Il recente D.Lgs 24/2023 ha recepito nel nostro paese la c.d. Direttiva Whistleblowing, ovvero la Direttiva UE n.1937/2019.
Il Decreto si applica, oltre che agli enti del settore pubblico, a tutte le società o enti del settore privato che:
- hanno impiegato, nell’ultimo anno, una media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
- operano in specifici settori (bancario, del credito, dell’investimento, dell’assicurazione e della riassicurazione, delle pensioni professionali o dei prodotti pensionistici individuali, dei titoli, dei fondi di investimento, dei servizi di pagamento) anche se hanno impiegato una media di lavoratori inferiore a cinquanta nell’ultimo anno;
- rientrano nell’ambito di applicazione del decreto legislativo 8 giugno 2001, n. 231, e adottano modelli di organizzazione e gestione ivi previsti, anche se nell’ultimo anno non hanno raggiunto la media di 50 lavoratori subordinati.
Il Decreto prevede anche degli obblighi privacy per le aziende?
Si, sono previsti obblighi privacy. Infatti, l’art. 13 “trattamento dei dati personali” stabilisce espressamente che:
ogni trattamento dei dati personali, compresa la comunicazione alle autorità competenti, previsto dal presente decreto, deve essere effettuato a norma del regolamento UE 2016/679.
Quali adempimenti spettano ai destinatari della nuova normativa?
Consideriamo sia il D.Lgs. 24/2023 sia il GDPR.
INFORMATIVA PRIVACY
Deve essere fornita, a tutti i soggetti che ai sensi del nuovo Decreto possono presentare una segnalazione, una informativa esaustiva, la quale renda noti i contorni del trattamento dei dati personali e le procedure di gestione della segnalazione.
REGISTRO DEI TRATTAMENTI
Il registro dei trattamenti costituisce la road map delle attività di trattamento svolte da un ente e dovrà necessariamente essere integrato con tutti i trattamenti svolti in ragione della gestione delle segnalazioni per whistleblowing.
DPIA
Il Decreto prevede che venga realizzata una valutazione di impatto sulla protezione dei dati. Tale valutazione è opportuno che coinvolga non solo il canale utilizzato per la presentazione delle segnalazioni (piattaforma online), ma anche l’intero processo di gestione delle segnalazioni attuato dall’ente.
DATA RETENTION
Il Titolare del trattamento deve sempre definire il periodo di conservazione dei dati personali oggetto dell’attività di trattamento. Con specifico riferimento al whistleblowing, viene in supporto lo stesso Decreto che prevede, all’art.14, che i dati personali contenuti all’interno della segnalazione devono essere conservati per 5 anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione (Data Retention).
RUOLI PRIVACY
Poiché con grande probabilità la segnalazione verrà gestita da vari soggetti, è indispensabile definire i ruoli privacy degli stessi.
In particolare:
- titolare del trattamento: soggetto che ricade negli obblighi del nuovo decreto e che mette in atto il sistema di gestione delle segnalazioni;
- responsabile del trattamento: il fornitore della piattaforma informatica (se presente) dovrà essere nominato, ex art. 28 Gdpr, responsabile esterno in esecuzione dei servizi concordati; discorso analogo va fatto per il gestore, se esterno, dei dati personali nell’ambito della gestione delle segnalazioni (nell’ipotesi in cui l’ente decida di non gestire le segnalazioni internamente attraverso una persona o un ufficio interno dedicato);
- autorizzato: il gestore del trattamento dei dati personali nell’ambito della gestione delle segnalazioni, se interno, dovrà ricevere apposita nomina a soggetto autorizzato nonché essere appositamente formato sia rispetto alla normativa privacy che rispetto al D.lgs. 24/2023.
Precisiamo che le segnalazioni non possono essere utilizzate oltre quanto strettamente necessario per dare adeguato seguito alle stesse e che i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non devono essere raccolti; qualora vengano comunque raccolti accidentalmente, gli stessi devono essere immediatamente cancellati.
Hai bisogno di rivedere la procedura di whistleblowing?
Vuoi valutare l’impatto privacy delle disposizioni previste dal nuovo decreto?
