whistleblowing compliance normativa

Whistleblowing: ci siamo! Ecco alcune regole di compliance normativa e privacy da rispettare

25 January 2023

di Marco CASSARO e Cristina VITALE

Introduzione

Se è vero che “Anno nuovo vita nuova” è altrettanto vero che dopo un anno ad attendere con ansia il recepimento da parte dell’Italia della Direttiva EU 2019/1937, finalmente ci siamo.

In data 9 dicembre 2022, il Consiglio dei Ministri ha approvato il decreto legislativo per il recepimento della Direttiva (UE) 1937/2019 del Parlamento Europeo e del Consiglio del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione.

Si passa da un criterio applicativo quasi totalmente incentrato e collegato all’adozione di un Modello di organizzazione, gestione e controllo ex art. 6 del D.Lgs. 231/2001 o ad altre normative di settore (e.g. Bancaria, Assicurativa, Pubblico etc.), ad un criterio quantitativo che porterà la quasi la totalità delle aziende a dover ragionare su obblighi, oneri e adempimenti vari.

Ecco, dunque, con spirito propositivo, alcuni adempimenti da attuare in vista anche si spera del parere favorevole delle competenti Commissioni parlamentari.

Indice argomenti

1. La normativa applicabile

Proviamo a tal riguardo a fare un piccolo ripasso della normativa applicabile che si è susseguita nel corso del tempo:

  • la Legge n.190 del 2012 in materia di anticorruzione, che istituiva un sistema volto alla lotta alla criminalità, favorendo il dialogo tra dipendente e autorità; e successivamente
  • la legge 179 del 30 novembre del 2017;
  • il Parlamento europeo, il quale nel dicembre 2019 ha approvato la nuova direttiva in materia (Direttiva EU 2019/1937) con “l’auspicio” che tutti gli Stati membri adeguassero le rispettive legislazioni nazionali entro la fine del 2021; e
  • lo Schema di decreto legislativo recante attuazione della direttiva (UE) 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali, che andremo per sommi capi ad analizzare.

Allo stato attuale e per quanto riguarda l’ultimo punto le competenti Commissioni parlamentari si sarebbero dovute esprimere con relativo parere entro il 19 gennaio 2023, ma sul punto rispetto anche a quanto indicato sul sito XIX Legislatura – Lavori – Atti del Governo sottoposti a parere(1) si rinviene che l’unica Commissione ad aver dato, allo stato attuale, relativo parere favorevole è stata la V Bilancio e Tesoro.

Per quanto riguarda, invece, la tutela e protezione dei dati rimandiamo sicuramente a quanto già sottolineato con precedente pubblicazione su privacy e whistleblowing(2).

2. Le regole di compliance e privacy che possiamo desumere dallo schema di recepimento

Sulla base di quanto allo stato attuale applicabile è chiaro come la disciplina del whistleblowing e la normativa in materia di tutela e protezione dei dati debbano oggi essere gestite in un’ottica di integrazione; non a caso la normativa in materia di tutela e protezione dei dati torna più e più volte nello schema di recepimento.

A tal proposito, non possiamo non citare gli adempimenti che il decreto di recepimento impone alle Aziende, con particolare riguardo a:

  • i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non devono essere raccolti o, se raccolti accidentalmente, devono essere cancellati immediatamente. Questo ovviamente impone un’analisi di privacy by design in fase di progettazione degli strumenti che verranno utilizzati per la gestione delle segnalazioni con particolare riguardo ai principi di proporzionalità, adeguatezza e pertinenza dei dati raccolti e trattati;
  • i diritti di cui agli articoli da 15 a 22 del regolamento (UE) 2016/679 potranno essere esercitati nei limiti di quanto previsto dall’articolo 2-undecies del decreto legislativo 30 giugno 2003, n. 196. Questo presuppone una valutazione del sistema e del workflow di gestione dell’esercizio dei diritti degli interessati in modo tale che qualora vi sia una richiesta in tal senso il Titolare per il tramite del Responsabile della Protezione dei dati, laddove nominato, gestiscano la tematica nei modi e nei limiti previsti per legge;
  • i soggetti interessati dalla normativa dovranno definire il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base di una valutazione d’impatto sulla protezione dei dati e disciplinando il rapporto con eventuali fornitori esterni che trattano dati personali per loro conto, ai sensi dell’articolo 28 del regolamento (UE) 2016/679 o dell’articolo 18 del decreto legislativo 18 maggio 2018, n. 51. Questo presuppone:
    • lo svolgimento di una DPIA e,
    • in caso di fornitore terzo, la sua contestuale nomina a responsabile con verifica delle misure organizzative e di sicurezza tecnica che lo stesso adotta nella messa a disposizione dello strumento informativo e nella gestione dei dati.
  • le segnalazioni, interne ed esterne, e la relativa documentazione devono essere conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui all’articolo 12 e del principio di cui agli articoli 5, paragrafo 1, lettera e) del Regolamento (UE) 2016/679 e 3, comma 1, lettera e) del decreto legislativo 18 maggio 2018, n. 51. Questo presuppone inevitabilmente la messa in opera di un sistema che garantisca una conservazione ma ancora più importante una cancellazione dei dati a norma e nei tempi sopra indicati. Da non escludere la possibilità di prevedere tempistiche più ridotte di conservazione nel caso, ad esempio, che la segnalazione non venga nemmeno analizzata poiché priva degli elementi necessari alla sua analisi (come ad esempio suggerito dalle Linee guida in materia adottate dall’Autorità Garante Francese cd. CNIL);
  • in caso di segnalazione effettuate tramite linea telefonica registrata o un altro sistema di messaggistica vocale registrato, è necessario richiedere il previo consenso della persona segnalante alla registrazione.

Da un lato, dunque, sarà necessario adottare e strutturare un sistema organizzativo di segnalazione in linea con il dettato normativo ad esso riferibile, dall’altro integrando quanto implementato o creato, tenendo conto di ciò che la normativa ed i provvedimenti ut supra citati dispongono in materia privacy.

3. Ancora qualche spunto di riflessione

Ovviamente la normativa allo stato attuale applicabile non fa un’analisi completa degli oneri da porre in essere ed ecco dunque fermo restando le misure già a suo tempo indicate e di cui all’articolo sopra riportato, ulteriori spunti di riflessione che sarà necessario verificare o premurarsi di aver compiuto prima di proclamare la conformità:

  • elaborare una specifica procedura in materia di segnalazioni con contestuale nomina di un Responsabile all’uopo identificato;
  • se adottato e se necessario, procedere ad un aggiornamento della parte generale del Modello di organizzazione, gestione e controllo adottato a norma del D.Lgs. 231/2001 con presa d’atto delle attività poste in essere in sede di Organismo di Vigilanza;
  • valutare il ruolo dei membri dell’Odv che dovessero essere destinatari delle segnalazioni tenendo in considerazione quanto previsto dal Parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231 del 21 maggio 2020.

4. Conclusioni

Come è ben chiaro, la stratificazione delle normative che si sono susseguite nel tempo hanno reso la tematica che abbiamo affrontato non certamente cosa banale.

Affrontare la mera questione del whistleblowing può risultare quasi agevole ma dimenticarsi di farlo in accordo con le normative trasversali che intersecano la tematica potrebbe comportare sanzioni non irrilevanti oltre che a conseguenze di natura reputazionale.

In attesa che arrivi il parere favorevole delle competenti commissioni (che si spera si pronuncino alla data di pubblicazione di questo articolo) ricordiamo che restare immobili non è mai la soluzione.

Intervento di:

Marco CASSARO, Avvocato | Responsabile Ufficio Legale & DPO di Gruppo | Kirey Group

Dott.ssa Cristina VITALE, Compliance Specialist | ITA Airways


Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1) XIX Legislatura – Lavori – Atti del Governo sottoposti a parere

(2) M. Cassaro (2022), “Privacy e Whistleblowing, due treni che si in(s)contrano. Ecco alcune regole di compliance“, Risk & Compliance Platform Europe; www.riskcompliance.it



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *