Nuovi scenari si aprono in materia di trattamento dei dati personali in azienda: le norme introdotte dal regolamento europeo prevedono anche le “rivelazioni” di comportamenti non leciti da parte del lavoratore.

Il regolamento Europeo in materia di privacy, entrato in vigore il 24 Maggio 2016, più noto come GDPR, ha introdotto molte novità anche in ambito cyber security, nonché, più in generale, nella questione della protezione e del trattamento dei dati per i cittadini europei.
Tra le suddette novità, c’è l’introduzione di una disciplina in materia di tutela dei “whistleblowers”.

Whistleblowers: la tutela dei soggetti segnalanti

Con il termine  “whistleblowers” si definiscono tutti i dipendenti pubblici o privati che segnalano comportamenti illeciti dell’organizzazione per la quale lavorano. Il GDPR prevede per questo tipo di figure l’obbligo di tutela garantendo loro la totale riservatezza.

L’introduzione ed il riconoscimento dei whistleblowers rappresenta per l’Italia un significativo passo avanti anche nell’ottica di allineamento normativo con gli altri paesi europei e non.

Negli Stati Uniti, ad esempio,  il whistleblowing è tutelato da numerose leggi federali sin dal lontano 1983, mentre in Italia le prime avvisaglie in merito al tema si sono viste soltanto nel 2012 (Legge 190 del 6 novembre 2012, art. 1 c. 51) con il delineamento della figura del dipendente pubblico segnalatore di illeciti, e per il settore privato nel Decreto Legislativo del 3 Agosto 2017, con la Legge 179.

Sebbene la figura dei whistleblowers non fosse formalmente riconosciuta nell’ambito della tutela dei dati personali, era comunque già prevista in relazione al Modello Organizzativo 231ed in parte anche negli adempimenti normativi antiriciclaggio.

Whistleblowing e GDPR: la segnalazione di illeciti in materia di trattamento dei dati personali

La disciplina che regola il whistleblowing è legata a doppio filo con quella della Privacy: infatti, con la modifica del 3 agosto 2017, si è andati a modificare il D.Lgs 231/01, introducendo la garanzia di anonimato per chi segnala reati, irregolarità, o la mancata adempienza al Modello Organizzativo ufficialmente adottato dall’organizzazione.

Tuttavia, secondo il Garante per la Protezione dei Dati Personali, a questo approccio mancava una disciplina effettiva del whistleblowing e dei “profili di interferenza [del whistleblowing] con la disciplina di protezione dei dati personali”, mancanze a cui il Regolamento Europeo sulla Privacy sopperisce.

Secondo il GDPR, infatti, la disciplina del whistleblowing va regolamentata in maniera da:

• definire i ruoli attribuiti ai vari attori coinvolti nella procedura;
• garantire adeguate misure di sicurezza del dato trattato;
• disciplinare il diritto di accesso alle informazioni da parte del soggetto segnalato agli atti;
• disciplinare le modalità le modalità del trasferimento di dati tra Stati extra-europei, in caso di realtà multinazionali.

Errore: Modulo di contatto non trovato.

GDPR e Modello Organizzativo 231/01: punti di contatto

Lo stesso GDPR va quindi a interagire con il già esistente Modello Organizzativo 231 il quale per esempio, nell’art. 6 c. 2 del D.Lgs 231/01, riteneva motivo di esenzione di responsabilità la previsione di “obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli”.

Anche la disciplina relativa all’antiriciclaggio obbliga le aziende a istituire canali appositi per le segnalazioni di condotte illecite (in questo caso atte al riciclaggio di denaro e al finanziamento di attività terroristiche), canali che oggi vanno ad aggiungersi alla garanzia di riservatezza del whistleblower nonché della sua tutela da parte di atti di ritorsione.

Quest’ultimo non sarà mai soggetto a violazione di segreti d’ufficio, in quanto la rivelazione di illeciti costituisce giusta causa sia in ambito privato che pubblico.

A chi si occupa di GDPR Privacy in azienda spetta il compito di far combaciare gli obiettivi e le procedure in comune con il Decreto Legislativo 231/01, al fine di permettere un migliore trattamento dei dati personali e garantire la sicurezza dell’organizzazione in caso di mancato adempimento alle norme, dimostrando l’aderenza al principio di accountability tramite l’adozione di politiche e misure atte alla salvaguardia e al trattamento dei dati personali.

Scopri i nostri servizi in materia di GDPR e Privacy

Gestione degli obblighi previsti dal GDPR Privacy per la protezione dei dati e del business di Professionisti e aziende, formazione e adozione di misure adeguate di Data Protection e Cybersecurity.
SCOPRI DI PIÙ