- (1).- Lo scorso 10 marzo, l’Ordinamento italiano, attraverso il decreto legislativo sopra indicato, ha recepito i contenuti della direttiva UE 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione Europea.
- (2).- Tale direttiva, pena l’applicazione di una sanzione amministrativa pecuniaria da 10.000,00 a 50.000,00 Euro, in caso di inottemperanza, obbliga i soggetti nei confronti dei quali si applica, che hanno impiegato nell’ultimo anno più di 50 dipendenti, ad attivare appositi canali di segnalazione delle violazioni che consistono, a titolo esemplificativo e non esaustivo, in:
I. illeciti amministrativi;
II. condotte illecite rilevanti ai sensi del D.Lgs. 231/2001 (…);
III. illeciti relativi ai seguenti settori; ad es.: 1). – sicurezza e conformità dei
prodotti; 2). tutela ambientale; 3). sicurezza degli alimenti; ed inoltre, in
particolare, per quanto qui ci occupa, 4). – tutela della vita privata e
protezione dei dati personali; 5). – sicurezza delle reti e dei sistemi
informativi.
- (3).- Inoltre, considerato che, per effetto delle nuove disposizioni, la segnalazione delle violazioni dovrà essere consentita anche a soggetti diversi dal personale dipendente in forza all’organizzazione (ad es.: lavoratori parasubordinati, collaboratori, fornitori, etc.), l’art. 5 del Decreto prevede che, i soggetti obbligati, mettano a disposizione informazioni chiare sul canale di segnalazione, sulle procedure e sui presupposti per effettuare le segnalazioni interne ed esterne, in modo facilmente visibile nei luoghi di lavoro, nonché accessibile alle persone che, pur non frequentando i luoghi di lavoro siano legittimati alle segnalazioni, ed anche in una sezione dedicata del sito internet dell’organizzazione.
- (4).- Alcuni degli aspetti maggiormente significativi disciplinati dalla norma in commento, sono quelli che riguardano, da un lato, gli obblighi di riservatezza delle segnalazioni e di protezione del segnalante di cui all’art. 12 e, dall’altro, quelli previsti dall’art. 13 in materia di protezione dei dati personali.
- (5). - Nello specifico, l’art. 13 da ultimo richiamato, prevede espressamente:
I. che ogni trattamento che si svolga in adempimento delle previsioni del
Decreto, debba conformarsi alle disposizioni del GDPR;
II. che, i dati personali che manifestamente non sono utili al trattamento di
una specifica segnalazione non debbano essere raccolti o, se raccolti
accidentalmente, che debbano essere cancellati immediatamente;
III. che debbano essere fornite, le informazioni obbligatorie di cui agli artt.
13 e ss del GDPR;
IV. che le organizzazioni obbligate, debbano definire il proprio modello di
ricevimento e gestione delle segnalazioni interne, individuando misure
tecniche ed organizzative idonee a garantire un livello di sicurezza
adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base
di una valutazione d’impatto sulla protezione dei dati e disciplinando i
rapporti con eventuali fornitori ai sensi dell’art. 28 del GDPR.
- (6).- Di seguito, i principali adempimenti in materia di protezione dei dati personali da attuare, entro il prossimo dicembre, per rendere conformi le descritte operazioni con le richiamate, vigenti disposizioni di legge applicabili:
I. predisposizione delle informazioni da pubblicare sul sito internet
relativamente ai canali di segnalazione, alle procedure ed ai presupposti
per le segnalazioni interne ed esterne;
II. predisposizione dei testi delle specifiche autorizzazioni scritte al
trattamento, ai sensi dell’art. 2 quaterdecies del Codice privacy, per i
soggetti cui sarà affidato l’incarico di gestire le segnalazioni;
III. predisposizione dei testi di informazioni obbligatorie da rilasciare ai
soggetti interessati (segnalante e persone coinvolte etc);
IV. adozione di misure di sicurezza che garantiscano, anche tramite il ricorso
a strumenti di crittografia, la riservatezza dei soggetti interessati ed il
loro diritto alla protezione dei dati personali;
V. aggiornamento dei registri delle operazioni di trattamento di cui all’art.
30 del GDPR e svolgimento, ai sensi dell’art. 13 comma 4 del Decreto,
delle operazioni di valutazione di impatto sulla protezione dei dati
personali di cui all’art. 35 del GDPR.
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli
