Whistleblowing e protezione dei dati personali: gli adempimenti del datore di lavoro

Il termine “Whistleblowing” si riferisce alla pratica di segnalare atti illeciti o irregolarità commessi all’interno di un’organizzazione. La novella si applica a tutti gli enti, sia pubblici che privati, che abbiano almeno 50 dipendenti, indipendentemente dall’adozione del modello di conformità previsto dal Decreto Legislativo n. 231/2001.

La principale differenza tra i vari soggetti che devono rispettare le nuove disposizioni riguarda la data di entrata in vigore: per le organizzazioni private con almeno 249 dipendenti nell’anno precedente e per gli enti operanti nel settore pubblico, l’applicazione è iniziata il 15 luglio 2023. Per tutti gli altri soggetti, la scadenza è stata fissata per il 17 dicembre 2023.

Per stabilire una procedura di segnalazione efficace, l’ente deve adottare una serie di misure, sia interne che esterne, per la gestione delle denunce. Tale processo deve includere la creazione di una struttura organizzativa dedicata alla gestione delle segnalazioni, previa consultazione con le rappresentanze sindacali come previsto dall’articolo 51 del Decreto Legislativo n. 81/2015. Il sistema di segnalazione deve garantire la riservatezza del segnalante attraverso l’implementazione di misure specifiche e dimostrare l’equità del processo stesso. La normativa riconosce il diritto del segnalante di rivolgersi all’Autorità Nazionale Anticorruzione italiana (ANAC) nel caso in cui la prima segnalazione non riceva l’attenzione dovuta da parte dell’ente, insieme ad altre opzioni previste dall’articolo 6 del Decreto Legislativo n. 23/24.

I sistemi informatici progettati per la segnalazione devono soddisfare due criteri fondamentali: proteggere la privacy dell’utente e registrare l’intero processo di segnalazione.

Adempimenti privacy

La nuova normativa sul Whistleblowing implica una serie di considerazioni in termini di privacy. La natura confidenziale delle segnalazioni incontra i principi e le misure stabilite dal Regolamento Europeo per la Protezione dei Dati Personali. L’integrazione dinamica di queste due normative consente all’ente di gestire in modo più efficiente gli obblighi stabiliti dal Decreto Legislativo n. 23/2024.

Inizialmente, è essenziale stabilire canali di segnalazione che rispettino la privacy dell’utente attraverso l’adozione di misure di sicurezza specifiche. L’articolo 4 del decreto specifica che, previa consultazione delle rappresentanze sindacali come previsto dall'articolo 51 del Decreto Legislativo n. 81/2015, l’ente deve attivare canali di segnalazione che garantiscano la riservatezza del segnalante, anche attraverso l’utilizzo di sistemi di crittografia. La crittografia è una tecnica di sicurezza informatica che rende i messaggi o le informazioni incomprensibili per chi non possiede la chiave di decodifica, garantendo così la privacy. La crittografia può essere utilizzata sia durante la trasmissione dei messaggi sia durante il loro archivio, proteggendo le informazioni sensibili e le segnalazioni da possibili violazioni dei dati. Non sorprende che il GDPR richieda esplicitamente la crittografia come misura di protezione dei dati personali trattati dal responsabile del trattamento, come indicato nell’articolo 32.

Per quanto riguarda le misure di sicurezza, l’articolo 4 sottolinea l’importanza di un processo organizzativo. L’ente deve nominare una persona o un ufficio responsabile della gestione dei canali di segnalazione. In questo contesto, emerge l’importanza della governance dei dati, un processo mediante il quale il datore di lavoro deve assegnare in modo appropriato responsabilità e compiti ai soggetti che trattano i dati. Tale aspetto è particolarmente rilevante nel contesto delle segnalazioni, in cui è fondamentale formare adeguatamente coloro che gestiscono le segnalazioni.  Gli articoli 29 e 32 del GDPR, insieme all’articolo 2 quaterdecies del Codice privacy italiano, stabiliscono l’obbligo di designare soggetti autorizzati al trattamento dei dati e fornire loro formazione su misure e precauzioni specifiche relative al trattamento. Attraverso una corretta governance dei dati, il datore di lavoro può, infatti, tracciare il flusso delle informazioni e garantire l’accountability, un principio fondamentale del GDPR che richiede una rendicontazione dettagliata delle operazioni di trattamento nonché delle misure di protezione adottate dal datore di lavoro. Tale aspetto assume un’importanza fondamentale anche in considerazione dei soggetti che partecipano al trattamento, inclusi fornitori di servizi esterni incaricati di gestire i sistemi e le apparecchiature informatiche per la ricezione delle segnalazioni. In base all’articolo 28 del GDPR, il datore di lavoro è tenuto a regolare il rapporto con i responsabili esterni attraverso contratti o altri atti legali e a garantire l’adozione di misure adeguate alla protezione dei dati personali trattati nell'ambito dell'incarico conferito. Il titolare del trattamento deve verificare l’efficacia delle misure adottate dal responsabile esterno prima di stipulare l’accordo o il contratto.

Le segnalazioni non possono essere conservate più a lungo del necessario e devono essere mantenute per un massimo di cinque anni a partire dalla data di comunicazione dell’esito finale della procedura di segnalazione. Il periodo di conservazione deve essere inserito nel registro delle attività di trattamento previsto dall’articolo 30 del GDPR. Il registro rappresenta uno strumento fondamentale per dimostrare la consapevolezza del titolare del trattamento nella gestione dei dati e deve contenere tutti gli elementi richiesti dalla normativa. Inoltre, il registro può essere arricchito con ulteriori informazioni relative al trattamento specifico, come ad esempio i nomi delle persone autorizzate al trattamento o le misure tecniche adottate per garantire la privacy del segnalante.

Infine, l’articolo 13 del Decreto Legislativo n. 24/23 impone l’obbligo per i soggetti di cui all’articolo 4 di effettuare una valutazione d’impatto ai sensi dell’articolo 35 del GDPR, tenendo conto anche dei soggetti esterni coinvolti nel trattamento.

Le violazioni delle procedure di whistleblowing sono valutate dall’Autorità Nazionale Anticorruzione italiana (ANAC), che può infliggere sanzioni amministrative pecuniarie, con un importo minimo di 500 euro e un massimo di 50.000 euro. Restano in vigore anche altre forme di responsabilità che possono derivare dalla mancata adozione delle misure previste dal Regolamento Europeo 679/2016 e dall’applicazione del Decreto Legislativo n. 231/2001 nonché quelle sorte a seguito di ispezione a seguito della segnalazione.