Il Garante Privacy ha fornito parere positivo al recepimento della cd “Direttiva whistleblowing”, sulla protezione delle persone che segnalano illeciti di cui siano venuti a conoscenza nell’ambito delle proprie attività lavorative. Vediamo alcuni punti focali.
La figura del whistleblower, traducibile come “soffiatore di fischietto” – o in termini meno giuridici, ma atti alla comprensione, “colui che fa la spia”, di derivazione anglosassone non è nuova al panorama legislativo italiano. Il whistleblower, infatti, è già contemplato e tutelato giuridicamente: per il settore pubblico, infatti si fa riferimento al d.lgs. 20 marzo 2001, n.165, mentre per il settore privato si fa riferimento alle aziende che hanno adottato il Modello Organizzativo 231 (d.lgs. 231/2001), nonché alla L.30 novembre 2017, n.179.
Lo scopo della maggiorata e armonizzata tutela che vuole introdurre la cd. “Direttiva whistleblowing” è evitare che il lavoratore che segnali o divulghi informazioni sulle violazioni acquisite nell’ambito delle proprie attività professionali, subisca ritorsioni. Infatti, il segnalante non potrà essere “demansionato, licenziato, trasferito, o sottoposto ad altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro determinata dalla segnalazione”.
Vi è infatti l’imprescindibile necessità di garantire la massima riservatezza del segnalante (cd. “whistleblower”), come già sottolineato e ribadito dall’Autorità Garante per la Protezione dei Dati Personali con l’Ordinanza ingiunzione del 7 aprile 2022 [doc. web n. 9768363].
Il Garante Privacy, con il provvedimento n.1 dell’11 gennaio 2023 ha espresso parere positivo sullo schema di decreto di attuazione della Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative.
Il punto focale è appunto la tutela e la riservatezza del whistleblower, la quale si attua anche garantendo una corretta configurazione privacy dei sistemi prescelti per la gestione delle violazioni.
Alla luce dell’ampliamento della platea dei soggetti protetti (non solo dipendenti, ma anche ad esempio volontari, consulenti, liberi professionisti, candidati) dell’obbligo di fornire canali di ricezione sicuri per l’effettuazione delle segnalazioni a un panorama molto più vasto di aziende pubbliche e private (si parla di aziende con più di 50 dipendenti).
Al fine di valutare che tali canali siano effettivamente sicuri e che siano conformi a quanto prescritto dalla normativa privacy, vi è l’obbligo di procedere alla cd. “DPIA” – “Data Protection Impact Assessment”, o “Valutazione di impatto”: tale strumento, regolato dall’art. 35 del Regolamento (UE) 2016/679, è volto a valutare la necessità e la proporzionalità di un trattamento di dati personali, i relativi rischi e le misure di sicurezza tecniche e organizzative implementate per attenuare i rischi individuati.
Vi sono indicazioni dal Garante Privacy anche per quanto riguarda i termini di conservazione delle segnalazioni e della relativa documentazione: la conservazione dei dati, generalmente punto dolente di tanti Titolari del trattamento in quanto questa non trova indicazioni specifiche, ma si ispira al principio della finalità del trattamento, trova quindi per quanto riguarda il whistleblowing un’indicazione più precisa. Le segnalazioni possono infatti essere conservate “per il tempo necessario alla loro definizione e, comunque, per non più di cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione”, ispirandosi dunque alla durata media del termine di prescrizione dei principali illeciti. Dunque, un’estensione della platea delle aziende obbligate a predisporre un canale sicuro di segnalazione, previa valutazione dell’adeguatezza e della sicurezza che lo stesso garantisce, a tutela del Whistleblower.
Conosci il nostro canale “ReBlowing”? Vieni a scoprirlo!
ReNorm ha predisposto una piattaforma digitale volta alla gestione della segnalazione, denominata Reblowing (https://renorm.it/reblowing/) configurata secondo i principi privacy, per assicurare al segnalante la riservatezza indicata dalla Direttiva. Dubbi? Siamo qui per aiutarti!
Hai bisogno di aiuto? Noi saremo lieti di aiutarTi a trovare la soluzione per la Tua realtà.
Contattaci