L’entrata in vigore del GDPR (acronimo di Regolamento generale sulla protezione dei dati) e della Legge n. 179/2017 sul Whistleblowing hanno rappresentato, e continuano a rappresentare, una sfida molto complessa per la compliance delle aziende.
Infatti, proprio quest’ultime, nel momento in cui andranno ad adottare un modello organizzativo che sia conforme alla normativa nazionale ed europea sul tema privacy, dovranno anche tenere conto dell’istituto del whistleblowing, regolato giuridicamente dalla Legge n. 179/2017 (Legge sul Whistleblowing).
Inoltre, l’obbligo, entro la fine del 2023 (ovvero entro due anni dal recepimento della Direttiva), di introdurre sistemi informatici affidabili per la gestione del whistleblowing riguarderà anche le organizzazioni con più di 50 dipendenti, come richiesto agli stati membri dalla nuova Direttiva Europea, che ha l’obiettivo di "garantire uno standard europeo per la protezione del whistleblowing e dei whistleblower".
Che cos'è il whistleblowing?
Il whistleblowing è quella pratica che consente ai lavoratori di un'organizzazione (pubblica o privata) di segnalare condotte illecite o fraudolente di cui siano venuti a conoscenza nel corso dell’attività lavorativa, utilizzando specifici canali comunicativi.
Cosa prevede l'attuale L. 179 e cosa dovrà cambiare nella legislazione italiana entro il 17 dicembre 2021
In Italia, la normativa che regola i processi di segnalazione è stata approvata alla Camera in via definitiva nel novembre 2017 e mette l’accento sull’importanza di proteggere il soggetto segnalante da eventuali misure discriminatorie e sulla necessità di adottare specifiche garanzie di riservatezza.
Entro Dicembre 2021 la legislazione italiana sul whistleblowing dovrà recepire le nuove Direttive europee
Entro il 17 Dicembre 2021 la normativa italiana, nel rispetto della nuova Direttiva UE, dovrà coprire eventuali lacune riguardanti:
- obbligo per le organizzazioni con più di 50 dipendenti di introdurre sistemi per il whistleblowing affidabili anche dal punto di vista informatico;
- possibilità di scegliere se effettuare la segnalazione internamente o esternamente (rivolgendosi ad autorità nazionali, organi e agenzie UE);
- stesse garanzie dei lavoratori del settore pubblico per i lavoratori del settore privato;
- estensione delle tutele anche ad altri soggetti oltre ai dipendenti (fornitori, consulenti, appaltatori ecc…), ovvero le cosiddette “terze parti”;
- obbligo per l’ente o azienda di prendere in esame le segnalazioni anonime;
- protezione dell’identità del segnalante anonimo anche in caso di rivelazione posteriore;
- stesse tutele per chi “supporta” il whistleblower nella segnalazione.
Il GDPR
Il GDPR riconosce, in capo all’interessato, una serie di diritti quali il diritto di accesso, di rettifica, di cancellazione o oblio, di limitazione, di portabilità e di opposizione al trattamento del dato.
In particolare, l'interessato ha il diritto di conoscere, "qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine".
Il Garante Privacy ha recentemente sanzionato una nota società aeroportuale e il relativo fornitore dell’applicativo per il whistleblowing, avendo riscontrato una serie di carenze riguardanti il GDPR, tra le quali:
- trattamento di dati da parte di soggetti non nominati come reponsabili;
- accesso all'applicativo tramite protocollo insicuro http;
- mancato utilizzo di tecniche crittografiche per il trasporto e la conservazione dei dati;
- mancato tracciamento degli accessi di chi era autorizzato al trattamento dei dati.
La predisposizione di un sistema di segnalazione per il whistleblowing e l'adozione di un software che assicuri la protezione e il trattamento corretto dei dati per rispettare entrambe le normative
Come si coordinano la legislazione sul GDPR e quella sul whistleblowing?
Come convivono il diritto di accesso dell'interessato (in specie, il segnalato), ovvero il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, e (in tal caso) di ottenere l'accesso a questi dati e l’esigenza di proteggere l'identità del segnalante?
Soltanto la predisposizione di un sistema di segnalazione e l’adozione di un software che consenta di rispettare le normative in materia di whistleblowing e GDPR costituiscono una importante garanzia per la sicurezza del trattamento dei dati all’interno dell’azienda, oltreché per la tutela dei diritti dei segnalanti.
Le caratteristiche fondamentali e necessarie di un sistema di whistleblowing
Il sistema di segnalazione però dovrà riportare alcune caratteristiche fondamentali:
- permettere la pseudonimizzazione ossia di conservare i dati in una forma che impedisce l’identificazione del soggetto senza l’utilizzo di informazioni aggiuntive;
- permettere l’accesso ai dati personali contenuti o connessi a segnalazioni solo se vengono garantite specifiche misure di sicurezza:
- rispettare i principi di minimizzazione del trattamento dati
- rispettare le misure di tutela della riservatezza specificamente previste dalla Legge Whistleblowing.
eWhistle è pienamente allineato ai requisiti richiesti dalle legislazioni sul GDPR e sul whistleblowing
Diversamente da molti altri prodotti per la gestione del whistleblowing presenti sul mercato, eWhistle è basato su un software proprietario e non su soluzioni open source: una fondamentale garanzia di integrità e sicurezza!
