3 minute read
Data Protection Direttiva sul whistleblowing e protezione della privacy
ll 15 marzo scorso è stato pubblicato in G.U. il d. lgs. n. 24/2023, che dà attuazione alla direttiva (UE) 2019/1937 in materia di whistleblowing. Tale direttiva entra in vigore il 15 luglio 2023, salvo il termine più ampio del 17 dicembre 2023 per i soggetti del settore privato che abbiano impiegato fino a 249 lavoratori nell’ultimo anno.
che denunciano tali pratiche, spesso per motivi etici o di interesse pubblico.
La segnalazione può avvenire sia attraverso canali interni all'azienda, o attraverso canali (ANAC – Italian Anticorruption Authority) specializzati nella tutela dei whistleblower. L'obiettivo è promuovere la trasparenza, la responsabilità e l'integrità nel settore pubblico e privato, tutelando coloro che decidono di denunciare.
Le novità introdotte dalla direttiva
La principale novità introdotta dalla normativa è l’estensione delle aziende che devono garantire strumenti adeguati alle segnalazioni whistleblowing; infatti dal 15 luglio 2023 scatta la prima scadenza per le aziende che hanno impiegato nell’ultimo anno la media di 250 dipendenti, mentre, dal17 dicembre 2023, per tutte le altre aziende che rientrano nel D.lgs. 24/2023 che:
Le aziende dovranno predisporre procedure e applicativi per garantire la protezione della riservatezza dei “whistleblower”, che segnalano comportamenti illeciti, corruzione o abusi all'interno di una società pubblica o privata.
• hanno impiegato una media di almeno 50 lavoratori;
• hanno implementato un Modello di Organizzazione e Controllo ex D.lgs. 231/01, indipendentemente dal numero di dipendenti;
• altri soggetti indicati dal decreto operanti in specifici settori.
Garantire la riservatezza
Le aziende dovranno predisporre procedure e applicativi per garantire la protezione della riservatezza delle persone segnalanti, infatti da legge è previsto che:
• L'identità del segnalante non può essere rivelata a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni;
• La protezione riguarda non solo il nominativo del segnalante ma anche tutti gli elementi della segnalazione dai quali si possa ricavare, anche indirettamente, l’identificazione del segnalante;
• La segnalazione è sottratta all’accesso agli atti amministrativi e al diritto di accesso civico generalizzato;
• La protezione della riservatezza è estesa all’identità delle persone coinvolte e delle persone menzionate nella segnalazione fino alla conclusione dei procedimenti avviati in ragione della segnalazione, nel rispetto delle medesime garanzie previste in favore della persona segnalante.
L’implementazione del sistema non può prescindere dal rispetto della normativa in materia di protezione dei dati personali. Infatti, il trattamento di dati personali relativi al ricevimento e alla gestione delle segnalazioni è effettuato dai soggetti del settore pubblico e privato, in qualità di titolari del trattamento, nel rispetto dei princìpi europei e nazionali in materia di protezione di dati personali.
Ciò richiede che siano rese idonee informative ai soggetti segnalanti su come saranno trattati i loro dati, e che vengano garantiti i diritti di cui agli articoli da 15 a
22 del regolamento (UE) 2016/679, che siano predisposte procedure e lettere di incarico per l’accesso ai dati e la conservazione degli stessi, e che sia predisposta ove necessario una Valutazione di Impatto.
L’importanza della PIA
Una valutazione di impatto sulla privacy (PIA, Privacy Impact Assessment) è un processo che viene eseguito per identificare e valutare i rischi che un'organizzazione può incontrare nel trattamento dei dati personali. Questo tipo di valutazione è spesso richiesto dalle normative sulla privacy, come il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea. La PIA coinvolge l'analisi dettagliata delle attività di trattamento dei dati, consentendo di identificare le potenziali vulnerabilità o le possibili violazioni della privacy. Durante la valutazione, vengono valutati i rischi associati alle operazioni di trattamento, come la raccolta, l'archiviazione, l'elaborazione e la trasmissione dei dati personali. La PIA mira anche a valutare l'efficacia delle misure di sicurezza esistenti e a fornire raccomandazioni per migliorare la protezione dei dati personali.
La PIA deve essere condotta in conformità con i requisiti normativi applicabili, e deve nel caso essere integrata con gli eventuali sistemi vigenti (vedasi ad esempio ISO 27001, o Modello di Organizzazione ex D.lgs. 231/01); complessivamente, una valutazione di impatto sulla privacy è uno strumento essenziale per proteggere la privacy dei dati personali, garantendo che le organizzazioni comprendano e affrontino adeguatamente i rischi associati al trattamento dei dati e adottino le misure di sicurezza adeguate.
La normativa in materia di protezione dei dati personali si esplica nella normativa whistleblowing permettendo di rendere effettivi i piani di tutela previsti, fornendo strumenti per adempiere all’obbligo di garantire la riservatezza dei dati dei segnalanti, e quindi delle loro identità, al fine di impedire eventuali ritorsioni sul posto di lavoro.
Gli Autori
Specializzati in diritto penale dell’impresa, gli avvocati si occupano con continuità di reati societari, fiscali, reati contro la PA e della responsabilità amministrativa dell’impresa. Svolgendo funzione di OdV, ricoprendo incarichi di R.S.P.P., di responsabile privacy e D.P.O. e sono formatori in ambito di Salute e sicurezza sul lavoro. Sono, inoltre, autori di diversi articoli e pubblicazioni tra cui il volume ESG e Compliance, una guida operativa sugli elementi principali della sostenibilità aziendale nonché sui vantaggi che le imprese possono conseguire o implementare mettendo in luce l’utilità di un’efficace Compliance, l’adozione dei Modelli di Organizzazione e Gestione ai sensi del D. Lgs. 231/01 e le certificazioni UNI ISO.e. Tra i servizi offerti da SLS, Studio Legale Salmi, infatti, è compresa la consulenza giudiziale e stragiudiziale per quanto riguarda la compliance aziendale all’impiego delle nuove tecnologie e le responsabilità penali a esse collegate.