all’implementazione del sistema, deve svolgere una valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR (DPIA). Nel mettere a punto il proprio modello di ricevimento e gestione delle segnalazioni interne, gli enti pubblici e privati destinatari delle nuove norme devono condurre una DPIA volta ad analizzare i rischi a carico di tutte le figure coinvolte (whistleblowers, persone segnalate, terzi) e adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato alla probabilità e alla gravità dei rischi individuati.
Leggi anche: