La nuova normativa prevista dal D.lgs. 24/23 si prefigge lo scopo di intensificare la tutela dei soggetti (c.d. whistleblowers) che procedono ad una segnalazione di comportamenti che, atti o omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato.
L’Azienda (titolare del trattamento) nell'elaborazione del proprio modello organizzativo interno finalizzato alla corretta gestione delle segnalazioni, dovrà adottare tutte le misure organizzative, informatiche e fisiche per garantire che i dati personali trattati non siano soggetti a rischi di accesso abusivo, di perdita o di trattamento illecito, facendo riferimento alle prescrizioni del GDPR.
La normativa prevede due differenti “termini temporali" per adempiere i nuovi obblighi
a) Entro 15 luglio 2023 per i soggetti del settore privato che abbiano impiegato, nell'ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, oltre le 249 unità.
b) entro il 17 dicembre 2023 i soggetti che abbiano impiegato nell'ultimo anno la media di almeno 50 unità, o che rientrino in ambiti di attività definite "rilevanti" (1) o che abbiano adottato i modelli di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/2001 in tema di responsabilità amministrativa da reato delle società e degli enti.
1. Informativa ex artt 13 e 14 GDPR: deve essere fornita adeguata informativa ai soggetti segnalanti e alle persone coinvolte;
2. Modello di ricevimento/gestione: deve essere definito un modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato (es. vanno attivati “propri canali di segnalazione, che garantiscano, anche tramite il ricorso a strumenti di crittografia, la riservatezza dell'identità della persona segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione”);
3. Formazione del personale: deve essere prevista specifica formazione, quale misura organizzativa da adottare (“La gestione del canale di segnalazione è affidata a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione, ovvero è affidata a un soggetto esterno, anch'esso autonomo e con personale specificamente formato”);
4. Valutazione d’impatto: il trattamento va sottoposto a preventiva valutazione di impatto ai sensi dell’art. 35 GDPR (“I soggetti di cui all'articolo 4 definiscono il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base di una valutazione d'impatto sulla protezione dei dati (..)”);
5. Nomina dei responsabili esterni ex art. 28 GDPR: il rapporto con eventuali fornitori esterni (es. fornitore della piattaforma) va definito ai sensi di quanto previsto dal GDPR o dalla Direttiva Polizia (2) ;
6. Periodo di conservazione: le segnalazioni, interne ed esterne, e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione, nel rispetto del principio di limitazione della conservazione (di cui all’art. 5, paragrafo 1, lettera e), del GDPR e dell’art. 3, comma 1, lettera e), del decreto legislativo n. 51 del 2018 di attuazione della Direttiva Polizia;
7. Aggiornamento del registro dei trattamenti: il whistleblowing deve essere inserito quale attività di trattamento specifica all’interno del registro delle attività di trattamento ai sensi dell’art. 30 paragrafo 1 del GDPR.
1. Servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente
2. Direttiva 2016/680 del Parlamento europeo e del Consiglio d'Europa, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, introduce la regolamentazione delle protezione delle persone fisiche con riferimento al trattamento dei dati da parte delle autorità a fini di prevenzione, investigazione e repressione di reati.
Nicolò Ghibellini
n.ghibellini@bmvinternational.com
