Il 15 marzo scorso è stato pubblicato il D.Lgs. n. 24/2023, che recepisce nel nostro ordinamento la Direttiva UE n. 1937/2019. Il Decreto introduce importanti novità in materia di “Whistleblowing”, allargando la portata oggettiva (illeciti e violazioni che possono essere oggetto di segnalazioni) e soggettiva (i c.d. whistleblowers, ovvero i soggetti legittimati a fare la segnalazione) della normativa.

Inoltre, la nuova normativa prevede una lunga serie di tutele per il whistleblower, tra cui particolare rilevanza assume la tutela della riservatezza.

Le novità introdotte dal D.Lgs. n. 24/2023.

Il Decreto, estende il numero di soggetti che possono effettuare una segnalazione, ricomprendendo al suo interno dipendenti pubblici, lavoratori subordinati del settore privato, lavoratori autonomi, collaboratori, liberi professionisti e consulenti, volontari e tirocinanti (anche non retribuiti), azionisti e persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.

In più, le segnalazione delle eventuali violazioni di cui i soggetti sono venuti a conoscenza possono essere effettuate sia quando il rapporto giuridico che li lega all’organizzazione lavorativa è ancora in corso, sia quando lo stesso è cessato o non è ancora iniziato (ad es. durante il periodo di prova).

I canali attraverso cui le segnalazioni possono essere effettuate previsti dalla riforma sono diversi. A tal proposito, il legislatore ha scelto di favorire l’utilizzo del canale interno e, solo al ricorrere di alcune condizioni, utilizzare la segnalazione esterna.

La tutela della riservatezza

Il Decreto prevede specifici riferimenti alla tutela della privacy del segnalante.

In particolare, l’Art. 12 dello stesso stabilisce un generale obbligo di riservatezza in capo al gestore della segnalazione circa l’identità del segnalante e qualsiasi informazione da cui la stessa possa evincersi: questi dati, infatti, non possono essere rilevati senza il consenso del whistleblower.

In caso di procedimento disciplinare, infatti, sulla rivelazione dell’identità del segnalante, qualora questa sia indispensabile per la difesa del soggetto segnalato, si richiede il consenso espresso del primo alla diffusione della propria identità, in mancanza del quale il procedimento stesso si arresta.

Inoltre, in materia di trattamento di dati personali, i punti di contatto tra il Decreto e il GDPR sono diversi.

Innanzitutto, la base giuridica che legittima questo trattamento è l’art. 6, paragrafo 1, lett. c) del Regolamento, essendo il trattamento necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento.

Ciò comporta che non è necessario chiedere il consenso del segnalante, al di fuori delle specifiche situazioni di trattamento individuate dal decreto.

Particolare rilevanza assumono gli aspetti relativi alle misure di sicurezza, indicate dall’art. 13 del Decreto. Innanzitutto, si rende obbligatorio effettuare una valutazione di impatto sulla protezione dei dati (DPIA, acronimo di Data Protection Impact Assessment). Inoltre, lo stesso Decreto fa specifico riferimento alla crittografia come strumento utile a garantire un buon livello di tutela della riservatezza dei dati.

Il comma 2 dell’art. 13 precisa, altresì, che i dati non utili alla segnalazione devono essere immediatamente cancellati richiamando i principi di cui all’art. 5 del GDPR, in particolare quello di minimizzazione del trattamento.

In aggiunta, il Decreto stesso richiede che venga fornita ai soggetti interessati la relativa informativa sul trattamento dei dati personali.

Con riferimento al periodo di conservazione dei dati personali contenuti all’interno della segnalazione, l’art. 14 poi prevede una retention di 5 anni a decorrere dalla data di comunicazione dell’esito finale della procedura di segnalazione.

Inoltre, in linea con i principi base del GDPR, è indispensabile definire i ruoli di tutti i soggetti coinvolti, individuando il titolare del trattamento (colui che attiva il canale di segnalazione), gli eventuali responsabili da nominare ex art. 28 GDPR e gli autorizzati (coloro che gestiscono la segnalazione) e, nel caso in cui si ricorra ad un canale condiviso, è richiesto di valutare e gestire la contitolarità. All’interno dell’organizzazione, i soggetti che dovranno gestire la segnalazione (ad esempio il RPCT o suoi collaboratori) dovranno essere nominati per iscritto con autorizzazione recante le istruzioni sulle misure da attuare.

Conclusioni

Occorre, in conclusione, ricordare che le prescrizioni previste dalla normativa sono obbligatorie per tutti i soggetti destinatari della stessa a decorrere dal 15 luglio. L’art. 24 comma 2, invece, posticipa gli obblighi di segnalazione al 17 dicembre 2023 per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a 249 dipendenti.

Come chiarito, la tutela della riservatezza è, dunque, vista come elemento imprescindibile per una corretta gestione della segnalazione. Per tale motivo, è assolutamente opportuno che i titolari del trattamento prevedano, nei canali di segnalazioni interni, misure tecniche ed organizzative in grado di minimizzare al massimo i dati raccolti.

Ancora una volta, i titolati del trattamento sono chiamati a mettere in campo non solo le misure minime prescritte dalla legge, ma, nell’ottica della tanto apprezzata accountability, anche quelle ulteriori a rendere effettiva la tutela della privacy di tutti i soggetti coinvolti.

E’, infatti. il titolare del trattamento che deve valutare la soluzione informatica scelta come canale di segnalazione interno, al fine di verificare la corrispondenza della sua configurazione rispetto ai requisiti previsti dal decreto.

Foto di cottonbro studio da Pexels: https://www.pexels.com/it-it/foto/blu-giacca-fischio-cordoncino-7207362/