La normativa sul whistleblowing è stata recentemente aggiornata, prima a livello europeo, con una nuova direttiva che abroga la precedente, e poi a livello nazionale, con il nuovo decreto legislativo che recepisce la direttiva. Il whistleblowing è una procedura complessa che di fatto necessita di particolari tutele per le persone coinvolte, in particolare proprio rispetto ai dati personali, per cui cerchiamo di fare chiarezza su cosa e come fare.

Cos’è il whistleblowing

Whistleblowing può essere tradotto in modo colloquiale con soffiata, ma in modo formale si riferisce alla segnalazione di atti illeciti (secondo la legislazione nazionale ed europea) commessi all’interno di un’organizzazione, in modo che gli enti preposti possano provvedere alla verifica ed agli eventuali procedimenti. Queste segnalazioni coinvolgono in modo significativo sia i segnalanti (che potrebbero essere oggetto di ritorsioni) che i segnalati (che di fatto diventano oggetto di sospetti e indagini), ed in parte anche gli altri soggetti previsti nella normativa.

Sostanzialmente, ogni organizzazione deve dotarsi dei processi e degli strumenti che rendono possibile la ricezione e la gestione di tali segnalazioni, facendo in modo che ciò avvenga nella massima riservatezza e sicurezza.

A chi si applica la normativa aggiornata

La normativa precedentemente in vigore prevedeva due casi di applicazione: il settore pubblico (tutto) e l’adozione volontaria di un modello organizzativo per la prevenzione degli illeciti (secondo il decreto legislativo 231/01), per il mondo privato. Ora, mentre ovviamente rimane l’intero settore pubblico, si allarga lo spettro del settore privato, per cui tutti i soggetti con un numero di lavoratori (calcolato come media annua) superiore a 50 devono dotarsi del canale per ricevere le segnalazioni.

L’altro aspetto di significativa novità è che, per tutti i soggetti pubblici e privati, le segnalazioni possono essere effettuate anche da persone esterne (cioè: non legate da rapporto di lavoro stabile) al soggetto stesso; e per i soggetti per cui non sussiste l’obbligo di procedura, o in altri casi particolari, è comunque possibile che chiunque possa fare una segnalazione all’ANAC (l’autorità anticorruzione), per cui praticamente nessun soggetto è escluso.

Cosa bisogna fare

L’adozione di una procedura significa che il soggetto pubblico o privato:

  • predisponga un sistema (“canale”) con cui è possibile ricevere segnalazioni (e mantenere i contatti in modo anonimo col segnalante);
  • designi le persone che devono occuparsi di verificare le segnalazioni ricevute ed eventualmente facciano partire i procedimenti ulteriori;
  • predisponga i processi interni di gestione delle segnalazioni e ne fornisca le informazioni in modo trasparente;
  • preveda le misure di sicurezza a tutela della riservatezza di segnalanti e segnalati.

Tutto ciò, accompagnato dall’opportuna formazione delle persone direttamente coinvolte nel processo in questione.

Per approfondimenti, consigliamo le linee guida pubblicate dall’autorità anticorruzione.

Come possiamo aiutarvi

Come detto all’inizio, la gestione delle segnalazioni rappresenta un particolare trattamento di dati personali, e come tale deve essere opportunamente documentato come prevede il GDPR; inoltre, il trattamento stesso deve rispettare il principio di privacy by design, per cui nel momento in cui l’organizzazione inizia a preoccuparsi di come gestirà le segnalazioni, è necessario prevedere anche tutti gli aspetti di protezione dei dati personali.

Per questo motivo, siamo a disposizione ad aiutare tutti i soggetti sia pubblici che privati a progettare il loro processo di gestione delle segnalazioni in modo conforme alla normativa privacy e a predisporre tutti gli adempimenti di tipo documentale necessari; inoltre, insieme al nostro partner PrivacyLab, siamo in grado di fornire un sistema software certificato (cioè verificato da enti terzi rispetto alla conformità delle normative coinvolte) di gestione delle segnalazioni.

Nel nostro sito trovate i canali di comunicazione per contattarci.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.