martedì 25/07/2023 • 06:00
La normativa sul whistleblowing, in vigore dal 15 luglio 2023, mirando alla tutela della riservatezza dell'identità del segnalante, ha un importante impatto nelle politiche di trattamento dei dati personali adottate dai soggetti destinatari della normativa, tenuti al rispetto dei principi della normativa privacy.
Ascolta la news 5:03
Il 9 marzo 2023 il Consiglio dei Ministri ha approvato in via definitiva il decreto legislativo 10 marzo 2023 n. 24 di attuazione della direttiva europea 2019/1937 (cd. Direttiva Whistleblowing) che disciplina la protezione dei whistleblower, ossia coloro che segnalano violazioni di disposizioni normative, nazionali o dell'Unione europea, che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell'ente privato di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato.
Le nuove norme introdotte dal decreto in esame, che aveva ricevuto parere favorevole dal l'Autorità Garante per la protezione dei dati personali (di seguito anche solo “l'Autorità” o “il Garante”) nel mese di gennaio 2023, hanno inziato a produrre i loro effetti in Italia a decorrere dal 15 luglio 2023, con riferimento alle imprese che hanno impiegato, nell'ultimo anno, una media di lavoratori subordinati pari o superiore a 250 unità.
Il decreto ha previsto che ogni ente, sia pubblico sia privato, debba attivare i propri canali di segnalazione (interno, esterno e pubblico) che garantiscano - anche tramite il ricorso a strumenti di crittografia - la riservatezza dell'identità del whistleblower, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e relativa documentazione.
Per i soggetti del settore privato che hanno impiegato, nell'ultimo anno, una media di lavoratori subordinati inferiore a 249 unità (con contratti di lavoro a tempo indeterminato o determinato) l'obbligo di istituzione del canale di segnalazione interna ha effetto a decorrere dal 17 dicembre 2023; fino ad allora, continua ad applicarsi l'art. 6, comma 2-bis, lettere a) e b), D.Lgs. 231/2001, nella formulazione vigente fino a quella data (per coloro che hanno adottato un c.d. modello 231).
La normativa in esame mira alla tutela dell'identità del segnalante. Pertanto, è evidente il suo impatto nelle politiche di trattamento dei dati personali adottate dai soggetti destinatari (si pensi all'acquisizione e gestione di dati personali, anche appartenenti a particolari categorie di dati e relativi a condanne penali e reati) tenuti al rispetto dei principi del Regolamento (UE) n. 2016/679 (di seguito anche “GDPR”) espressamente richiamato, in più occasioni, dal d.lgs. n. 24/2023.
Il presente elaborato focalizza l'attenzione sulle implicazioni del d.lgs. n. 24/2023 in ordine al trattamento dei dati personali.
Trattamento di dati personali
Una corretta gestione della procedura relativa al whistleblowing, perfettamente integrata all'interno di un sistema di gestione dei dati e finalizzata alla tutela della riservatezza degli stessi - tanto appartenenti al segnalante, quanto a colui nei confronti del quale è stata mossa un'accusa - favorisce il ricorso all'istituto de quo.
A tal fine, il legislatore dedica l'art. 13 del decreto in esame alla disciplina del trattamento dei dati personali che avviene in occasione delle segnalazioni, soffermandosi anche sulla previsione di una corretta compliance alla normativa privacy a opera di tutti i soggetti coinvolti a vario titolo nell'organizzazione. Di seguito, gli adempimenti specifici previsti per i soggetti destinatari dalla normativa:
Giova precisare che la tutela della riservatezza, fondamento della normativa in esame, non deve essere confusa con la necessità di garantire l'anonimato. La garanzia di riservatezza è un chiaro elemento di incoraggiamento a effettuare segnalazioni pertanto è di fondamentale importanza adottare dei meccanismi volti a prevenire efficacemente accessi illegittimi ai dati personali.
Soggetti coinvolti
Il decreto in esame, vede coinvolti nel processo di segnalazione numerosi soggetti sia in qualità di parte “tutelata” (segnalante, facilitatori, colleghi, parenti o affetti stabili del whistleblower), sia in qualità di parte “obbligata alla tutela” (soggetto ricevente, soggetto interno o esterno a cui viene affidata la gestione del canale di segnalazione).
Con riferimento ai soggetti cui si applicano le tutele della normativa in esame, come anticipato, il modello di ricevimento e gestione delle segnalazioni interne dovrà essere focalizzato sugli aspetti che riguardano la tutela dell'identità del segnalante. L'identità del whistleblower non potrà essere rivelata senza il <<consenso espresso>> del segnalante, fatta eccezione che ci si trovi nell'ambito di:
Infine, si rammenta la necessità di inquadrare i ruoli dei diversi soggetti che intervengono nella gestione di un sistema di whistleblowing ai sensi del GDPR. In ragione della tipologia di organizzazione che ha implementato la procedura di segnalazione, potranno essere coinvolti nelle attività di trattamento differenti soggetti.
Tali soggetti – una persona singola o un ufficio autonomo dedicato, con personale specificatamente formato - a cui viene assegnata la gestione del canale possono essere interni o esterni all'organizzazione.
Qualora siano individuati dei soggetti esterni quali destinatari delle segnalazioni, essi dovranno essere qualificati quali Responsabili del trattamento e, allo scopo, dovrà essere redatto apposito contratto ex art. 28 del GDPR.
Ancora, i soggetti interni all'organizzazione che intervengono nella gestione delle segnalazioni, saranno da considerarsi autorizzati al trattamento ai sensi del combinato disposto degli artt. 29 e 32, par. 4, del GDPR e dell'art. 2-quaterdecies del d.lgs. n. 196/2003 e dovranno ricevere apposite e specifiche istruzioni da parte del Titolare in merito ai trattamenti di loro competenza.
Parecchie perplessità sorgono in merito al caso in cui sia individuato quale destinatario l'Organismo di Vigilanza (anche “OdV”) exd.lgs. n. 231/2001 composto da membri completamente o parzialmente esterni. Alla luce del parere del Garante del 21 maggio 2020, infatti, si prefigura la possibilità che l'OdV acquisisca, per il medesimo Titolare del trattamento, una duplice veste: soggetto autorizzato per i flussi informativi e Responsabile del trattamento in relazione al canale di segnalazione interna (il tema sarà oggetto di successivo apposito approfondimento).
Infine, gli eventuali soggetti terzi (es. fornitori di sistemi di segnalazione per il tramite di canali informatici) che possono, anche solo potenzialmente, trattare per conto del titolare i dati dei soggetti interessati, dovranno essere qualificati quali Responsabili del trattamento e dovrà essere redatto apposito contratto ex art. 28 del GDPR.
Provvedimenti del Garante
In Italia, il Garante ha avuto modo di ribadire a più riprese che gli enti devono prestare la massima attenzione nell'impostazione e gestione dei propri sistemi di whistleblowing, garantendo la riservatezza dei segnalatori. In tal senso, nel corso del triennio 2020 – 2022, l'Autorità ha sanzionato con un serie di provvedimenti alcune aziende interessate da data breach causati dalla mancata adozione di idonee modalità di trattamento dei dati acquisiti tramite sistemi di whistleblowing. Di seguito si riportano le violazioni più ricorrenti individuate:
Il Garante, inoltre, ha evidenziato più volte come il soggetto ricevente – Titolare del trattamento - che adotti procedure tecnologiche per la segnalazione di possibili comportamenti illeciti debba verificarne l'idoneità, sotto il profilo delle misure tecnico-organizzative adoperate e dei software utilizzati, a tutelare la riservatezza di chi invia le denunce.
In definitiva, il soggetto ricevente, nell'adempimento relativo all'attivazione del canale interno, non può conformarsi semplicemente a quelle che sono le specifiche tecniche messe a disposizione dall'eventuale fornitore terzo del programma, dal momento che, operando come titolare del trattamento, rimane sempre e comunque in capo a quest'ultimo la “responsabilità generale” del trattamento dei dati personali che avviene in occasione delle segnalazioni.
© Copyright - Tutti i diritti riservati - Giuffrè Francis Lefebvre S.p.A.
Approfondisci con
L'Autore ripercorre la disciplina dettata in tema di segnalazione, da parte di dipendenti pubblici, di illeciti di cui siano venuti a conoscenza in ragione del rapporto di lavoro, da ultimo oggetto del D.Lgs. 24/2023.
Vincenzo Papagni
Rimani aggiornato sulle ultime notizie di fisco, lavoro, contabilità, impresa, finanziamenti, professioni e innovazione
Per continuare a vederlo e consultare altri contenuti esclusivi abbonati a QuotidianoPiù,
la soluzione digitale dove trovare ogni giorno notizie, video e podcast su fisco, lavoro, contabilità, impresa, finanziamenti e mondo digitale.
Abbonati o
contatta il tuo
agente di fiducia.
Se invece sei già abbonato, effettua il login.