Con il D.Lgs. n. 24/2023 il nostro ordinamento ha recepito la Direttiva UE 2019/1937 “riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali“.
Tale disciplina, invero, non rappresenta una novità assoluta per il nostro ordinamento che già prevede una particolare forma di tutela per i soggetti che nel settore pubblico (art. 54- bis D.lgs.165/2001) o nel settore privato (L. 179/2017) intendano segnalare illeciti di cui siano venuti a conoscenza nell’ambito della propria attività lavorativa; piuttosto l’obiettivo della Direttiva è quello di uniformare la disciplina nell’ambito dell’Unione Europea ed eliminare le divergenze tra settore pubblico e privato.
Le disposizioni del Decreto avranno efficacia a decorrere dal 15 luglio 2023 ad eccezione degli enti del settore privato che nell’ultimo anno abbiano impiegato una media di lavoratori subordinati fino a 249, per i quali l’obbligo di adeguarsi alla nuova normativa avrà effetto a far data dal 17 dicembre 2023.
Aspetti privacy e adempimenti per gli Enti
Considerato l’oggetto della normativa in esame e quindi la tutela e la protezione dei soggetti segnalanti, la riservatezza degli stessi e la protezione dei dati personali trattati nell’ambito della segnalazione non poteva che costituire un aspetto fondamentale.
L’art. 12 del Decreto prevede infatti un rafforzamento della tutela del soggetto segnalante nella parte in cui sancisce che l’identità della persona segnalante, salvo il suo espresso consenso, non può essere rivelata a persone diverse da quelle competenti a ricevere e a dare seguito alla segnalazione sino alla conclusione degli eventuali procedimenti che ne siano derivati.
Il Decreto fornisce, altresì, alcune importanti precisazioni in merito agli adempimenti in materia privacy a cui devono adeguarsi tutti i soggetti pubblici e privati che saranno tenuti ad adottare un sistema di gestione delle segnalazioni.
In particolare, l’art. 13 del Decreto prevede che tutti i trattamenti di dati personali conseguenti alla segnalazione di illeciti sono soggetti alla normativa in materia di protezione dei dati personali. L’ente che ha adempiuto ai nuovi obblighi in materia di whistleblowing tratterà i dati in qualità di titolare del trattamento e pertanto, nel rispetto del principio di accountability, spetterà all’ente stesso la valutazione dei trattamenti effettuati e delle modalità per garantire il rispetto della normativa in materia di Data Protection.
In considerazione della sua qualità di titolare del trattamento, l’ente, nell’elaborazione del proprio modello organizzativo dedicato alla corretta gestione delle segnalazioni, dovrà provvedere ad una serie di adempimenti in materia di protezione dei dati personali che di fatto corrispondono a quelli genericamente previsti dal GDPR ovvero:
- dare una corretta informazione alle persone segnalanti e alle persone coinvolte ai sensi degli artt. 13 e 14 GDPR unitamente ai diritti degli interessati di cui agli artt. 15- 22 GDPR che potranno essere esercitati nei limiti di quanto previsto dall’art. 2 – undecies Codice Privacy;
- provvedere a designare gli autorizzati al trattamento ai sensi dell’art. 29 GDPR nonché a nominare responsabili esterni del trattamento ai sensi dell’art. 28 GDPR i fornitori della piattaforma dove confluiscono le segnalazioni;
- in caso di condivisione delle risorse per il ricevimento e la gestione delle segnalazioni tra soggetti del settore pubblico e del settore privato, i medesimi opereranno in qualità di contitolari del trattamento, con conseguente necessità di predisporre un accordo di contitolarità per la ripartizione delle rispettive responsabilità ai sensi dell’art. 26 GDPR.
Nel Decreto sono richiamati, altresì, il principio di minimizzazione dei dati e di privacy by default nella parte in cui è previsto che i dati personali non utili al trattamento di una specifica segnalazione non devono essere raccolti e se raccolti devono essere immediatamente cancellati e il principio di limitazione della conservazione (art. 14), in merito al quale il Decreto prevede un limite massimo della data retention ovvero che la segnalazione e la relativa documentazione siano conservate per il tempo strettamente necessario al trattamento della segnalazione e comunque non oltre 5 anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.
Obbligo di DPIA
L’aspetto più rilevante introdotto dal Decreto in merito agli adempimenti in materia privacy a cui gli enti devono conformarsi è la previsione dell’obbligatorietà per gli stessi di eseguire una DPIA (Data Protection Impact Assesment) disciplinata dall’art. 35 GDPR ovvero un processo che il titolare del trattamento deve effettuare, in via preventiva, ogni volta che il trattamento di dati personali – in particolare connesso all’impiego di nuove tecnologie, considerata la natura, l’oggetto, il contesto e la finalità del trattamento – possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche a cui i dati personali si riferiscono.
Occorre precisare che nella Direttiva UE non c’è alcun riferimento a tale obbligo; pertanto è proprio il Legislatore Italiano a prescrivere questo ulteriore adempimento per i titolari del trattamento soggetti alla normativa italiana.
Il titolare del trattamento, quindi, nel rispetto del principio di accountability e del principio di privacy by design, nell’elaborazione e nella gestione del modello dedicato alle segnalazioni, dovrà effettuare un’analisi e verificare i rischi a cui potenzialmente possono essere esposti i dati personali trattati e sulla base di questi adottare tutte le misure tecniche ed organizzative necessarie a garantire la riservatezza e la sicurezza dei dati trattati nell’ambito delle segnalazioni raccolte.
Da ciò deriva per l’ente che adotta un sistema di gestione delle segnalazioni l’accortezza di rivolgersi a fornitori di piattaforme dedicate alle segnalazioni che siano in grado di fornire garanzie adeguate circa le misure di sicurezza che il titolare deve adottare nonché di fornire supporto a quest’ultimo nell’esecuzione della DPIA, onere a cui il fornitore in qualità di responsabile del trattamento è tenuto ai sensi dell’art. 28 GDPR.
Sanzioni
In caso di violazione degli obblighi previsti in materia di protezione dei dati personali e di mancato adeguamento agli stessi entro il termine previsto dal Decreto, agli enti potranno essere applicate le sanzioni amministrative pecuniarie previste dall’art. 83 GDPR.
Contributo a cura dell’avv. Luisa Chianese
