tutela dell’identità

Whistleblowing e tutela dei dati personali: come rendere gli strumenti dell’azienda conformi alle norme



Indirizzo copiato

Tutti gli operatori che già dispongono di uno strumento per l’acquisizione e la gestione delle segnalazioni di condotte illecite e coloro che sono tenuti ad adottarlo, devono rendere i propri strumenti conformi agli standard: una check list per la verifica degli standard minimi dei processi e dei tool

Pubblicato il 19 giu 2023

Giovanna Boschetti

Counsel – Studio CBA



whistleblowing_ hacker

Il D.Lgs. 24/2023, che recepisce la Direttiva Whistleblowing, ha introdotto rilevanti novità estendo l’ambito di applicazione ai soggetti privati che hanno impiegato, nell’ultimo anno, una media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato, o che, a prescindere dal requisito numerico, operano in mercati regolamentati: sicurezza, trasporti, tutela del risparmio, ambiente.

La “segnalazione” può avvenire, ai sensi di legge, in forma scritta od orale: oggetto delle segnalazioni sono violazioni del diritto dell’Unione e del diritto interno intese come “informazioni, compresi i fondati sospetti, riguardanti violazioni commesse o che, sulla base di elementi concreti, potrebbero essere commesse nell’organizzazione con cui la persona segnalante o colui che sporge denuncia […] intrattiene un rapporto giuridico […]”.

È, dunque, di fondamentale importanza, per tutti gli operatori che già dispongono di uno strumento per l’acquisizione e la gestione delle segnalazioni di condotte illecite e per coloro che sono tenuti ad adottarlo, rivedere il proprio sistema attuale e implementare punti di azione per rendere i propri strumenti conformi agli standard: di seguito una check list per la verifica degli standard minimi dei processi e dei tool.

Le procedure

Le procedure devono prevedere un riscontro di ricevimento e presa in carico della segnalazione al segnalante entro 7 giorni dal ricevimento della stessa; al segnalante deve essere fornito un follow up entro 90 giorni in relazione all’esito della procedura avviata e deve essere comunicato l’esito finale a chiusura dell’indagine.

In caso di segnalazione orale, deve essere acquisito il consenso del segnalante a documentare la segnalazione in forma scritta da parte del personale addetto.

Le informative agli interessati del trattamento

È necessario dimostrare che le procedure adottate sono state progettate, stabilite e gestite in modo sicuro per garantire che l’identità del segnalante e di qualsiasi altra terza parte menzionata nella segnalazione rimanga riservata.

I titolari del Trattamento devono, quindi revisionare e fornire le informative sul trattamento dei dati personali ai sensi degli articoli 13 e 14 del GDPR considerando la più estesa categoria degli interessati dal trattamento alla luce del testo legislativo che include tra gli Interessati dal Trattamento anche nuove categorie di persone fisiche, quali, ad esempio, i “facilitatori”.

Registro delle attività di trattamento

Il registro della attività di trattamento deve essere aggiornato con l’inserimento dell’attività di whistleblowing quale distinta attività di trattamento condotta dal titolare con le relative specifiche ai sensi di legge.

Misure di sicurezza

Alle procedure e ai sistemi informatici devono essere applicate misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio: tra queste non deve essere trascurata la formazione del personale preposto alla gestione delle segnalazioni.

I fornitori di sistemi informatici devono rilasciare specifiche garanzie sulle misure di sicurezza; deve, inoltre, essere garantita l’idoneità dei sistemi di gestione delle credenziali di autenticazione per gli applicativi mediante autenticazione a multi-fattore; il tracciamento dei log deve essere limitato.

Tempo di conservazione

Il tempo di conservazione della documentazione per trattamento di “whistleblowing” deve essere individuato nel tempo necessario alla definizione della segnalazione e, comunque, in un tempo massimo di cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, successivamente al quale deve avvenire la cancellazione.

Nomine degli autorizzati al trattamento

La direttiva Whistleblowing richiede espressamente che ogni segnalazione venga indagata dalla “persona o dipartimento più appropriato” al fine di garantire l’indipendenza e l’assenza di conflitto di interessi.

Devono, quindi, essere correttamente individuati i soggetti coinvolti nel Trattamento in base al ruolo mediante specifiche nomine ad autorizzati al trattamento che prevedano, tra l’altro, il divieto di raccolta dei dati eccedenti e l’obbligo di cancellazione immediata di dati accidentalmente acquisiti.

Adeguati profili di autorizzazione informatica devono essere contemplati ai fini del divieto di accesso non autorizzato da parte dei membri del personale che non hanno ricevuto la nomina quali autorizzati al trattamento.

Nomina dei responsabili (e sub-responsabili) del trattamento

Il rapporto con eventuali fornitori esterni che trattano dati personali per conto dei titolari del trattamento, inclusi fornitori di piattaforme informatiche, deve essere puntualmente disciplinato e formalizzato.

Valutazione d’impatto

È obbligatorio sottoporre il sistema informatico di gestione di segnalazione a valutazione d’impatto sulla protezione dei dati personali ai sensi dell’art. 35 del GDPR, aggiornando l’analisi del rischio.

Accordo di Contitolarità

Nel caso in cui le risorse per il ricevimento e la gestione delle segnalazioni siano condivise da più soggetti, siano essi pubblici o privati, è obbligatorio formalizzare un accordo di contitolarità del trattamento, da rendere accessibile agli Interessati dal trattamento, che definisca le rispettive responsabilità in merito all’osservanza degli obblighi in materia di protezione dei dati personali.

In passato, l’Autorità Garante per la Protezione dei Dati Personali si è in più occasioni pronunciata in merito ai sistemi implementati per l’adempimento degli obblighi previsti dalla Direttiva Whistleblowing, rilevandone la non conformità ed in non corretto inquadramento all’interno del Modello GDPR obbligatorio per tutti i titolari di trattamenti di dati personali.

Nel corso delle attività ispettive svolte dall’Autorità Garante per la Protezione dei Dati Personali, le principali non conformità rilevate sono state inerenti aspetti formali (nomine e garanzie contrattuali nel rispetto della vigente normativa) e sostanziali (sicurezza del sistema, sistema di autenticazione) ed hanno portato all’applicazione di sanzioni non irrilevanti nei confronti dei soggetti sottoposti ad accertamento.

Per tali ragioni l’Autorità Garante per la Protezione dei Dati Personali è stata chiamata a pronunciarsi in merito allo schema di decreto legislativo di trasposizione della Direttiva in oggetto ed ha formulato, nel parere positivo reso in data 11 gennaio 2023, specifiche raccomandazioni agli operatori di settore ora inserite nel dettato normativo.

Conclusioni

Il corretto trattamento dei dati personali nel sistema legislativo previsto dalla Direttiva Whistleblowing e dal D.Lgs. 24/2023 di recepimento costituisce il necessario presidio alla tutela dell’identità e al contrasto alle misure discriminatorie che la legge impone.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3