Nell’implementazione del Decreto Whistleblowing, obbligatorio dal 15 luglio 2023, non bisogna dimenticarsi degli obblighi legati al GDPR. Implementare le attività richieste dal decreto senza svolgere i relativi adempimenti dal punto di vista privacy significa rischiare una multa molto salata.
Ecco quali sono gli adempimenti GDPR da svolgere a seguito dell’implementazione della Direttiva Whistleblowing.
Premessa: cos’è la Direttiva Whistleblowing
La Direttiva Whistleblowing è la dicitura con cui viene più comunemente indicata la Direttiva Europea 2019/1937 sulla “Protezione delle Persone che Segnalano Violazioni del Diritto dell’Unione” recepita dall’Italia con il D.Lgs 24/2023.
Tale direttiva, la cui applicazione è obbligatoria per tutte le aziende pubbliche nonché quelle private con più di 50 dipendenti, prevede lo sviluppo di un sistema volto a:
- Tutelare “chi, dopo aver constatato illeciti nell’organizzazione, denuncia l’illecito per dovere civico” (il c.d. whistleblower)
- Agevolare le segnalazioni garantendo riservatezza al segnalante
- Permettere alle organizzazioni di rientrare in contatto con il segnalante al fine di ottenere eventuali maggiori informazioni necessarie per gestire le segnalazioni ricevute e intervenire correttamente sulla situazione
Per maggiori informazioni sulla Direttiva Whistleblowing, aziende che devono applicarla e obblighi derivanti dalla sua applicazione, leggi la nostra Guida Gratuita sull’argomento!
Whistleblowing e GDPR
Anche le attività richieste dalla Direttiva Whistleblowing, per essere a norma di legge, devono essere svolte e impostate nel rispetto del Regolamento Europeo per la Protezione dei Dati Personali (GDPR, detto anche Regolamento Privacy).
In particolare, l’organizzazione che attua la Direttiva nel rispetto della normativa privacy deve svolgere i seguenti adempimenti:
- Registrare il relativo trattamento dati nel Registro dei Trattamenti. Il trattamento deve
essere stato progettato fin dall’inizio nel rispetto dei principi imposti dal Regolamento - Fornire a dipendenti, collaboratori, azionisti ecc. un’apposita Informativa Privacy al fine di renderli consapevoli a priori di come verrebbero trattati i loro dati nel momento in cui decidessero di effettuare una segnalazione
- Eseguire una DPIA (Data Protection Impact Assessment), in italiano “Valutazione di Impatto sulla Protezione dei Dati Personali”. Si tratta di un’attività richiesta dal GDPR ogni volta che il trattamento può comportare un rischio elevato per i diritti e le libertà delle persone, come nel caso delle attività di whistleblowing. In particolare, una DPIA serve a descrivere il trattamento, valutarne la necessità e la proporzionalità nonché a determinare come gestire gli eventuali rischi per i diritti e le libertà delle persone derivanti dal trattamento.
- Fornire e far sottoscrivere un’apposita lettera di Autorizzazione al Trattamento ai dipendenti chiamati a gestire il canale di segnalazione
- Nell’ipotesi in cui l’azienda si avvalesse di fornitori terzi per la gestione del canale di segnalazione (es. fornitore di un software terzo), designare tali fornitori come “Responsabili del Trattamento”
- Nel caso di realtà che decidono di condividere il sistema per il ricevimento e la gestione delle segnalazioni, stipulare un accordo interno con gli altri contitolari del trattamento per definire le rispettive responsabilità.
Cosa rischia l’azienda che non applica il GDPR all’applicazione della Direttiva Whistleblowing
L’azienda che non applica il GDPR nella fase di progettazione e implementazione del Sistema Whistleblowing rischia prima di tutto una pesante sanzione economica, con multe fino a 20.000.000 euro o al 4% del fatturato annuo.
Ma al di là della sfera economica, non rispettare il GDPR nell’applicazione del Decreto Whistleblowing significa mettere a rischio la riservatezza del segnalante e del contenuto della segnalazione, con il rischio che questi vengano diffusi all’esterno a seguito, ad esempio, di un data breach. Ciò può avere conseguenze anche molto gravi dal punto di vista dell’immagine e della reputazione aziendale nonché, di conseguenza, sulle vendite e sui ricavi.
Per scongiurare tutto ciò, i nostri professionisti sono a disposizione per realizzare e/o verificare i documenti e le procedure privacy richieste per la corretta applicazione della nuova normativa.
Contattaci per una consulenza!
