La normativa sul Whistleblowing (D.Lgs. 24/2023) riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e nazionali, vigente dal 30/03/2023, diviene pienamente applicabile:
- dal 30 marzo 2023 per tutti gli enti pubblici e per le società pubbliche o private con un modello organizzativo 231;
- dal 15 luglio 2023 per aziende private, senza modello organizzativo, con n. lavoratori > 249 unità;
- dal 17 dicembre 2023 per le aziende private con n. lavoratori superiore a 50 unità (ed entro le 249).
La prima grande novità, quantomeno per gli enti privati, va rinvenuta nell’obbligo (e non più nella mera facoltà) di istituire canali di segnalazione interna e di introdurre strumenti approntati alla concreta tutela dei segnalanti. Anche in questa materia sono presenti indicazioni di privacy e riservatezza, proprio per garantire la massima protezione delle persone che intendono segnalare condotte illecite. Provando a sintetizzare, le aziende rientranti nelle categorie sopra, dovranno provvedere a:
- Creare un regolamento per la gestione delle segnalazioni, a tutela del segnalante;
- Identificare ed istituire un canale dedicato che consenta il mantenimento dell’anonimato, la minimizzazione dei dati ed il monitoraggio del periodo di cancellazione definito, con l’applicazione di idonee misure di sicurezza organizzative e tecnico-informatiche;
- Elaborare la valutazione di impatto per la protezione dei dati (DPIA);
- Predisporre le informative sul trattamento dei dati per gli interessati coinvolti (segnalante, facilitatori, dipendenti, …);
- Designare il personale dedicato alla gestione delle segnalazioni;
- Prevedere ed erogare formazione e addestramento del personale coinvolto con vincoli di riservatezza;
- Aggiornare il proprio Sistema di Gestione per la privacy (SGP/MOP) aziendale (registro dei trattamenti, nomine, ….).
L’ANAC è l’Autorità competente a ricevere le segnalazioni whistleblowing sia dal pubblico sia dal privato e, come previsto dalla disciplina di recente introduzione, ha pubblicato delle Linee Guida volte a dare indicazioni per la presentazione all’Autorità delle segnalazioni esterne e per la relativa gestione, le quali hanno ottenuto il parere favorevole da parte del Garante per la protezione dei dati. Le interlocuzioni intercorse tra ANAC ed il Garante privacy hanno portato all’approvazione delle Linee guida; queste costituiscono un utile strumento rivolto a tutti i titolari del trattamento anche per trarre utili spunti per costruire (o modificare) i canali di ricevimento delle segnalazioni interne, la cui istituzione, come è noto, è obbligatoria far data dal 15 luglio u.s.