Al fine di tenervi sempre aggiornati sui principali sviluppi normativi e/o giurisprudenziali rilevanti anche in materia di protezione dei dati personali, vi parliamo della Normativa Whistleblowing: con questo termine si fa riferimento alla rivelazione spontanea e anonima da parte di un individuo, che prende il nome di whistleblower, di un illecito o di un’irregolarità, potenzialmente dannosi per la collettività e di cui si trova ad essere testimone, commessa all’interno dell’organizzazione o dell’azienda pubblica o privata per cui lavora.
In data 10 marzo 2023, è stato approvato il decreto legislativo n. 24 attuativo della Direttiva UE 2019/1937 relativo alla protezione delle persone che segnalano violazioni della legge in contesti lavorativi, normativa che estende e codifica la disciplina del whistleblowing fin d’ora limitata all’art. 6 comma 2-bis del D.lgs. 231/2001.
La nuova disciplina è entrata in vigore il 30 marzo 2023 per tutti gli enti pubblici e per le società pubbliche o private con un Modello Organizzativo 231. Mentre le disposizioni del decreto saranno applicabili a decorrere dal 15 luglio 2023 per tutti i datori di lavoro del settore pubblico e privato con minimo 250 dipendenti, per le realtà aziendali con minimo 50 dipendenti la normativa sarà in vigore dal 17 dicembre. Dunque, per i soggetti operanti nel settore privato, che impieghino meno di 50 dipendenti, non sussiste invece un obbligo di adozione di una procedura di Whistleblowing, salvi casi specifici come il settore finanziario.
In linea generale, si menziona, tra i principali adempimenti della normativa, quello di istituzione del canale di segnalazione interna. Il canale dovrà essere in grado di tutelare la riservatezza del segnalante e del contenuto della sua segnalazione: vige il divieto di rilevare la sua identità. Tale divieto è da riferirsi non solo al nominativo del segnalante ma anche a tutti gli elementi della segnalazione che possano consentire, anche indirettamente, l’identificazione del segnalante. Pertanto, il canale dovrà essere in grado di rispondere a questa primaria esigenza di riservatezza, ad esempio garantendo che lo scambio di informazioni con il segnalante avvenga tramite protocolli sicuri HTTPS o forme di autenticazione “forti” per l’accesso al canale predisposto.
Le modalità, a scelta dell’Azienda, attraverso le quali si può istituire il suddetto canale di segnalazione interna sono le seguenti:
Forma scritta;
Forma orale;
Modalità informatica;
Incontro diretto fissato entro un termine ragionevole.
Andrà fra l’altro pubblicizzata, insieme alle disposizioni in materia, la linea telefonica da utilizzare (se prevista come canale di segnalazione), specificando soprattutto se le conversazioni vengono o meno registrate, poiché in tal senso sarà necessario il consenso del segnalante l’illecito.
Tra le varie disposizioni del decreto in materia di protezione dei dati personali, spiccano:
l’obbligo di predisporre una Valutazione d’Impatto Privacy (DPIA) sulle modalità adottate per il canale;
gli interessati, in tal caso "segnalanti", devono ricevere idonea informativa ai sensi dell’art. 13 GDPR: un'informativa specifica sul trattamento dei dati per il Whistleblowing;
Il Whisthleblowing deve essere censito quale trattamento specifico all’interno del registro redatto ai sensi dell’art. 30 GDPR, "Registro delle attività di trattamento";
Le segnalazioni e gli allegati alla segnalazione devono essere sottratti al diritto di accesso e all’accesso civico generalizzato;
le informazioni in merito alla segnalazione potranno essere conservate per non oltre cinque anni dall’esito finale della procedura di Whistleblowing, quale che sia il canale seguito.
L’ambito soggettivo di applicazione delle tutele prevista dal decreto viene ampliato tanto da abbracciare tutte le seguenti categorie:
Dipendenti;
Lavoratori subordinati e autonomi;
Liberi professionisti;
Lavoratori e collaboratori delle imprese appaltatrici, subappaltatrici o fornitrici;
Volontari;
Tirocinanti retribuiti e non retribuiti;
Azionisti;
Persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza;
Facilitatori: colleghi, parenti o affetti stabili di chi ha segnalato
L’ambito oggettivo di applicazione del decreto, riferito in particolare al novero delle segnalazioni ammissibili e rilevanti, prevede oltre agli illeciti di natura amministrativa, civile, contabili o penale che siano potenzialmente lesivi dell’interesse pubblico o dell’integrità dell’amministrazione pubblica o dell’ente privato, anche illeciti relativi al rispetto del diritto dell’Unione Europea e inoltre, informazioni che non sono state apprese necessariamente nello svolgimento dell’attività lavorativa oppure ancora, segnalazioni non dirette alla tutela dell’integrità dell’ente.
Per il mancato adeguamento alle disposizioni del decreto sul Whistleblowing prevede sanzioni che oscillano dai 10.000 ai 50.000 euro.
Infine è da rilevare l’interesse di questo tema da un punto di vista reputazionale: la predisposizione adeguata del canale di segnalazione dimostra l’attenzione della società alla trasparenza nel suo operato e un conseguente incremento di fiducia da parte dei propri collaboratori e clienti.