Piattaforme Corsi su misura Catalogo Blog Contatti
Torna al blog

Whistleblowing: criteri normativi e sicurezza dei dati nel nuovo Decreto

formazione gdpr normative segnalazioni sicurezza dei dati whistleblowing

di Elisabetta Leuce

Abstract: Il termine whistleblowing è di origine inglese e significa letteralmente “soffiare il fischietto”, in riferimento all’azione dell'arbitro di segnalare un fallo o a quella di un poliziotto che tenta di fermare un’azione illegale. In ambito legale, dunque, è quella situazione in cui un individuo denuncia attività illecite o fraudolente all’interno del governo, di un'organizzazione pubblica o privata o di un’azienda. Tali rivelazioni o denunce possono essere di varia natura:

  • violazione di una legge o regolamento;
  • minaccia di un interesse pubblico come in caso di corruzione e frode;
  • gravi e specifiche situazioni di pericolo per la salute e la sicurezza pubblica.

Il whistleblowing nell'ordinamento italiano

Il 10 marzo 2023 l'Italia ha finalmente adottato la Direttiva (UE) 2019/1937, meglio conosciuta come "direttiva whistleblowing", emanando il D. Lgs. n. 24.

Questo nuovo decreto allinea le leggi nazionali a quelle europee, unificando in un unico testo normativo le regole sulla protezione di coloro che segnalano pratiche illecite.

Prima del nuovo decreto, esistevano leggi che proteggevano chi segnalava comportamenti illeciti, sia nel settore pubblico (con il D. Lgs. 165/2001) che in quello privato (tramite il D. Lgs. 231/2001 e la Legge 179/2017). Il nuovo decreto abroga queste leggi, considerate inefficaci, e non solo rafforza valori come trasparenza e responsabilità, ma potenzia le misure di protezione per chi fa segnalazioni, vietando ritorsioni e imponendo il mantenimento della riservatezza.

La novità principale riguarda l'obbligo imposto ad aziende ed enti pubblici di istituire un canale interno sicuro per le segnalazioni, preservando l'anonimato del segnalante. Le regole si applicano a:

  • aziende con almeno 50 dipendenti a tempo indeterminato o determinato nell'ultimo anno;
  • aziende coinvolte in attività dell'Unione Europea, senza limiti minimi di dipendenti;
  • aziende che hanno adottato il Modello Organizzativo 231, indipendentemente dal numero di dipendenti;
  • soggetti del settore pubblico.

Inoltre, il decreto amplia la protezione non solo per dipendenti, ma anche per lavoratori autonomi, liberi professionisti, volontari, tirocinanti non retribuiti, azionisti e figure dirigenziali. L'attenzione maggiore è rivolta alla protezione dell'anonimato del segnalante, con garanzie mirate a prevenire possibili ritorsioni.

La salvaguardia della privacy è assoluta: l'identità del whistleblower e qualsiasi traccia che possa rivelarla sarà strettamente riservata, accessibile esclusivamente a coloro che sono autorizzati a gestire o trattare tali informazioni nel contesto delle segnalazioni.

È importante sapere che il D. Lgs. 24/2023 non solo impone la creazione di canali interni per le segnalazioni, ma introduce anche la possibilità di utilizzare un canale esterno fornito e gestito dall'ANAC, Autorità Nazionale Anticorruzione. Quest'ultima è anche responsabile di applicare le sanzioni amministrative per violazioni relative al whistleblowing, sia nel settore pubblico che in quello privato, nel caso in cui le regole non siano rispettate.

Quali sono gli adempimenti richiesti?

Entro il 15 luglio 2023, le aziende con almeno 250 dipendenti hanno dovuto acquisire un canale di segnalazione per il whistleblowing che garantisse la riservatezza, utilizzando anche strumenti di crittografia per proteggere:

  • l'identità del whistleblower;
  • le persone coinvolte o menzionate nella segnalazione;
  • il contenuto e la documentazione forniti.

Le imprese che impiegano almeno 50 dipendenti (ma meno di 250) hanno ottenuto una scadenza differente: infatti, le disposizioni normative avranno effetto a partire dal 17 dicembre 2023. Tali soggetti dovranno agire immediatamente, scegliendo un software dedicato per gestire le segnalazioni e fornendo al personale una formazione adeguata in materia di D. Lgs. 231/2001 e whistleblowing. Chi non rispetterà le scadenze previste rischia sanzioni significative. L'ANAC potrà infliggere multe di un valore compreso tra 10.000 e 50.000 euro.

Il nuovo decreto ha stabilito come comunicare ai dipendenti l'attivazione del canale interno, chiarendo gli aspetti relativi all'invio delle segnalazioni e alle sue implicazioni. Anche all'interno del proprio sito web, le aziende e la P.A. dovranno realizzare una sezione dedicata per fornire tutte le informazioni necessarie. Il responsabile del canale di segnalazione dovrà non solo gestire le segnalazioni ricevute, ma interagire direttamente con i segnalanti attraverso un sistema di messaggistica integrata nel software di whistleblowing.

Le implicazioni del whistleblowing sul GDPR

Come anticipato, il D. Lgs. 24/2023 si focalizza sulla tutela dei soggetti coinvolti nelle segnalazioni, introducendo normative essenziali per preservare la riservatezza sia dei segnalanti che delle persone implicate (ed eventualmente di terzi interessati). Ciò comporta molteplici conseguenze in materia di protezione dei dati personali e di rispetto della privacy (GDPR).

Innanzitutto, le aziende e la P.A. sono obbligate a nominare i responsabili del trattamento dei dati che possono essere anche fornitori esterni, operanti all'interno del canale di segnalazione, o soggetti autorizzati dal titolare del trattamento.

Il canale di segnalazione deve essere impostato con misure di sicurezza specifiche, come:

  • utilizzo della crittografia;
  • formazione dedicata al personale gestore del canale;
  • misure tecniche per conservare correttamente le segnalazioni.

In sostanza, al fine di rispettare la normativa vigente, è necessario:

  1. garantire la riservatezza dell'identità del segnalante e del contenuto delle segnalazioni;
  2. assicurare che l'identità del segnalante sia rivelata solo a individui specificamente autorizzati;
  3. ottenere il consenso esplicito del segnalante prima di rivelare la sua identità in contesti di procedimenti disciplinari interni (se la contestazione è basata sulla segnalazione);
  4. garantire la protezione dei dati personali e del contenuto delle segnalazioni per tutte le persone coinvolte.

I dati personali, il contenuto delle segnalazioni e tutta la relativa documentazione possono essere conservati solo per un periodo di tempo strettamente necessario e non oltre 5 anni dalla comunicazione dell'esito finale della procedura di segnalazione (termine concordato tra l'Autorità garante per la Protezione dei Dati e l'Autorità Nazionale Anticorruzione, ANAC).

Sensibilizzazione e formazione del personale

La sensibilizzazione e la formazione del personale sono tasselli chiave nell'implementazione delle misure di sicurezza dei dati nel processo di whistleblowing. I dipendenti devono essere consapevoli dell'importanza della riservatezza e possedere adeguate conoscenze sull'uso corretto delle piattaforme di segnalazione e sulle procedure da seguire per garantire la protezione dei dati sensibili.

Una formazione efficace dovrebbe anche illustrare i possibili scenari e le conseguenze delle violazioni della sicurezza dei dati, evidenziando l'importanza della conformità alle politiche interne e delle leggi sulla privacy e includendo simulazioni di casi pratici o esempi di situazioni in cui la gestione inappropriata dei dati potrebbe compromettere la riservatezza delle informazioni o mettere a rischio i segnalanti.

Formare il personale in materia di GDPR, D. Lgs. 231/2001 e D. Lgs. 24/2023 costituisce una difesa preventiva cruciale contro le minacce alla sicurezza dei dati a cui si va incontro nel contesto del whistleblowing. Un dipendente adeguatamente formato non solo è in grado di utilizzare in modo sicuro le risorse a disposizione, ma è anche più consapevole e attento nella gestione delle informazioni sensibili, contribuendo così a preservare l'integrità del processo di segnalazione e a mitigare potenziali rischi per tutti gli attori coinvolti.

 

Iscriviti alla Newsletter!

Ricevi ogni settimana i nostri contenuti gratuiti su e-learning e HR-Tech

Tranquillo, anche noi odiamo lo spam!

Articoli recenti

Agile Management: nuovo paradigma per la gestione del team
agile management competenze digitali metodologia agile softskills team management
DigComp 2.2: il quadro delle competenze digitali definito dalla Commissione Europea
apprendimento continuo competenze del futuro competenze digitali digcomp2.2 e-learning
Whistleblowing: criteri normativi e sicurezza dei dati nel nuovo Decreto
formazione gdpr normative segnalazioni sicurezza dei dati whistleblowing

CORSI A CATALOGO SULLE DIGITAL SKILLS

Tutti i corsi del nostro catalogo sostengono gli obiettivi di formazione e crescita del personale aziendale sulle principali competenze digitali legate all'innovazione tecnologica e definite a livello europeo.

✔ Corsi fruibili all'interno di qualsiasi piattaforma LMS

✔ Attivazione immediata, nessun limite di accesso

✔ Contenuti responsive per pc, smartphone e tablet

Richiedi il catalogo

GUIDA GRATUITA - LMS: COS'È E COME SCEGLIERLO

Un LMS (Learning Management System) è una piattaforma e-learning che consente al settore Learning & Development di realizzare un programma formativo efficace, incidendo positivamente sui profitti dell’intera organizzazione. Affinché i programmi formativi siano realmente performanti, è importante fruire di una piattaforma LMS moderna e flessibile.

Scarica la guida