tutela dell’identità

Whistleblowing e tutela dei dati personali: come rendere gli strumenti dell’azienda conformi alle norme

Home Sicurezza digitale Privacy
Indirizzo copiato

Tutti gli operatori che già dispongono di uno strumento per l’acquisizione e la gestione delle segnalazioni di condotte illecite e coloro che sono tenuti ad adottarlo, devono rendere i propri strumenti conformi agli standard: una check list per la verifica degli standard minimi dei processi e dei tool

Pubblicato il 19 giu 2023
Giovanna Boschetti

Counsel – Studio CBA

whistleblowing_ hacker

Il D.Lgs. 24/2023, che recepisce la Direttiva Whistleblowing, ha introdotto rilevanti novità estendo l’ambito di applicazione ai soggetti privati che hanno impiegato, nell’ultimo anno, una media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato, o che, a prescindere dal requisito numerico, operano in mercati regolamentati: sicurezza, trasporti, tutela del risparmio, ambiente.

Whistleblowing: cosa cambia per le aziende, i nodi della nuova legge

La “segnalazione” può avvenire, ai sensi di legge, in forma scritta od orale: oggetto delle segnalazioni sono violazioni del diritto dell’Unione e del diritto interno intese come “informazioni, compresi i fondati sospetti, riguardanti violazioni commesse o che, sulla base di elementi concreti, potrebbero essere commesse nell’organizzazione con cui la persona segnalante o colui che sporge denuncia […] intrattiene un rapporto giuridico […]”.

È, dunque, di fondamentale importanza, per tutti gli operatori che già dispongono di uno strumento per l’acquisizione e la gestione delle segnalazioni di condotte illecite e per coloro che sono tenuti ad adottarlo, rivedere il proprio sistema attuale e implementare punti di azione per rendere i propri strumenti conformi agli standard: di seguito una check list per la verifica degli standard minimi dei processi e dei tool.

Le procedure

Le procedure devono prevedere un riscontro di ricevimento e presa in carico della segnalazione al segnalante entro 7 giorni dal ricevimento della stessa; al segnalante deve essere fornito un follow up entro 90 giorni in relazione all’esito della procedura avviata e deve essere comunicato l’esito finale a chiusura dell’indagine.

In caso di segnalazione orale, deve essere acquisito il consenso del segnalante a documentare la segnalazione in forma scritta da parte del personale addetto.

Le informative agli interessati del trattamento

È necessario dimostrare che le procedure adottate sono state progettate, stabilite e gestite in modo sicuro per garantire che l’identità del segnalante e di qualsiasi altra terza parte menzionata nella segnalazione rimanga riservata.

I titolari del Trattamento devono, quindi revisionare e fornire le informative sul trattamento dei dati personali ai sensi degli articoli 13 e 14 del GDPR considerando la più estesa categoria degli interessati dal trattamento alla luce del testo legislativo che include tra gli Interessati dal Trattamento anche nuove categorie di persone fisiche, quali, ad esempio, i “facilitatori”.

Registro delle attività di trattamento

Il registro della attività di trattamento deve essere aggiornato con l’inserimento dell’attività di whistleblowing quale distinta attività di trattamento condotta dal titolare con le relative specifiche ai sensi di legge.

Misure di sicurezza

Alle procedure e ai sistemi informatici devono essere applicate misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio: tra queste non deve essere trascurata la formazione del personale preposto alla gestione delle segnalazioni.

I fornitori di sistemi informatici devono rilasciare specifiche garanzie sulle misure di sicurezza; deve, inoltre, essere garantita l’idoneità dei sistemi di gestione delle credenziali di autenticazione per gli applicativi mediante autenticazione a multi-fattore; il tracciamento dei log deve essere limitato.

Tempo di conservazione

Il tempo di conservazione della documentazione per trattamento di “whistleblowing” deve essere individuato nel tempo necessario alla definizione della segnalazione e, comunque, in un tempo massimo di cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, successivamente al quale deve avvenire la cancellazione.

Nomine degli autorizzati al trattamento

La direttiva Whistleblowing richiede espressamente che ogni segnalazione venga indagata dalla “persona o dipartimento più appropriato” al fine di garantire l’indipendenza e l’assenza di conflitto di interessi.

Devono, quindi, essere correttamente individuati i soggetti coinvolti nel Trattamento in base al ruolo mediante specifiche nomine ad autorizzati al trattamento che prevedano, tra l’altro, il divieto di raccolta dei dati eccedenti e l’obbligo di cancellazione immediata di dati accidentalmente acquisiti.

Adeguati profili di autorizzazione informatica devono essere contemplati ai fini del divieto di accesso non autorizzato da parte dei membri del personale che non hanno ricevuto la nomina quali autorizzati al trattamento.

Nomina dei responsabili (e sub-responsabili) del trattamento

Il rapporto con eventuali fornitori esterni che trattano dati personali per conto dei titolari del trattamento, inclusi fornitori di piattaforme informatiche, deve essere puntualmente disciplinato e formalizzato.

Valutazione d’impatto

È obbligatorio sottoporre il sistema informatico di gestione di segnalazione a valutazione d’impatto sulla protezione dei dati personali ai sensi dell’art. 35 del GDPR, aggiornando l’analisi del rischio.

Accordo di Contitolarità

Nel caso in cui le risorse per il ricevimento e la gestione delle segnalazioni siano condivise da più soggetti, siano essi pubblici o privati, è obbligatorio formalizzare un accordo di contitolarità del trattamento, da rendere accessibile agli Interessati dal trattamento, che definisca le rispettive responsabilità in merito all’osservanza degli obblighi in materia di protezione dei dati personali.

In passato, l’Autorità Garante per la Protezione dei Dati Personali si è in più occasioni pronunciata in merito ai sistemi implementati per l’adempimento degli obblighi previsti dalla Direttiva Whistleblowing, rilevandone la non conformità ed in non corretto inquadramento all’interno del Modello GDPR obbligatorio per tutti i titolari di trattamenti di dati personali.

Nel corso delle attività ispettive svolte dall’Autorità Garante per la Protezione dei Dati Personali, le principali non conformità rilevate sono state inerenti aspetti formali (nomine e garanzie contrattuali nel rispetto della vigente normativa) e sostanziali (sicurezza del sistema, sistema di autenticazione) ed hanno portato all’applicazione di sanzioni non irrilevanti nei confronti dei soggetti sottoposti ad accertamento.

Per tali ragioni l’Autorità Garante per la Protezione dei Dati Personali è stata chiamata a pronunciarsi in merito allo schema di decreto legislativo di trasposizione della Direttiva in oggetto ed ha formulato, nel parere positivo reso in data 11 gennaio 2023, specifiche raccomandazioni agli operatori di settore ora inserite nel dettato normativo.

Conclusioni

Il corretto trattamento dei dati personali nel sistema legislativo previsto dalla Direttiva Whistleblowing e dal D.Lgs. 24/2023 di recepimento costituisce il necessario presidio alla tutela dell’identità e al contrasto alle misure discriminatorie che la legge impone.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Copiato negli appunti

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • Economia Digitale

    I costi del cloud lievitano con l'AI: aziende e Governi in cerca di una via d'uscita

    18 Gen 2024

    di Paolino Madotto

    Condividi

  • sicurezza informatica

    Proteggersi dal cybercrime col Graph Database: ecco come fare

    15 Dic 2023

    di Peipei Cao e Yuri Simione

    Condividi

  • Intelligenza artificiale

    Le opportunità dell'IA per i brand: ecco come sfruttare il cambiamento

    26 Feb 2024

    di Beatrice Agostinacchio

    Condividi

Prossimo

I costi del cloud lievitano con l'AI: aziende e Governi in cerca di una via d'uscita

Articolo 1 di 4