venerdì 21 luglio 2023

Legal - Whistleblowing e protezione dei dati personali

A cura del team Baker Tilly Italia Legal

Come già riportato, è stato recentemente approvato il D.lgs. 24/2023 (in attuazione della Direttiva UE 2019/1937) riguardante il c.d. Whistleblowing, ossia l’attività di segnalazione delle violazioni di disposizioni normative nazionali o dell’Unione Europea che avvengono all’interno del contesto lavorativo.

Indubbiamente, l’attività di segnalazione comporta trattamenti di dati personali, interessando quindi anche la normativa di riferimento. Ciò comporta che nel procedimento descritto dal D.Lgs. 24/23 ogni trattamento di dati personali debba conformarsi agli obblighi previsti dal Regolamento (UE) 2016/679, (c.d. GDPR) e D.lgs. 196/2003 (c.d. “Codice della Privacy”).

Analizziamo di seguito i punti di contatto tra le due normative.

1. I soggetti coinvolti nel Trattamento dei dati personali

Al fine di fare chiarezza circa i ruoli e le responsabilità dei soggetti coinvolti nel trattamento, può essere utile procedere alla loro individuazione:

  • Il Titolare del trattamento: la figura del Titolare è definita dall’art. 4 del GDPR, che la individua come “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento”.

La nuova disciplina individua espressamente come Titolari gli enti e le società che implementano un sistema di gestione delle segnalazioni. A livello pratico, questo significa che l’ente o la società risponde della correttezza del trattamento dei dati ed è obbligata a porre in essere tutti gli adempimenti richiesti dal GDPR (per i dettagli si veda il punto successivo “gli adempimenti del Titolare”).

  • Gli Interessati: anche questi vengono descritti all’art. 4 del GDPR e sono indicati come le persone fisiche identificate o identificabili a cui si riferiscono di dati personali. Questi possono essere identificati sia nei segnalanti che nei
  • I Soggetti Incaricati al trattamento dei dati personali: tali figure vengono descritte dall’art. 2-quaterdecies del Codice della Privacy e sono descritte come persone fisiche espressamente designate dal Titolare, che operano sotto la sua diretta autorità, a cui lo stesso attribuisce specifici compiti e funzioni.

Nell’organizzazione del Titolare, questi possono essere identificati nel personale interno che si occupa della gestione del canale di segnalazione e/o nelle persone che fanno parte dell’ufficio autonomo interno alla società preposto a tale scopo.  

  • I Responsabili del trattamento: anche questo viene individuato dal legislatore europeo All’art. 4 come “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Qualora esistano tutti i presupposti, il Responsabile può essere individuato nel soggetto esterno, anch’esso autonomo, a cui il Titolare ha affidato la gestione del canale di segnalazione.

Coloro che effettuano il trattamento per conto del titolare, sia che siano meri fornitori o gestori del canale, devono presentare garanzie di compliance alla normativa come prevede l’art. 28 del GDPR. Ai sensi dello stesso, è inoltre necessario che il Titolare provveda alla loro nomina.

  • I Contitolari: sono definiti dal GDPR all’art. 26 come “due o più titolari del trattamento [che] determinano congiuntamente le finalità e i mezzi del trattamento”. È interessante rilevare che, ai sensi dell’art. 4, co. 4, del D.lgs. 24/2023 “[…] i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, non superiore a duecentoquarantanove, possono condividere il canale di segnalazione interna e la relativa gestione”. Da tale previsione è facile evincere come, in questi casi, gli enti privati che rientrano in tale fattispecie si qualificano quali contitolari del trattamento.

2. Gli adempimenti del Titolare

Ma dal punto di vista pratico, cosa deve fare il Titolare del trattamento?

In merito agli aspetti privacy, il Titolare del trattamento dovrà adottare tutti gli adempimenti richiesti dalla Legge per ogni trattamento e dovrà porre in essere le misure tecniche e organizzative adeguate, idonee a garantire la tutela dei diritti e delle libertà degli interessati e un livello di sicurezza consono alla probabilità e alla gravità dei rischi individuati.

L’intera procedura - dalla progettazione, alla finalizzazione del modello di ricevimento e gestione delle segnalazioni interne, alla gestione dei fornitori etc. - dovrà quindi essere compliance. 

Premesso che è necessario tenere conto degli aspetti peculiari che caratterizzano l’organizzazione di ogni Titolare del trattamento (i.e. società/ente/azienda), di seguito proponiamo un elenco esplicativo degli adempimenti necessari che ogni Titolare del trattamento dovrà porre in essere:

  • definire chiaramente i ruoli da attribuire ai soggetti coinvolti nelle procedure e istruire e autorizzare i Soggetti Incaricati;
  • garantire i principi di cui all’art. 5 del GDPR, in particolare il principio di minimizzazione dei dati (i dati trattati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”);
  • adottare adeguate misure di sicurezza dei dati;
  • eseguire una Valutazione di Impatto sulla Protezione dei Dati Personali (c.d. DPIA) prevista all’art 35 del GDPR;
  • informare i soggetti Interessati (tramite ad es. l’informativa privacy ex art. 13 GDPR) e disciplinare il diritto di accesso alle informazioni da parte del soggetto segnalato (sottoposto alle limitazioni di cui. 2-undecies del Codice privacy;
  • disciplinare le modalità del trasferimento dei dati della segnalazione, anche al di fuori dell'UE;
  • aggiornare il Registro delle attività di trattamento;
  • individuare e nominare i Responsabili del trattamento. Si rammenta che i trattamenti effettuati dai Responsabili del trattamento devono essere disciplinati da un contratto o da altro atto giuridico.
  • In caso di Contitolari è necessario determinare in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti GDPR, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni.

In merito alla conservazione della documentazione, questa deve essere conservata per il tempo necessario e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione

3. Tutela dell’identità della persona e della riservatezza del segnalante

Oltre agli adempimenti di cui sopra, si sottolinea altresì che il Titolare del trattamento deve garantire la riservatezza del segnalante.

Non può essere rivelata l’identità del segnalante né qualsiasi altra informazione da cui questa possa evincersi, senza il suo consenso espresso. Gli unici soggetti autorizzati alla conoscenza di tale informazione sono i Soggetti Incaricati che si occupano di gestire il canale di segnalazione, espressamente autorizzate dal Titolare a trattare i dati.

 

Whistleblowing Data Protection Privacy Legal

Questo sito utilizza cookies

Noi e terze parti usiamo cookie o tecnologie simili per funzionalità tecniche e, con il tuo consenso, anche per altre finalità descritte nella Cookie Policy quali raccogliere ed elaborare dati personali dai dispositivi, analizzare le nostre audience e migliorare i nostri prodotti e servizi.

Cliccando sul pulsante "Accetta" acconsenti all'uso di tali tecnologie per tutte le finalità indicate. 

Accetta