Categorie
Privacy 231 ODV

Whistleblowing e Valutazione d’Impatto (DPIA) – Modelli Organizzativi ex D.Lgs 231/2001 e Privacy

In data 15 marzo 2023 è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo 24/2023 (Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali).

Tale normativa allarga il perimetro di applicazione della disciplina in materia di whistleblowing (in precedenza limitato alle sole imprese dotate di modello organizzativo, ai sensi del D.lgs. 231/2001) ed introduce le c.d. “segnalazioni esterne”. L’ANAC, Autorità Nazionale Anticorruzione, diventa l’unico soggetto competente a valutare tali segnalazioni e l’eventuale applicazione delle sanzioni amministrative, sia per quanto riguarda il settore pubblico che per il settore privato.

Tra le varie previsioni introdotte da tale normativa, in tema di tutela dei dati personali (Privacy), è stato previsto l’obbligo, a carico dei soggetti che devono predisporre canali di segnalazioni interni a disposizione dei whistleblower, di dar corso ad una valutazione d’impatto ai sensi dell’art. 35 del Regolamento 2016/679 (GDPR).

Tra i soggetti obbligati ad applicare tale Decreto Legislativo figurano, tra gli altri, le imprese private:

  • che hanno impiegato, nell’ultimo anno, la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • che rientrano nell’ambito di applicazione degli atti dell’Unione Europea, soprattutto in materia di protezione del risparmio, anche se nell’ultimo anno non hanno raggiunto questa media di lavoratori subordinati;
  • che hanno adottato Modelli di organizzazione ai sensi del D.Lgs. n. 231/2001 e che hanno nominato un Organismo di Vigilanza (O.d.V.);

A questi si aggiungono i soggetti del settore pubblico ed altri soggetti previsti all’articolo 1 del D.Lgs. 24/2023.

Le disposizioni del Decreto Legislativo n.24/2023 avranno effetto:

  • a decorrere dal 15 luglio 2023 per tutti i soggetti, con la seguente eccezione di seguito riportata;
  • a decorrere dal 17 dicembre 2023 (obbligo di istituzione del canale di segnalazione interna) per i soggetti del settore privato che abbiano impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a 249.

Si allega alla presente uno schema riepilogativo dei principali adempimenti.

DOCUMENTI DI SENTESI DEI PRINCIPALI ADEMPIMENTI EX D.LVO 24/2023

Adempimenti principali:

  • individuare e valutare idonee soluzioni organizzative mediante la definizione della governance del processo di gestione delle segnalazioni,
  • affidare la gestione del canale di segnalazione a una persona o a un ufficio interno autonomo con personale formato per la gestione del canale di segnalazione, ovvero ad un soggetto esterno, anch’esso autonomo e con personale adeguatamente formato;
  • garantire al whistleblower la trasparenza del processo;
  •  svolgere corsi di formazione periodica in materia di whistleblowing;
  • definire le modalità operative in cui si articola il processo di gestione delle segnalazioni;
  • regolamentare il processo di analisi e gestione delle segnalazioni ricevute;
  • implementare un canale interno per la gestione delle segnalazioni e stabilire idonee modalità di tutela del segnalante, quali misure tecniche che garantiscano la riservatezza della identità del whistleblower, delle persone coinvolte, nonché del contenuto della segnalazione (ad. es. con sistemi di pseudonimizzazione);
  • implementare procedure e policy ad hoc che permettano la gestione anche delle segnalazioni pervenute mediante canali diversi da quello informatizzato (es. incontri in presenza, a mezzo del telefono);
  • aggiornare il registro dei trattamenti procedendo con l’analisi e l’individuazione delle misure previste dal GDPR (Privacy);
  • effettuare la Valutazione d’Impatto (DPIA) ex art. 35 del GDPR;
  • prevedere nelle elaborande procedure che venga dato riscontro alla segnalazione entro il termine di tre mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione;
  • fornire contestualmente a tutti gli interessati la informativa ex art. 13 GDPR in materia di protezione dei dati personali.

Adempimenti principali in materia di trasparenza:

  • condividere informazioni chiare ed accessibili in merito alle procedure, al canale individuato e ai presupposti per procedere con la segnalazione interna;
  • condividere informazioni chiare ed accessibili in merito alle procedure e ai presupposti per effettuare segnalazioni esterne;
  • assicurarsi che dette informazioni siano rese facilmente visibili nei luoghi di lavoro, nonché accessibili anche ai soggetti legali all’azienda che però non frequentano abitualmente il luogo di lavoro;
  • garantire che dette informazioni vengano pubblicate nel sito web dell’azienda nel caso in cui la stessa ne possieda uno;
  •  comunicare al segnalante la presa in carico della segnalazione, mediante “avviso di ricevimento” da rilasciare entro sette giorni dalla ricezione;

Sanzioni previste:

  •  fermi restando gli altri profili di responsabilità, l’ANAC può comminare sanzioni amministrative pecuniarie fino a euro 50.000, nei seguenti cari:
  • non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute,
  • non sono stati istituiti canali di segnalazione,
  • non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni,
  • l’adozione di tali procedure non è conforme a quelle previste dal decreto,
  • la segnalazione è stata ostacolata o vi è stato un tentativo in tal senso;
  • è stato violato l’obbligo di riservatezza.
  • sono state commesse ritorsioni.