Whistleblowing e GDPR: cosa è cambiato dal 15 luglio 2023
Come ricordato nella direttiva europea 2019/1937 chi lavora per un’organizzazione pubblica o privata o è in contatto con essa nello svolgimento della propria attività professionale è spesso la prima persona a venire a conoscenza di minacce o pregiudizi al pubblico interesse. E nel segnalare violazioni che ledono il pubblico interesse queste persone svolgono un ruolo decisivo nella denuncia, nella prevenzione e nella salvaguardia del benessere della società. Ed è dunque necessario garantire una protezione equilibrata ed efficace degli “informatori”.
Con il termine di whistleblowing si intende, dunque, la segnalazione da parte di un soggetto (whistleblower) di un illecito commesso da parte di una società, di un ente pubblico o privato, del quale si è venuti a conoscenza nell’esercizio delle proprie funzioni.
Il D.Lgs. 10 marzo 2023, n° 24 - recante attuazione della direttiva (UE) 2019/1937 del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali - introduce la nuova disciplina del whistleblowing in Italia.
A partire dal 15 luglio 2023 enti ed imprese con 250 o più dipendenti dovranno ottemperare agli obblighi previsti dal decreto. Dal 17 dicembre 2023, l’obbligo ricade anche per le aziende con più di 50 dipendenti.
Quali sono le indicazioni della nuova normativa sul whistleblowing? Esistono strumenti che possono aiutare le aziende ad adempiere correttamente a quanto richiesto dalla normativa in materia di trattamento e protezione dei dati?
La disciplina del whistleblowing: gli obiettivi e l’ambito di applicazione
La disciplina del whistleblowing: gli obblighi delle aziende e le sanzioni
La protezione dei dati e le funzionalità del software Blumatica GDPR
La disciplina del whistleblowing: gli obiettivi e l’ambito di applicazione
Il D.lgs. 24/2023, che recepisce la direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, mira a proteggere le persone che segnalano violazioni capaci di ledere l’interesse o l’integrità aziendale.
Oltre al soggetto segnalante, c’è l’obiettivo di proteggere anche i cosiddetti facilitatori, ossia i soggetti preposti ad assistere il segnalante nel processo di segnalazione come, ad esempio, i colleghi di lavoro.
Qual è l’ambito di applicazione della nuova normativa?
Il D.lgs. 24/2023 ha ampliato l’ambito di applicazione dell’istituto del whistleblowing, estendendone il campo di azione a tutte le società che:
- hanno impiegato nell’ultimo anno una media di almeno 50 lavoratori subordinati;
- operano in settori regolamentati a livello europeo (ad esempio i mercati finanziari) a prescindere dal numero di dipendenti;
- rientrano nel campo di applicazione del Dlgs 231/2001 e adottano un modello organizzativo, sempre a prescindere dal numero dei dipendenti.
La disciplina del whistleblowing: gli obblighi delle aziende e le sanzioni
Riguardo agli obblighi connessi alla normativa italiana ed europea, il Garante della Privacy ha prescritto che le aziende dovranno mettere in atto una serie di adempimenti diretti a rendere effettiva la tutela del whistleblower.
In particolare, dovranno attivare canali di segnalazione interna che garantiscano, anche tramite strumenti di crittografia, la riservatezza dell’identità del segnalante, del segnalato, del contenuto, dei documenti e delle persone comunque menzionate nella segnalazione.
Dovrà essere fornita idonea informativa sul trattamento dei dati ai sensi dell’art. 13 del Regolamento GDPR (Regolamento 2016/679) e il Titolare del trattamento dovrà stabilire i tempi di conservazione della segnalazione, nominare e istruire i soggetti incaricati alla gestione delle stesse ed effettuare una valutazione d’impatto privacy (DPIA) ai sensi dell’art. 35 del GDPR.
La gestione del canale di segnalazione potrà essere affidata anche ad un soggetto esterno specificando che è previsto l’obbligo di rilasciare al segnalante un avviso di ricevimento della segnalazione entro sette giorni ed un riscontro alla segnalazione entro 30 giorni.
Tutti i potenziali segnalanti dovranno essere resi edotti delle procedure previste per effettuare le segnalazioni mediante informazioni chiare e precise che l’azienda dovrà rendere facilmente individuabili all’interno dei luoghi di lavoro o in una sezione dedicata del sito internet, se esistente.
Si ricorda poi che l’Anac (Autorità Nazionale Anticorruzione) potrà applicare le seguenti sanzioni amministrative pecuniarie:
- da 10.000 a 50.000 euro nei casi in cui vengano commesse ritorsioni o quando viene accertato che una segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l’obbligo di riservatezza,
- da 10.000 a 50.000 euro nel caso in cui Anac accerti che non sono stati istituiti canali di segnalazione, che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni,
- da 500 a 2.500 euro nel caso in cui venga accertata la responsabilità penale della persona segnalante per i reati di diffamazione o di calunnia.
Restano, poi, valide, in caso di violazioni della normativa privacy, le sanzioni previste dal Regolamento GDPR.
La protezione dei dati e le funzionalità del software Blumatica GDPR
Blumatica, grazie all’esperienza ventennale in materia, ha sviluppato un’applicazione ( Blumatica GDPR) che consente di gestire la Data Protection, la protezione dei dati personali, nelle aziende.
Il sistema è totalmente in cloud e aiuta sia i professionisti che le aziende di ogni dimensione e complessità organizzativa.
Blumatica GDPR è un software certificato: è conforme ai requisiti del Regolamento UE 2016/679 mediante processo di certificazione da parte di Ente terzo.
Ad esempio il software permette di:
- individuare i dati della vostra organizzazione ed i soggetti da nominare;
- ottenere il registro dei trattamenti conforme alla vostra attività;
- effettuare l’analisi dei rischi e l’eventuale valutazione di impatto sulla protezione dati (DPIA);
- generare in automatico le informative ed i consensi in base ai trattamenti che vengono effettuati.
Il link per avere ulteriori informazioni su Blumatica GDPR.
Per avere altri dettagli è possibile visitare il sito Blumatica o scrivere all’indirizzo commerciali@blumatica.it.
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.