Key4biz

Direttiva Whistleblowing, i nuovi obblighi normativi e la protezione dei dati

Le imprese italiane al di sopra di una certa soglia dimensionale dovranno prendere dimestichezza con questa espressione ed attivarsi per introdurre canali di segnalazione conformi ai nuovi obblighi introdotti dal decreto legislativo 10.03.2023 n. 24, che ha recepito nel nostro ordinamento la Direttiva UE 2019/1937 (c.d. “Direttiva Whistleblowing”).

Il whistleblowing è un istituto di derivazione anglosassone e si riferisce al soggetto (“whistleblower”, in italiano “segnalatore” o “segnalante”) che, lavorando all’interno di un’organizzazione pubblica o privata, si trovi ad essere testimone di un comportamento irregolare o illecito e decida di segnalarlo all’interno dell’azienda o alle autorità competenti. La normativa riconosce protezione e tutela contro ogni forma di ritorsione che il segnalante dovesse subire come conseguenza della segnalazione stessa.

Per la verità si tratta di concetti non del tutto nuovi. La legge 06.11.2012 n. 190 sulla prevenzione della corruzione aveva infatti introdotto la tutela del whistleblower nell’ambito della Pubblica Amministrazione, estesa poi a far data dal 2017 alle società che avessero adottato un modello di organizzazione, gestione e controllo ai sensi del d.lgs. 231/01.

Direttiva Whistleblowing: i nuovi obblighi normativi

Il d.lgs. 24/2023 amplia decisamente la platea dei soggetti obbligati (perché di obbligo si tratta) a definire chiari processi di gestione delle segnalazioni. Nel settore privato gli adempimenti scattano per le aziende che nell’ultimo anno abbiano impiegato la media di almeno cinquanta lavoratori subordinati, superando così il binomio “Modello 231-whistleblowing”.

Ma in cosa consistono i nuovi obblighi? Le imprese dovranno attivare canali di segnalazione interna che garantiscano la riservatezza dell’identità del segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione. Le segnalazioni potranno essere effettuata in forma scritta, anche con modalità informatiche, oppure anche con segnalazioni orali tramite linee telefoniche, sistemi di messaggistica vocale o incontro diretto.

La protezione dei dati

La gestione delle segnalazioni implica trattamenti di dati personali ulteriori e diversi rispetto a quelli correlati alle ordinarie attività aziendali. Le aziende titolari del trattamento dovranno quindi valutare l’adeguatezza degli strumenti e dei processi adottati alla luce della normativa sulla protezione dei dati, ponderando attentamente le scelte. Nessun allarmismo, gli adempimenti necessari per impostare canali di segnalazione GDPR compliant implicano certamente un’accurata analisi che non deve tuttavia spaventare le organizzazioni. Vediamoli nel dettaglio. L’impresa dovrà:

Per le imprese che occupino fino a 249 dipendenti i nuovi obblighi decorrono dal prossimo 17 dicembre, per quelle da 250 dipendenti in su l’obbligo scatta il 15 luglio.

C’è tutto il tempo quindi per adottare la soluzione più adeguata rispetto alla propria realtà, con il necessario supporto del DPO, ove presente, o del consulente privacy, considerando i nuovi obblighi come un ulteriore opportunità per migliorare la compliance aziendale.


[1] adottate con Delibera n. 469 del 9 giugno 2021

Exit mobile version