Il D.Lgs. 24/2023, che ha recepito la Direttiva UE 2019/1937, ha introdotto una nuova disciplina per la segnalazione di illeciti.
Questa disciplina si applica a soggetti, sia pubblici che privati, che hanno almeno 250 dipendenti (dal 15 luglio 2023) e, a partire dal 17 dicembre 2023, si esternderà a soggetti con almeno 50 dipendenti.

Cosa prevede la normativa.

La normativa prevede che le aziende pongano in atto una serie di misure per garantire la segnalazione di illeciti, tra cui:
- canali di segnalazione, le aziende devono prevedere canali di segnalazione adeguati e accessibili, che garantiscano la riservatezza dell'identità del segnalante.
- procedura di gestione delle segnalazioni, le aziende devono prevedere una procedura di gestione delle segnalazioni efficiente e trasparente.
- formazione del personale, le aziende devono formare il personale sulle procedure di segnalazione di illeciti.

In particolare, la normativa prevede che i dati personali raccolti nell'ambito della segnalazione di illeciti siano trattati in conformità con i principi di:
liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.

Cosa fare per essere conformi.

Per garantire la conformità alla normativa, le aziende che implementano un sistema di segnalazione di illeciti devono valutare se e come svolgere le seguenti attività:

• valutazione d'impatto sulla protezione dei dati (DPIA), per valutare i rischi per i diritti e le libertà dei segnalanti derivanti dall’implementazione di nuove tecnologie nonché dal trattamento dei dati personali nell'ambito della segnalazione di illeciti;
• informativa ai segnalanti, per informare i segnalanti sui dati personali che saranno raccolti e trattati, sulle finalità del trattamento, sui diritti dei segnalanti e sulle misure di sicurezza adottate per proteggere i loro dati personali;
• consenso dei segnalanti, per il trattamento dei loro dati personali nell'ambito della segnalazione di illeciti, salvo che il trattamento sia necessario per soddisfare un obbligo legale;
• privacy by design e privacy by default, per istruire i processi di trattamento e valutare se conformi alla norma nonché per valutare i software utilizzati per registrare e gestire le segnalazioni.

Misure di sicurezza.

Le aziende devono adottare misure di sicurezza appropriate per proteggere i dati personali dei segnalanti da accessi non autorizzati, alterazioni, divulgazioni o distruzioni accidentali o illecite.

Maggiori dettagli sulla DPIA

La DPIA deve essere - se del caso - effettuata dall'azienda prima di implementare il sistema di segnalazione di illeciti.
La DPIA deve identificare e valutare i rischi per i diritti e le libertà dei segnalanti derivanti dal trattamento dei dati personali nell'ambito della segnalazione di illeciti.

I rischi che devono essere valutati includono:

• il rischio di violazione dell'identità del segnalante.
• il rischio di discriminazione o ritorsioni nei confronti del segnalante.
• il rischio di abuso del sistema di segnalazione di illeciti.

La DPIA deve includere le seguenti informazioni:

• una descrizione del sistema di segnalazione di illeciti.
• una valutazione dei rischi per i diritti e le libertà dei segnalanti.
• le misure di mitigazione dei rischi.

Per maggiori informazioni sull'istituto del Whistleblowing consultare il proprio consulente privacy / Dpo per rendere conforme l'attività al d.lgs. 24/2023 nonché alle prescrizioni del Gdpr.