Il 15 luglio entra in vigore la nuova normativa in materia di whistleblowing con i relativi adempimenti GDPR.
L’obiettivo del legislatore è garantire una maggiore tutela per coloro che segnalano comportamenti illeciti, sia nel settore pubblico che in quello privato, che danneggiano l’interesse pubblico o l’integrità dell’amministrazione o dell’ente privato in ambito lavorativo.
Allo stesso tempo, sono state introdotte importanti novità in materia di privacy per proteggere i segnalanti e gestire correttamente il processo di segnalazione e i rischi ad esso connessi.
Ambito di applicazione
Le imprese del settore privato che dovranno adeguarsi alla nuova disciplina sono quelle che:
- hanno impiegato in media nell’ultimo anno, almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
- si occupano di specifici settori (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
- le imprese che adottano il modello di organizzazione e gestione previsto al D.lgs.231/2001, anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato.
Si precisa che le imprese che hanno impiegato nell’ultimo anno una media di 249 lavoratori subordinati avranno tempo fino al 17 dicembre 2023 per adeguarsi ai nuovi obblighi e adottare adeguati canali di segnalazione interna, oltre all’adozione di una serie di adempimenti GDPR.
Adempimenti GDPR
Con particolare riferimento agli adempimenti in materia di data protection, spicca quello relativo alle modalità di conservazione dei dati personali dei soggetti coinvolti nella segnalazione (segnalanti, persone coinvolte nella segnalazione o facilitatori) nel rispetto del “principio di minimizzazione dei dati” (art. 5 GDPR).
I soggetti incaricati di ricevere le segnalazioni dovranno infatti eliminare immediatamente tutti i dati non utili alla segnalazione ai sensi dell’art. 13, comma 2 decreto whistleblowing.
Nella pratica, se la segnalazione viene fatta oralmente, sarà necessario il consenso del segnalante per la trascrizione o la redazione del verbale da parte del personale addetto a riceverla. Il segnalante potrà verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione.
Per quanto riguarda il canale di segnalazione da adottare, saranno i titolari del trattamento che dovranno individuare, in anticipo, adeguate misure tecniche e organizzative per mitigare il rischio per i diritti e le libertà dei soggetti interessati nel rispetto del principio privacy by design (art.25 GDPR).
Nell’iter di selezione del fornitore del servizio di segnalazione e/o del prodotto tecnologico si dovrà valutare il rispetto dei requisiti di sicurezza prescritti dalla normativa (art. 32 GDPR).
A tal proposito sarà quindi obbligatorio effettuare la cosiddetta DPIA (valutazione di impatto) del sistema di segnalazione interna, già in fase di progettazione del relativo disegno organizzativo (art. 35 GDPR).
L’obbiettivo della normativa è proprio quello di predisporre un canale di segnalazione in grado di rispettare tanto la riservatezza del segnalante, quanto l’esattezza del processo instaurato (art. 25 GDPR).
Qualora la gestione delle segnalazioni avvenga in maniera condivisa (per quanto attiene alle risorse per il ricevimento e la gestione della segnalazione) dovranno essere conclusi accordi di contitolarità tra i diversi titolari del trattamento coinvolti (art. 26 GDPR).
Una volta adottato il sistema di segnalazione, anche l’elenco delle nomine a responsabile esterno (ovvero colui che tratta i dati personali per conto del titolare del trattamento) dovrà essere aggiornato e in questo caso dovranno sottoscrivere i cosiddetti DPA (data protection agreement) (art. 28 GDPR) anche:
- il fornitore del sistema informatico del canale di segnalazione;
- l’ADS (amministratore di sistema) o
- il fornitore dell’eventuale piattaforma per la gestione delle segnalazioni.
Tra le nomine non bisogna dimenticare anche quella del “referente del titolare del trattamento” a favore di tutti i soggetti incaricati dal titolare di ricevere e gestire le segnalazioni interne alla realtà aziendale (art. 29 GDPR).
Infine, sarà necessario aggiungere uno specifico trattamento relativo alla procedura di whistleblowing nel relativo registro dei trattamenti (art. 30 GDPR), senza dimenticare di predisporre e pubblicare anche un’informativa dedicata o eventualmente integrando quella già in essere. (art. 12 GDPR).
I dati trattati devono essere conservati solo per il tempo strettamente necessario al relativo trattamento sempre nel rispetto del principio di minimizzazione dei dati, e comunque non oltre il termine di 5 anni a decorrere dalla comunicazione dell’esito finale della procedura di segnalazione (articoli 5 e 12 GDPR).
Il nuovo regime sanzionatorio
Abbiamo anticipato che i soggetti destinatari della normativa sono tenuti ad adeguarsi entro il 15 luglio 2023 o al più tardi entro e non oltre il 17 dicembre 2023 agli obblighi a loro imposti.
Senza considerare altri profili responsabilità (civile, penale, amministrativa, contabile), il decreto whistleblowing ha infatti previsto sanzioni rigorose per coloro che non si adeguano alle prescrizioni imposte dalla legge.
L’organismo preposto a irrogarle (ANAC) potrà erogare sanzioni quando le imprese abbiano commesso ritorsioni nei confronti dei soggetti segnalanti o quando:
- abbiano ostacolato o tentato di ostacolare la segnalazione o violato l’obbligo di riservatezza;
- hanno omesso di istituire canali di segnalazione;
- hanno omesso di adottare procedure per l’effettuazione e la gestione delle segnalazioni;
- l’adozione o la loro implementazione non è stata conforme alla normativa;
- hanno omesso di svolgere l’attività di verifica e analisi delle segnalazioni ricevute.
In tutti questi casi, l’ANAC può irrogare fino a 50.000 euro di sanzioni in caso di violazione.
Qualora la violazione riguardi l’identità del segnalante la sanzione potrà arrivare a 2.500 euro.
Considerazioni finali
Da una prima analisi del decreto whistleblowing, si evince come la norma sia stata pensata in stretta connessione con quella in materia di GDPR. La norma va rispettata sia sotto il profilo della riservatezza dei dati sia per i numerosi adempimenti da adottare per trattare correttamente le informazioni selezionate e raccolte.
In quest’ottica si ricorda che gli illeciti in materia di privacy sono stati ricompresi all’interno dell’elenco delle fattispecie che potranno essere oggetto di segnalazione.
Si auspica quindi che anche grazie al nuovo decreto whistleblowing si diffonda una maggiore consapevolezza in materia di data protection e conseguente volontà di miglioramento della cultura della privacy compliance su tutto il territorio nazionale.