Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale?   In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

Garante privacy: differita l’efficacia del documento di indirizzo sui metadati.Quando gli obblighi previsti diverranno applicabili?    A pochi giorni di distanza dal comunicato con cui il Garante diffondeva il “Documento di indirizzo sulla conservazione dei metadati”, la stessa Autorità ha deciso…

Con chi si interfaccia il DPO e con quali modalità? I risultati del CEF 2023    Dall’indagine condotta dalle Autorità europee sul ruolo del DPO (il CEF 2023, ne abbiamo parlato qui), sono emersi alcuni dati preoccupanti: spesso i Responsabili della…

Nuova Linea di Indirizzo del Garante per la Protezione dei Dati sul Trattamento dei metadati e mail nelle aziende    Il Garante per la protezione dei dati personali ha recentemente introdotto una nuova linea di indirizzo che riguardano la gestione dei…

Data Protection Officer e conflitto di interesse: DPO interno o DPO esterno? Questo è il problema    La recente indagine condotta dalle Autorità europee in materia di protezione dei dati ha rilevato molteplici situazioni di Responsabili della Protezione dei Dati (DPO)…

Colpa d’organizzazione e responsabilità D.Lgs. 231       La recente sentenza 4210/2024 della Cassazione ribadisce un principio fondamentale riguardo alla responsabilità amministrativa delle società e degli enti: l'essenza colposa della responsabilità dell'ente per reati commessi nell'interesse o a vantaggio…

La proposta di riforma della Direttiva ePrivacy è finita su un binario morto               La Direttiva ePrivacy del 2002 rappresenta uno strumento legale fondamentale per la privacy nell'era digitale, questa si concentra specificatamente sulla…

IoT & PMI: quali regole seguire per implementare progetti IoT nella propria organizzazione? Secondo recenti indagini, negli ultimi anni il ricorso alle tecnologie dell’Internet degli Oggetti (Internet of Things - IoT) ha visto un importante balzo in avanti nel settore…

È ufficiale: nuovi obblighi in materia di whistleblowing | D.Lgs. 24/2023

Il 15 marzo 2023 è stato pubblicato in Gazzetta Ufficiale il decreto legislativo che attua la Direttiva europea 2019/1937 in materia di segnalazione degli atti illeciti. Si tratta della nuova normativa italiana in materia di whistleblowing. Vediamo le principali novità e gli obblighi, sottoforma di semplici domande e risposte.

Il Decreto Legislativo n. 24 del 10 marzo 2023 recante “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”, allarga in maniera significativa il perimetro di applicazione della disciplina in materia di whistleblowing (in precedenza limitato alle sole imprese dotate di modello organizzativo, ai sensi del D.lgs. 231/2001) ed introduce le c.d. “segnalazioni esterne”. L’ANAC, Autorità Nazionale Anticorruzione, diventa l’unico soggetto competente a valutare tali segnalazioni e l’eventuale applicazione delle sanzioni amministrative, sia per quanto riguarda il settore pubblico che per il settore privato.

Quali organizzazioni sono interessate? 

Come anticipato, la prima novità è rappresentata dalla previsione normativa che annovera, fra i soggetti obbligati ad applicare la disciplina, le imprese private che hanno impiegato, nell’ultimo anno, la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato, oppure che rientrano nell’ambito di applicazione degli atti dell’Unione Europea, in materia soprattutto di protezione del risparmio, anche se nell’ultimo anno non hanno raggiunto questa media di lavoratori subordinati oppure che hanno adottato Modelli di organizzazione ai sensi del D.Lgs. n. 231/2001 e che hanno nominato un Organismo di Vigilanza (ODV). A questi si aggiungono i soggetti del settore pubblico ed altri soggetti previsti all’articolo 1 del D.Lgs. 24/23.

Cosa sono le segnalazioni esterne?

Il nuovo decreto prevede, oltre alla ordinaria facoltà, in capo ai segnalanti, di rivolgere segnalazioni attraverso canali interni all’organizzazione, anche la possibilità di rivolgere all’ANAC segnalazioni esterne. Si tratta di un canale di comunicazione indipendente e autonomo, ad ulteriore garanzia dell’efficacia della disciplina e di tutela del segnalante.

Quali obblighi sono previsti dalla norma?
  • definire ex ante la governance del processo di gestione delle segnalazioni, individuando e valutando idonee soluzioni organizzative;
  • affidare la gestione del canale di segnalazione a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione, ovvero ad un soggetto esterno, anch’esso autonomo e con personale specificamente formato;
  • calendarizzare a cadenza periodica la formazione in materia di whistleblowing;
  • definire le modalità operative in cui si articola il processo di gestione delle segnalazioni;
  • implementare un canale interno per la ricezione e la gestione delle segnalazioni e prevedere adeguate modalità di tutela del segnalante;
  • fra le modalità di tutela del segnalante, è necessario implementare misure tecniche che garantiscano, anche tramite il ricorso a strumenti di crittografia, la riservatezza della sua identità, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione;
  • regolamentare il processo di analisi e gestione delle segnalazioni ricevute;
  • predisporre policy e procedure specifiche in materia di whistleblowing, che consentano di gestire, in modo conforme, anche segnalazioni pervenute mediante canali distinti da quello scritto e informatizzato (linee telefoniche, sistemi di messaggistica vocale, incontri diretti);
  • assicurarsi di garantire al segnalante la massima trasparenza di tutto processo.
Quali obblighi in materia di trasparenza?
  1. fornire informazioni chiare e facilmente accessibili riguardo al canale, alle procedure e ai presupposti per effettuare le segnalazioni interne, nonché riguardo al canale, alle procedure e ai presupposti per effettuare segnalazioni esterne. Tali informazioni devono essere esposte e rese facilmente visibili nei luoghi di lavoro, nonché accessibili anche ai soggetti che, pur non frequentando i luoghi di lavoro, intrattengono un rapporto giuridico con l’organizzazione. In aggiunta, il decreto prevede che, qualora l’organizzazione pubblica o privata sia dotata di un proprio sito internet, tali informazioni vengano rese note in una sezione dedicata del suddetto sito;
  2. comunicare al segnalante la presa in carico della segnalazione, mediante “avviso di ricevimento” da rilasciare entro sette giorni dalla ricezione;
  3. fornire riscontro alla segnalazione entro tre mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione;
  4. assicurarsi che, alle informazioni fornite ai sensi della normativa in materia di whistleblowing, sia affianchino le informazioni in merito al trattamento dei dati del segnalante e di tutte le altre persone coinvolte nel processo (quali i soggetti segnalati e i c.d. “facilitatori”), ai sensi della normativa in materia di protezione dei dati personali.
Entro quando bisogna adeguarsi?

Le disposizioni del decreto legislativo 24/23 avranno effetto a decorrere dal 15 luglio 2023, con eccezione dei soggetti del settore privato che abbiano impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a 249, per i quali l’obbligo di istituzione del canale di segnalazione interna, ai sensi del nuovo decreto, avrà effetto a decorrere dal 17 dicembre 2023.

Quali sanzioni in caso di non conformità?

Il nuovo decreto prevede che, fermi restando gli altri profili di responsabilità, l’ANAC possa applicare sanzioni amministrative pecuniarie fino a euro 50.000, nei casi in cui accerti che:

  • non sono stati istituiti canali di segnalazione,
  • non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni,
  • l’adozione di tali procedure non è conforme a quelle previste dal decreto,
  • non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute,
  • sono state commesse ritorsioni,
  • la segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l’obbligo di riservatezza.
Come adeguarsi?

Per adeguarsi alle nuove norme in materia di whistleblowing e garantire la riservatezza dell’identità del segnalante, è essenziale dotarsi di piattaforme informatiche dedicate, anche gestite da terze parti indipendenti e specializzate. Labor Project suggerisci per i propri clienti “Parrot231 whistleblowing” è un tool che permette, all’impresa che lo adotta, di rafforzare il virtuoso processo di lotta agli illeciti e di conformarsi agli obblighi normativi.

Inoltre, come abbiamo visto, il nuovo decreto impone, alle organizzazioni, obblighi che impattano anche sulla protezione dei dati personali. Fra questi, si ricorda che tutti i trattamenti derivanti dalla ricezione e dalla gestione delle segnalazioni, devono essere effettuati nel rispetto dei principi generali del Regolamento europeo in materia di protezione dei dati personali e dei criteri di privacy by design e by default, fornendo idonee informazioni alle persone segnalanti e alle persone coinvolte, nonché adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.

La nostra organizzazione è in grado di supportare le aziende clienti nell’adempiere ai requisiti sopra elencati attraverso diverse attività.

Offriamo:

  • la proposta e l’implementazione di una piattaforma dedicata;
  • la revisione della documentazione aziendale come il Codice Etico e la procedura whistleblowing;
  • la predisposizione di un piano formativo per il personale;
  • la gestione delle segnalazioni utilizzando personale già esperto nella gestione degli Organismi di Vigilanza 231;
  • la predisposizione della documentazione privacy aggiornata come informativa privacy, aggiornamento registro dei trattamenti e nomina responsabile del trattamento.

Contattaci per ulteriori informazioni.

Follow us on
Our Gallery