Whistleblowing e GDPR
Con il decreto legislativo 10 marzo 2023 n. 24 è stata data attuazione, all’interno del nostro ordinamento, alla direttiva (UE) 2019/1937 in materia di persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.
È stata introdotta, seppur con notevole ritardo rispetto al termine inizialmente previsto, la disciplina relativa alla protezione dei c.d. “whistleblower“, termine anglosassone che letteralmente sta ad indicare i “suonatori di fischietto“, ovvero i soggetti che denunciano la commissione di eventuali illeciti all’interno di organizzazioni, enti, pubbliche amministrazioni ed aziende.
Il Decreto disciplina in modo organico la protezione delle persone (I Wistleblowers) che segnalano violazioni del diritto europeo e della normativa nazionale, ponendo una serie di obblighi in capo ai soggetti privati con determinati requisiti dimensionali, tipologia di settore e presidi organizzativi implementati ad esempio il modello 231.
Chi si deve adeguare ?
L’ambito di applicazione del decreto è molto ampio, perché vi rientrano sia i soggetti pubblici che i privati. In particolare, nel settore privato, rientrano nella disciplina i soggetti che:
nell’ultimo anno, hanno impiegato in media almeno 50 lavoratori subordinati con contratti a tempo determinato o indeterminato;
anche se non nell’ultimo anno non hanno raggiunto la media dei 50 lavoratori subordinati, rientrano nell’ambito di applicazione degli atti dell’Unione dell’allegato del d.lgs. 24/2023 cioè: servizi, prodotti e mercati finanziari, prevenzione del riciclaggio e finanziamento del terrorismo, commercializzazione e utilizzo di prodotti sensibili e pericolosi;
anche se non nell’ultimo anno non hanno raggiunto la media dei 50 lavoratori subordinati, hanno adottato il MOG 231.
Le sanzioni più rilevanti in materia di whistleblowing non sono state erogate dall’ANAC – che se ne occuperà e che in parte se ne è occupato -, ma dal Garante della privacy. Sono sanzioni dagli importi elevati – dai 40.000 agli 80.000 euro – e prevedono la sanzione accessoria della pubblicazione del provvedimento, con un conseguente danno reputazionale. Infatti, il Garante della privacy ha poteri molto penetranti, perché grazie alle sue ispezioni, può accedere ai sistemi informativi, sia del titolare del trattamento dei dati – l’azienda – sia del fornitore della piattaforma con cui è stato gestito il canale di whistleblowing.
Gli istituti, pubblici e privati, devono prevedere un canale interno di segnalazione e il coinvolgimento delle rappresentanze e delle organizzazioni sindacali.
Vanno previste anche delle tempistiche rigorose per dare riscontro al segnalante e delle misure a protezione della tutela della riservatezza – anche tramite il ricorso a strumenti di crittografia – e contro le ritorsioni.
I termini per adeguarsi sono già scaduti per gli enti pubblici (15 luglio 2023) e molto vicini per i soggetti privati che hanno impiegato, nell’ultimo anno, una media di lavoratori fino a 249 unità (17 dicembre 2023).
Fonte PrivacyLab
