Whistleblowing e adempimenti privacy: scadenza imminente

Si avvicina rapidamente la seconda scadenza prevista dalla normativa sul Whistleblowing.
Il D.Lgs. 10 marzo 2023 n. 24, in attuazione della Direttiva UE 2019/1937,  ha stabilito obblighi specifici in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione.
I destinatari della nuova disciplina sono soggetti sia pubblici che privati.

In particolare per i soggetti privati la normativa estende le protezioni ai segnalanti nei seguenti casi:

• Coloro che hanno impiegato, nell’ultimo anno, la media di almeno cinquanta lavoratori subordinati.
• Enti che anche sotto tale limite si occupano dei cd. Settori sensibili (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente).
• Enti che adottano modelli di organizzazione e gestione (MOG) ai sensi del D.Lgs. 231/2001.

La prima scadenza imposta dalla normativa era quella del 15 luglio 2023, data entro cui la normativa entrava in vigore.

Dal 17 dicembre 2023 decorre l’obbligo di istituire un canale interno di segnalazione per i soli soggetti privati che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a duecentoquarantanove.

L’ANAC (Autorità Nazionale Anti Corruzione) come stabilito dalla normativa ha emanato sul tema apposite Linee Guida.

La normativa prevede specifici obblighi in materia di protezione dei dati. Molto utile la Guida predisposta da Confindustria che include aspetti legati alla protezione dei dati relativi alla ricezione e gestione delle segnalazioni. Leggi la Guida.

Identificazione dei ruoli

Quanto agli enti attivano il canale interno di segnalazione, i trattamenti di dati personali relativi al ricevimento e alla gestione delle segnalazioni avvengono a cura dell’ente in qualità di titolari del trattamento. È, pertanto, sull’ente interessato che, in via generale, ricade la responsabilità di tali trattamenti e, in particolare, della loro conformità alla disciplina sulla protezione dei dati personali.

Nel caso in cui si verifichi una condivisione di risorse per il ricevimento e la gestione delle segnalazioni gli enti interessati tratteranno i dati in qualità di contitolari del trattamento e pertanto è opportuno normare il rapporto tra gli stessi in base ad uno specifico atto giuridico.

Infine, nell’ipotesi in cui la gestione del canale di segnalazione sia affidata ad a un soggetto esterno rispetto all’ente (ad es. fornitore della piattaforma di segnalazione), il fornitore agirà in qualità di responsabile del trattamento e pertanto sarà necessaria la sottoscrizione della relativa nomina.

Adempimenti in materia di Protezione dei dati

Specifica Informativa agli interessati nella quale precisare
– Titolare del trattamento
– Finalità del trattamento
– Base giuridica del trattamento
– Soggetti coinvolti (interni ed esterni)
– Tempi di conservazione dei dati
– Valutazione di Impatto (Data Protection Impact Assessment)
– Aggiornamento del Registro dei Trattamenti
– Identificazione dei soggetti autorizzati alla ricezione e gestione delle segnalazioni

Per maggiori informazioni contattateci a privacy@bcoconsulting.it