Dal 15 luglio scorso (2023) sono in vigore le disposizioni del cosiddetto decreto whistleblowing, il D. L.vo 24/2023. Il decreto richiede a diverse tipologie di organizzazioni di definire procedure idonee a consentire alle persone che, nell’ambito della propria attività lavorativa o professionale, rilevano violazioni del diritto dell’Unione e delle disposizioni normative nazionali, di segnalarle, risultando protette e tutelate da ogni forma di ritorsione. In questo adeguamento organizzativo è però necessario tenere conto degli effetti sulla gestione della privacy aziendale.
Organizzazioni interessate dal decreto whistleblowing
Il decreto si applica a tutti i soggetti del settore pubblico e a quelli del settore privato che ricadono in una di queste categorie:
- organizzazioni che hanno impiegato nell’ultimo anno la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo determinato o indeterminato;
- organizzazioni che rientrano nell’ambito di applicazione di specifici atti dell’Unione europea elencati nell’allegato al decreto (parte 1B e 2), a prescindere dalla media di lavoratori subordinati;
- organizzazioni che adottano modelli di organizzazione e gestione ai sensi del D. L.vo 231/01 e ss.mm.ii., a prescindere dalla media di lavoratori subordinati.
Rispetto agli atti dell’Unione europea richiamati al punto 2, la molteplicità di ambiti è ampia e variegata:
- servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo;
- sicurezza e conformità dei prodotti;
- commercializzazione e utilizzo di prodotti sensibili e pericolosi;
- sicurezza dei trasporti (settore stradale e marittimo);
- tutela dell’ambiente (norme su ambiente e clima, sullo sviluppo sostenibile, la gestione dei rifiuti, l’inquinamento marino, atmosferico e acustico, la protezione e gestione delle acque e del suolo, la protezione della natura e della biodiversità);
- sostanze chimiche;
- prodotti biologici;
- radioprotezione e sicurezza nucleare;
- salute, protezione e benessere degli animali;
- salute pubblica, diritti dei pazienti;
- lavorazione, presentazione e vendita dei prodotti del tabacco e dei prodotti correlati;
- protezione dei consumatori;
- tutela della vita privata e dei dati personali e sicurezza delle reti e dei sistemi informativi.
Gli aspetti di rilievo sul fronte della protezione dei dati
Il decreto whistleblowing introduce nuovi trattamenti di dati personali nell’ambito dell’organizzazione, quindi tali trattamenti devono essere correttamente individuati e gestiti.
Un primo passo per la corretta gestione lato privacy è proprio l’aggiornamento del registro dei trattamenti o della DPIA, il che significa anche mettere a fuoco le corrette misure di sicurezza tecniche e organizzative finalizzate a garantire la protezione dei dati personali coinvolti. Per esempio il titolare dovrà preoccuparsi di:
- scegliere modalità di gestione delle segnalazioni ed eventuali piattaforme online che rispettino non solo i requisiti previsti dal decreto whistleblowing ma anche quelli della normativa privacy;
- individuare e formare gli incaricati al trattamento anche in relazione ai nuovi trattamenti previsti dal decreto whistleblowing.
L’adeguamento della gestione privacy richiede inoltre lo sviluppo di idonee informative per l’interessato, prevedendo, ove necessario, l’espressione di un consenso esplicito.
Un recente approfondimento proposto dall’associazione Federprivacy ha sottolineato come i trattamenti dei dati introdotti dal decreto whistleblowing siano fondati in generale sulla base giuridica dell’adempimento di un obbligo legale, con due eccezioni:
- la rivelazione dell’identità del segnalante a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, come nel caso in cui la segnalazione fosse l’elemento fondante del procedimento disciplinare che l’impresa mette in atto nei confronti del soggetto che ha commesso la violazione oggetto della segnalazione;
- la conservazione e documentazione della segnalazione, nel caso in cui venga effettuata attraverso una linea telefonica registrata o un altro sistema di messaggistica vocale registrato, oppure quando, su richiesta della persona segnalante, la segnalazione è effettuata oralmente nel corso di un incontro con il personale addetto.
In questi due casi, è la stessa norma di riferimento (il decreto whistleblowing) a richiedere il consenso espresso dell’interessato (il segnalante) quale condizione di liceità del trattamento.