Decreto Whitleblowing (segnalazioni)
Lo scorso 15 marzo è stato pubblicato il D.Lgs. n. 24/2023 (nel prosieguo anche “Decreto”), che recepisce la Direttiva UE n. 1937/2019 – c.d. “Direttiva Whistleblowing” – e che per alcune aziende ed enti si applica dallo scorso 15 luglio.
Segnalazioni
Il Decreto whistleblowing, amplia la portata degli illeciti e delle violazioni che possono essere oggetto di segnalazioni:
- illeciti amministrativi, contabili, civili o penali;
- condotte illecite rilevanti ai sensi del decreto legislativo 231/2001, o violazioni dei modelli di organizzazione e gestione ivi previsti;
- illeciti che rientrano nell’ambito di applicazione degli atti dell’Unione europea o nazionali relativi ai seguenti settori: appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi;
- atti od omissioni che ledono gli interessi finanziari dell’Unione;
- atti od omissioni riguardanti il mercato interno;
- comportamenti o atti che vanificano l’oggetto o la finalità delle disposizioni di cui agli atti dell’Unione.
I soggetti segnalatori
I soggetti che possono avanzare una segnalazione, comprendendo:
-
-
-
-
-
-
- dipendenti pubblici;
- lavoratori subordinati di soggetto del settore privato;
- lavoratori autonomi;
- collaboratori, liberi professionisti e consulenti;
- azionisti e persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza;
- volontari, tirocinanti (anche non retribuiti).
-
-
-
-
-
Il decalogo per il trattamento dati
Il Garante privacy ha espresso Parere favorevole sul decreto.
Qui di seguito i punti di contatto tra il Decreto e il GDPR, in materia di trattamento di dati personali:
- Deve sempre essere nominato quale responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 679/2016 (GDPR) Il fornitore della piattaforma per il whistleblowing;
- Il RPCT e il suo team devono sempre essere nominati autorizzati e debitamente istruiti in merito al trattamento dei dati personali (ai sensi dell’art. 4, par. 10, 29, 32, §. 4 del Regolamento (UE) 679/2016 e art. 2-quaterdecies del d.lgs. 196 del 2003).
- Gli interessati (nello specifico il segnalante) devono ricevere idonea informativa ai sensi dell’art. 13 GDPR.
- Il whistleblowing deve essere inserito quale trattamento specifico all’interno del registro redatto ai sensi dell’art. 30 GDPR.
- Le segnalazioni e gli allegati alla segnalazione devono essere sottratti al diritto di accesso e all’accesso civico generalizzato.
- La piattaforma deve registrare e conservare in modo sicuro i log di accesso, mentre deve assolutamente essere evitato il tracciamento dei log del segnalante, anche nel caso in cui l’accesso sia mediato da un firewall o da un proxy server.
- Le informazioni devono essere scambiate attraverso protocolli sicuri (HTTPS).
- Il titolare deve adottare ogni idonea misura di sicurezza ai sensi dell’art. 32 GDPR.
- Le segnalazioni devono essere conservate per un arco di tempo non superiore al conseguimento delle finalità per cui sono state trattate. La conservazione delle segnalazioni interne ed esterne e della relativa documentazione può protrarsi per il tempo necessario alla loro definizione e, comunque, per non più di cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza e del principio di limitazione della conservazione definito dal GDPR.
Valutazione d’impatto (DPIA)
Il titolare, prima di procedere all’implementazione del sistema, deve svolgere una valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR (DPIA). Nel mettere a punto il proprio modello di ricevimento e gestione delle segnalazioni interne, gli enti pubblici e privati destinatari delle nuove norme devono condurre una DPIA volta ad analizzare i rischi a carico di tutte le figure coinvolte (whistleblowers, persone segnalate, terzi) e adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato alla probabilità e alla gravità dei rischi individuati.