Il 15 marzo 2023, è stato pubblicato in Gazzetta Ufficiale il Decreto Lgs. n.24/2023, il quale attua la Direttiva (UE) 2019/137 relativa alla protezione delle persone che segnalano violazioni del diritto dell’Unione e delle leggi nazionali, comunemente noto come “Whistleblowing”(Il whistleblowing si riferisce all'atto di segnalare o rendere pubbliche informazioni, solitamente per esporre illeciti).
A partire dal 15 luglio 2023 le nuove disposizioni in materia di whistleblowing sono entrate in vigore per le aziende del settore privato che impiegano una media di almeno 250 lavoratori subordinati con contratti a tempo indeterminato o determinato nell’ultimo anno.
Dal 17 dicembre, inoltre, queste norme si applicheranno anche alle imprese con più di 50 dipendenti.
Chi sono i whistleblower e chi è protetto
I soggetti tutelati da questa legge comprendono non solo i lavoratori subordinati, ma anche lavoratori autonomi, liberi professionisti, volontari, tirocinanti, azionisti, candidati, ex dipendenti e coloro che ricoprono ruoli di amministrazione, direzione, controllo o vigilanza. Inoltre, la normativa si estende anche ai “facilitatori”, che possono essere colleghi, parenti o affetti stabili nell’ambito del medesimo ambito lavorativo, di chi effettua la segnalazione. Questa ampia definizione assicura che una vasta gamma di individui possa segnalare violazioni in modo sicuro.
Whistleblowing: I canali di segnalazione interna
Il decreto richiede che le organizzazioni private istituiscano appositi canali di segnalazione interna – come una piattaforma dedicata – che garantiscano la riservatezza dell’identità del segnalante e del contenuto della segnalazione, anche attraverso l’uso di strumenti di crittografia end-to-end per proteggere la confidenzialità e l’integrità delle informazioni.
Le segnalazioni possono essere fatte per iscritto o verbalmente. In quest’ultimo caso, ad esempio, attraverso un colloquio diretto, tramite linee telefoniche o sistemi di messaggistica vocale. Il soggetto o l’ufficio incaricato di ricevere le segnalazioni deve rispettare tempi precisi, confermando il ricevimento entro 7 giorni e fornendo una risposta entro 3 mesi.
Il canale di segnalazione esterna
Il decreto prevede anche un canale di segnalazione esterna gestito dall’ANAC (Autorità Nazionale Anticorruzione) a cui il whistleblower può rivolgersi in situazioni in cui il canale di segnalazione interno all’organizzazione non sia presente, attivo o non rispetti le prescrizioni previste. Questo garantisce che chi segnala possa avere sempre un canale di riferimento sicuro.
Sanzioni e tutele
Una delle parti cruciali del Decreto riguarda il divieto di ritorsioni o discriminazioni nei confronti del whistleblower. L’ANAC ha il potere di applicare sanzioni amministrative in caso di violazioni, tra cui l’omissione dei canali di segnalazione o l’ostacolo alle segnalazioni. Inoltre, la normativa protegge ulteriormente i segnalatori rendendo nullo il licenziamento in caso di segnalazione di violazioni.
Trattamento dei dati personali
Il decreto richiede che i trattamenti dei dati personali relativi alle segnalazioni siano conformi al Regolamento (UE) 2016/679 in materia di protezione dei dati (GDPR). Questo assicura che le informazioni dei segnalatori siano trattate in modo sicuro e rispettoso della privacy.
Tuttavia, in termini di privacy, ci sono altri aspetti cruciali da considerare. Prima di tutto, è obbligatorio aggiornare il registro dei trattamenti per includere questa specifica attività, in piena conformità con le direttive del GDPR. Questo processo richiede una dettagliata annotazione delle modalità di raccolta, conservazione e trattamento dei dati relativi alle segnalazioni di whistleblowing.
Inoltre, è essenziale fornire tutte le informazioni sulla privacy aggiornate in merito al whistleblowing a tutti i soggetti interessati. Questo garantisce trasparenza e conformità con le leggi vigenti, assicurando che le informative privacy delineino chiaramente i diritti e le protezioni fornite ai segnalanti.
Valutazione di impatto
Un altro aspetto importante è la redazione di una valutazione d’impatto sulla protezione dei dati (DPIA), un documento che il titolare del trattamento deve redigere se il trattamento dei dati può comportare un rischio elevato per i diritti e le libertà delle persone. Questo è particolarmente rilevante nel caso delle attività di whistleblowing, poiché il DPIA permette di valutare accuratamente le misure da adottare per garantire la compliance con il GDPR.
Lettera di incarico
È richiesto anche di fornire e far sottoscrivere una lettera di incarico da parte dei soggetti interni ed esterni autorizzati a gestire il canale di segnalazione.
Inoltre, se l’azienda decide di affidare la gestione del canale a un responsabile esterno, questo deve essere nominato come responsabile del trattamento, in piena conformità con le disposizioni del GDPR. Il contratto tra l’azienda e il fornitore deve chiaramente dettagliare i compiti e le responsabilità del fornitore per garantire la sicurezza dei dati e la conformità normativa. Sarà fondamentale stabilire procedure di sicurezza e audit per monitorare le attività del fornitore.
Queste disposizioni sottolineano l’importanza di garantire la protezione dei dati personali in tutte le fasi del processo di whistleblowing, garantendo che le segnalazioni siano gestite in modo sicuro e conforme alla legge sulla privacy.
Confartigianato Imprese Piemonte Orientale può assistervi nell’adeguamento alla nuova normativa e alla gestione degli adempimenti previsti dal GDPR 679/16 in materia di Privacy. Per maggiori informazioni potete scrivere a alessandro.scandella@artigiani.it