Il 17 dicembre scorso ha segnato un momento cruciale per le imprese italiane, soprattutto per quelle di medie dimensioni. Il D.Lgs n. 24/2023 – recante la disciplina sul whistleblowing – è divenuto efficace anche nei confronti di quei soggetti privati che, nell’ultimo anno, hanno impiegato una media di lavoratori subordinati (superiore a 50 e) inferiore a 249. Si tratta di una normativa che, come meglio vedremo in questo articolo, impone specifici adempimenti anche in materia di trattamento di dati personali.
Sono Erika Bonollo, sono un avvocato che presta consulenza ad imprese e professionisti e, attraverso questo articolo, vedremo insieme gli obblighi in materia di trattamento di dati personali derivanti dall’adozione delle procedure previste dal D.Lgs n. 24/2023.
Il D.lgs. n. 24/2023 in estrema sintesi
Il D.Lgs 10 marzo 2023 n. 24 dà attuazione alla Direttiva UE 2019/1937, che mira ad armonizzare a livello europeo la normativa in materia di whistleblowing, garantendo uno standard minimo di protezione in tutti gli stati membri.
Whistleblowing deriva da Whistleblower, termine anglosassone che letteralmente sta ad indicare i “suonatori di fischietto” e viene utilizzato per indicare colui che, lavorando all’interno di un’organizzazione (pubblica o privata) si trova ad essere testimone di un comportamento irregolare, illegale, potenzialmente dannoso per la collettività, e decide di segnalarlo.
Che cosa prevede?
Per chi ancora non lo conoscesse, il D.Lgs n. 24/2023 impone l’adozione di procedure volte a garantire protezione – sia in termini di riservatezza che di tutela da ritorsioni – ai soggetti che segnalano violazioni di disposizioni normative nazionali o dell’Unione Europea di cui siano venuti a conoscenza in un contesto lavorativo.
I canali previsti per effettuare la segnalazione sono sostanzialmente tre: segnalazione interna, segnalazione esterna, divulgazione pubblica.
A chi si applica?
Il D.Lgs n. 24/2023, per quanto attiene al settore privato, si applica agli enti che:
- nell’ultimo anno, hanno impiegato una media di oltre 50 dipendenti
- indipendentemente dal numero di dipendenti, operano nell’ambito dei servizi, prodotti e mercati finanziari e della prevenzione del riciclaggio e del finanziamento del terrorismo, tutela dell’ambiente e sicurezza dei trasporti;
- indipendentemente dal numero di dipendenti, hanno adottato Modelli di Organizzazione e Gestione ai sensi del D.Lgs. n. 231/2001.
Le implicazioni in materia di trattamento di dati personali
I dati trattati nell’ambito delle procedure delineate dal D.Lgs n. 24/2023 sono soggetti alla normativa vigente in materia di trattamento di dati personali, più volte richiamata dal decreto in esame. All’adozione delle procedure di segnalazione previste dal D.Lgs n. 24/2023 seguono pertanto specifici adempimenti.
1) Innanzitutto, è necessario definire un modello di gestione delle segnalazioni conforme ai principi in materia di protezione dei dati personali coinvolgendo, ove presente, il responsabile della protezione dei dati (DPO) ed adottando le misure tecniche ed organizzative adeguate. Tra i principi fondamentali da rispettare, si citano:
- il principio di liceità, correttezza, trasparenza: i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- il principio di limitazione delle finalità: i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
- di minimizzazione dei dati da trattare: i dati personali raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- il principio di esattezza: i dati personali trattati devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti;
- di limitazione della conservazione dei dati: i dati personali devono essere conservati per il tempo necessario al trattamento della specifica segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione;
- di integrità, disponibilità e riservatezza: i dati personali devono trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. Le misure tecniche e organizzative adottate devono essere poi periodicamente valutate e, se del caso, aggiornate;
- privacy by design e privacy by default: che impongono di trattare e conservare soltanto i dati strettamente necessari alle finalità̀ perseguite, nonché di prestare adeguata attenzione alla protezione dei dati personali fin dal momento della loro progettazione, delle regole e dei principi della protezione dei dati, in modo da minimizzare sia la raccolta che il successivo trattamento.
2) È poi necessario individuare e qualificare correttamente i soggetti coinvolti nel trattamento dei dati personali.
- Ove sia individuabile, accanto al titolare del trattamento dei dati personali, anche un soggetto contitolare, sarà necessario disciplinare i rispettivi ruoli, compiti e responsabilità in apposito accordo scritto.
- Ove sia ravvisabile un soggetto responsabile del trattamento, dovrà essere fornita specifica nomina ai sensi dell’art. 28 GDPR che indichi l’oggetto, la durata, la natura e la finalità̀ del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
- Vanno inoltre individuate le persone che vengono espressamente autorizzate al trattamento dei dati personali e deve essere impartita loro adeguata formazione.
3) Deve essere effettuata una valutazione di impatto sulla protezione dei dati (DPIA), una procedura che analizza i rischi associati al trattamento dei dati personali e stabilisce le misure necessarie per mitigarli.
4) Occorre, inoltre, predisporre una corretta informativa sulla privacy ai sensi degli articoli 13 e 14 del GDPR, che deve poi essere chiaramente e preventivamente resa ai possibili soggetti interessati.
5) I trattamenti di dati personali effettuati nell’ambito delle procedure di gestione delle segnalazioni devono essere indicati all’interno del registro delle attività di trattamento (documento che indica tutte le operazioni di trattamento effettuate dal titolare), il quale dev’essere specificatamente aggiornato.
Per concludere
In conclusione, mentre l’attenzione potrebbe concentrarsi prevalentemente sull’adozione delle procedure di segnalazione whistleblowing indicate dal D.Lgs n. 24/2023, è fondamentale non sottovalutare gli adempimenti in materia di privacy che ne conseguono. Sebbene possano apparire secondari, il mancato rispetto di questi può portare a sanzioni significative.
Se desideri rispettare tutti gli obblighi normativi in materia di trattamento di dati personali stabiliti dal D.Lgs n. 24/2023, non esitate a contattarmi. Offro consulenza legale personalizzata per aiutarti ad affrontare questa novità normativa.
