Tutela della privacy e la disciplina "Whistleblowing" con nota della dott.ssa Barbati.

Il D.lgs. n. 24/2023, riguardante "la protezione delle persone che segnalano violazioni del diritto dell’Unione” (cd. disciplina whistleblowing), comporta conseguenze dirette anche in merito agli adempimenti che l'impresa deve adottare per ottemperare alla tutela della privacy.

La recente pubblicazione del D.lgs. n. 24 del 10 marzo 2023, ha dato attuazione all'interno del nostro ordinamento, alla direttiva (UE) 2019/1937 in materia di persone che segnalano violazioni del diritto dell'Unione e delle disposizioni normative nazionali (c.d. Whistleblowing). 

L’obiettivo della direttiva europea è stabilire norme minime comuni per garantire la protezione delle persone che segnalano violazioni del diritto dell’Unione e punta a creare canali di comunicazione sicuri, sia all'interno dell'impresa che all'esterno. In casi eccezionali, è prevista la possibilità di effettuare la segnalazione mediante la divulgazione pubblica attraverso i media (Comunicazione Prot. n. 100763/2023).

Il Decreto prevede che le segnalazioni possano essere effettuate tramite tre diversi canali (interno all’impresa, esterno gestito dall’ANAC oppure tramite la divulgazione pubblica), nel rispetto della riservatezza dell’identità del segnalante, della persona coinvolta, nonché del contenuto della segnalazione e della relativa documentazione allegata. 

Il Garante privacy è intervenuto prima della pubblicazione del D.Lgs. n. 24/2023 [1] per chiarire come il titolare del trattamento debba assicurare come "le segnalazioni non possano essere utilizzate se non per darvi seguito, con espresso divieto di rivelazione, a persone diverse da quelle specificamente autorizzate anche ai sensi degli articoli 29 e 32, paragrafo 4, del Regolamento e 2-quaterdecies del Codice,  dell’identità del segnalante, in assenza del suo consenso espresso". 

Il Decreto disciplina il trattamento dei dati personali all'art 13, indicando i ruoli dei soggetti coinvolti nel trattamento, imponendo l’obbligo di procedere alla valutazione d’impatto sulla protezione dei dati e di astenersi dal raccogliere, oppure a prevedere l'immediata cancellazione in caso di raccolta accidentale, dati personali manifestamente non utili alla gestione di una specifica segnalazione.

La tutela del dato personale 
La gestione delle segnalazioni implica trattamenti di dati personali ulteriori e diversi rispetto a quelli correlati alle ordinarie attività aziendali. Il trattamento di tali dati, oltre a comportare l'aggiornamento del registro delle attività di trattamento, deve essere effettuato nel rispetto del principio di minimizzazione e, più in generale, nel rispetto dei principi previsti dall’art. 5 del Reg. UE n. 679/2016. 

Le imprese dovranno, quindi, valutare l’adeguatezza degli strumenti e dei processi adottati per le segnalazioni alla luce della normativa sulla protezione dei dati, mediante :

·adozione di misure tecniche e organizzative. Viene previsto l'obbligo per il titolare del trattamento di adottare "misure appropriate per la tutela dei diritti e delle libertà degli interessati" ovvero misure tecniche e organizzative idonee a garantire la tutela dell’identità del segnalante quali, ad esempio, gli accorgimenti per anonimizzare la segnalazione e la documentazione allegata per evitare che dalle informazioni e dai fatti descritti sia possibile risalire all’identità del segnalante oppure l'adozione di cautele volte a garantire la non tracciabilità delle connessioni del segnalante alla procedura informatica [2];

·disciplinare il rapporto con i fornitori dei servizi informatici dell'impresa che trattano i dati personali per conto del titolare sia nel caso in cui la procedura informatica di acquisizione e gestione delle segnalazioni risieda presso il titolare sia nel caso in cui venga fornita in modalità “software as a service”. L’azienda dovrà procedere con la nomina a responsabile del trattamento ai sensi dell’art. 28 GDPR, previa la verifica dell’affidabilità e delle garanzie di tutela del dato effettuato dal soggetto individuato;

·definire un proprio modello di ricezione e gestione delle segnalazioni effettuando una preventiva valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 GDPR;

·definire i ruoli dei soggetti preposti a gestire le segnalazioni. In caso di ufficio interno all’azienda, il relativo personale dovrà essere autorizzato al trattamento ai sensi dell’art. 29 GDPR  e dell' art. 2 quaterdecies d.lgs. 196/2003;

·predisporre e fornire adeguata informativa ai sensi degli articoli 13 e 14 GDPR sui trattamenti relativi alle segnalazioni, anche in merito all'esercizio dei diritti. Le informative, unitamente alle informazioni sul canale e sulle procedure, dovranno essere esposte in modo visibile nei luoghi di lavoro e in apposita sezione del sito internet aziendale;

·prevedere una specifica durata di conservazione del dato, che il provvedimento ha individuato nel tempo necessario al trattamento della segnalazione e comunque in un tempo non superiore a cinque anni dalla data di comunicazione dell’esito finale della procedura di segnalazione.

Si tratta di una disciplina complessa e dal notevole impatto per le imprese chiamate ad attuarla e, nonostante i correttivi apportati, permangono diversi profili critici anche sotto il profilo del trattamento del dato personale. Ci riserviamo ulteriori approfondimenti anche alla luce della prossima pubblicazione delle Linee Guida ANAC.

Fonte: CONFINDUSTRIA

[1] Parere su uno schema di decreto legislativo recante attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (cd. direttiva whistleblowing) - 11 gennaio 2023 [9844945]
[2] Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis, del d.lgs. 165/2001 (c.d. whistleblowing)

Nota della dott.ssa Emilia Barbati

il nuovo Decreto comporta quindi, per le aziende, la necessità di prevedere idonei canali di segnalazione interna (entro i tempi stabiliti dalla norma) e nel rispetto della normativa privacy, nonché l’aggiornamento del Modello Organizzativo aziendale adottato che tenga conto di queste importanti e delicate novità. 

Non ultimo, per l’Azienda, sarà necessario formare il personale coinvolto in modo adeguato, tenuto conto:

• delle norme privacy;
• dei canali scelti e messi a disposizione; 
• dell’aggiornamento del Modello Organizzativo;
• ogni altro aspetto impattante.

Di recente Confindustria ha presentato un Emendamento sul Whistleblowing, nel corso dell’esame parlamentare di conversione in legge del D.L. 10 maggio 2023, n. 51, recante “Disposizioni urgenti in materia di amministrazione di enti pubblici, di termini legislativi e di iniziative di solidarietà sociale".

La modifica mira ad un differimento al 15 ottobre 2023 del termine di efficacia del D.Lgs. 24/2003 (nuovo Decreto Whistleblowing) per le imprese con più di 249 dipendenti, attualmente fissato al 15 luglio 2023.

La ragione risiede nel fatto che le Linee guida dell’Anac non sono ancora state emanate e quindi i tempi diventano necessariamente troppo stretti per la messa a regime.

Dott.ssa Emilia Barbati

Deputy Legal Manager  | Responsabile Organismo di Vigilanza Dlgs 231/01 | Mobility Manager