![Decreto Whistleblowing e trattamento dati personali E' stata introdotta in Italia la disciplina relativa alla protezione dei c.d. “whistleblower”.](admin/store/upload/17285.avif)
Decreto Whistleblowing e trattamento dati personali
- 15/01/2024
E' stata introdotta in Italia la disciplina relativa alla protezione dei c.d. “whistleblower”.
Il decreto legislativo 10 marzo 2023 n. 24 ha dato attuazione alla direttiva (UE) 2019/1937 in materia di persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Quindi è stata introdotta in Italia la disciplina relativa alla protezione dei c.d. “whistleblower”. Il termine previsto è scaduto il 17 dicembre 2023 per i soggetti che abbiano impiegato nell’ultimo anno la media di almeno 50 unità, o che rientrino in ambiti di attività definite “rilevanti” o che abbiano adottato i modelli di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/2001 in tema di responsabilità amministrativa da reato.
Ma la redazione delle procedure interne per la corretta gestione delle segnalazioni, l’attivazione di una piattaforma informatica attraverso cui gestire le segnalazioni e la nomina del Responsabile della Gestione delle Segnalazioni comportano l’introduzione in azienda di nuovi trattamenti di dati personali, fino a questo momento non presenti. Infatti all’interno delle segnalazioni degli illeciti o dei comportamenti difformi rispetto al Modello di Organizzazione e Gestione (MOG) e al Codice etico ex D.Lgs. 231/2001, sono necessariamente contenuti dati personali riferiti ad una pluralità di interessati: il segnalante in primo luogo (salvo il caso di segnalazione anonima, ove consentita), il segnalato ed eventuali terzi persona fisica coinvolti a vario titolo all’interno della segnalazione.
La segnalazione avrà quindi al suo interno necessariamente dati personali comuni riferiti alle persone fisiche coinvolte, ma anche potenzialmente dati particolari ex art. 9 del GDPR (come ad esempio dati sanitari) ed anche potenzialmente dati relativi a condanne penali o reati di cui all’art. 10 del GDPR. Alla luce di questo il titolare del trattamento, in seguito all’adozione degli adempimenti whistleblowing, dovrà provvedere all’aggiornamento della propria compliance privacy per evitare di essere soggetto a sanzione.
Gli adempimenti che dovrà adottare sono in primo luogo la redazione di un’informativa sul trattamento dati whistleblowing da caricare sulla piattaforma informatica di gestione delle segnalazioni e da pubblicare sul sito Internet aziendale a beneficio di tutti i terzi. Poi dovrà procedere alla redazione di una Valutazione di Impatto (DPIA) specifica sul trattamento dati whistleblowing, oltre a provvedere a nominare come soggetto autorizzato il Responsabile della Gestione delle Segnalazioni. Da ultimo dovrà nominare il fornitore della piattaforma informatica come responsabile del trattamento ai sensi dell’art. 28 del GDPR con apposito accordo e infine provvedere all’aggiornamento il registro delle attività di trattamento con i dettagli del nuovo trattamento dati, oltre ad indicare le specifiche misure di sicurezza applicate.