Modello di gestione whistleblowing: breve analisi per una compliance integrata

In attuazione della Direttiva UE n. 1937/2019 è stato emanato il D.lgs. n. 24/2023 (d’ora in poi anche Decreto) contenente modifiche in materia di cd. whistleblowing e già parzialmente efficace dal 15 luglio 2023. Al termine whistleblowing (dall’inglese: soffiare nel fischietto) è riconducibile, come noto, quel complesso di norme volto a regolare i processi di segnalazione degli illeciti nel contesto aziendale.

Il legislatore ha previsto differenti termini entro cui le organizzazioni devono adeguarsi. L’ultimo di questi spira il 17 dicembre 2023 e riguarda le società che hanno impiegato, nell’ultimo anno, una media di almeno 50 dipendenti.

La nuova disciplina, in linea con gli orientamenti comunitari in materia, contempla elementi nuovi rispetto la normativa previgente. Emerge infatti, tra le diverse novità, la tipizzazione delle violazioni con la possibilità di segnalare le inosservanze di norme, comunitarie e nazionali, racchiuse in un elenco già fornito dal legislatore; oppure l’ampliamento dell’ambito soggettivo di applicazione tramite un’estensione di tutela verso quei soggetti diversi dal segnalante, sia appartenenti al settore pubblico che privato; o ancora, il complesso meccanismo previsto per la tutela dalle ritorsioni, ovvero dai pregiudizi che il segnalante potrebbe conseguire a seguito della segnalazione.

L’organizzazione onerata, per conformarsi dunque alla nuova regolamentazione, è tenuta a revisionare il previgente modello di gestione delle segnalazioni o, in alcuni casi, a strutturalo ex novo.

La conformità al Decreto whistleblowing richiede interventi finalizzati alla costruzione di un vero e proprio modello di gestione, documentato e scalabile.
Le società obbligate devono pertanto redigere un progetto organizzativo dove siano ben definiti e descritti i canali di segnalazione (come previsti secondo la normativa) e che contempli un meccanismo formativo (per gli operatori) e informativo, per ogni utente, che sia ben conoscibile tramite gli strumenti di comunicazione a disposizione.

Il progetto deve poi coordinarsi con i modelli già presenti nell’organizzazione e preposti alla conformità verso ulteriori e diverse normative. Giova infatti rilevare che gli interventi per la costruzione di un modello whistleblowing devono necessariamente misurarsi, per effetti ed efficacia, anche con i diversi modelli riguardanti la compliance (globale) dell’organizzazione rispetto ai rischi, anche normativi, già da questa considerati. La società interessata dovrà quindi coordinare la propria azione con le politiche, già esistenti e adottate, finalizzate alla mitigazione dei rischi rilevanti, tra cui quelli derivanti dalle non conformità normative.

Tra i modelli certamente rinvenibili vi è quello preposto alla gestione della conformità dell’organizzazione alla normativa per la protezione dei dati personali (Reg. Eu 679/2016 e D.lgs. 196/2003), ma non solo, devono considerarsi interventi anche rispetto al MOG 231 per la responsabilità degli enti in ossequio al D.lgs. 231/2001, se adottato (cfr. artt. 4 e 21, comma 2, del D. lgs 24/2023).

Ciò detto, anche al fine di fornire un supporto alle organizzazioni, nel seguito verranno analizzati i punti di contatto della nuova normativa whistleblowing con il modello di gestione data protection, così da agire tramite un approccio integrato ed evitare ridondanze o addirittura conflitti tra i diversi modelli.

La gestione della segnalazione: riservatezza e tutela dei dati personali

La nuova normativa whistleblowing è, per oggetto e natura, strettamente connessa alla normativa in materia di protezione dei dati personali. Ciò emerge con chiarezza dall’espresso rinvio che il legislatore ha previsto, nel corpo del Decreto, al Regolamento EU 679/2016 e al D.lgs. 196/2003.

Le norme (in particolare, gli artt. 12, 13 e 14 del D.lgs. 24/2023) evocano principi e concetti portanti per la tutela dei dati personali e che pare debbano invocarsi, dato l’espresso richiamo, anche nella regolazione delle segnalazioni di illeciti nel contesto aziendale.

Si pensi al concetto di riservatezza: tale elemento è assunto quale fondamento per garantire il segnalante, e la segnalazione, da effetti ritorsivi e pregiudizievoli e gli strumenti per la sua applicazione sono ripresi dalla normativa per la tutela dei dati personali.

Oppure si consideri l’uso del “consenso”, previsto dal Decreto come uno strumento utile per attivare un meccanismo di controllo sui propri dati personali e, in generale, sulla propria identità (cfr. artt. 12 e 14 D.lgs. 24/2023).
Ciò non deve stupire.
Non è insolito, infatti, constatare come i più recenti testi legislativi (soprattutto in ambito tech), sia europei che nazionali, prevedano al loro interno rinvii al GDPR. Il motivo è presto detto oltre che riconducibile ad un semplice concetto: la digitalizzazione dei processi e la loro pervasività nelle nostre identità (digitali).

Ma nel contesto del whistleblowing, il legislatore nazionale, anche in funzione del dettato dell’art. 88 del GDPR, rinvia al Regolamento EU 679/2016 al fine di assicurare, tramite gli strumenti già conosciuti dalla normativa per la data protection, l’obbligo di riservatezza. Elemento questo ritenuto cruciale per l’efficacia dell’intera struttura del nuovo codice sulle segnalazioni.

La prossimità sostanziale delle due discipline è evidente anche nell’approccio sanzionatorio ove pare desumibile un doppio binario di punibilità. Infatti, all’art. 21, comma 1, par. a) è punita, con sanzione pecuniaria da 10.000 a 50.000 euro, la violazione dell’obbligo di riservatezza. Ma se, come detto, gli strumenti atti a garantirla sono rinvenibili nel GDPR, va da sé che laddove la violazione dell’obbligo di riservatezza sia ascrivibile ad una non conformità al Regolamento EU 679/2016 (circostanza altamente probabile) si aprirebbe, in via presuntiva, la strada per una duplice sanzione. Deve ovviamente premettersi che le condotte sanzionabili potrebbero esser molteplici e devono considerare differenti varabili, ma in linea di principio l’assunto anzidetto è difficilmente contestabile. Emerge dunque come una corretta applicazione della normativa whistleblowing, nel contesto aziendale, debba inevitabilmente considerare i processi posti a presidio dei dati personali (già trattati dall’organizzazione) e che, come noto, sono ricompresi nell’alveo di un modello di gestione già espressione del principio di accountability (risk management) dell’organizzazione.

Nel seguito si tratterà pertanto dei segmenti rilevanti, con riguardo al modello di gestione data protection, che devono necessariamente valutarsi per la predisposizione del modello per la conformità al D.lgs. 24/2023. Il Decreto prevede, come accennato, che l’obbligo di riservatezza debba garantirsi per mezzo di strumenti derivanti dal Reg. EU 679/2016.
Invero, al comma 2 dell’art. 12, è fissato il principio secondo il quale qualsiasi elemento da cui possa evincersi l’identità del segnalante non debba essere comunicato a persone diverse da quelle già autorizzate a riceverle nell’ambito della segnalazione. Unica deroga a tale principio risiederebbe nel consenso, prestato dal segnalante, per la comunicazione a soggetti diversi.
Il medesimo articolo, poi, rinvia espressamente agli artt. 29 e 32, par. 4, del GDPR e l’art.2-quaterdecies del D.lgs. 196/2003 per indicare i cd. incaricati o autorizzati al trattamento dei dati personali. Riferendosi a quei soggetti che, in virtù delle loro mansioni e compiti, vengono autorizzati dal Titolare del trattamento, o dal Responsabile del trattamento, a gestire i dati personali tramite apposite istruzioni a cui devono obbligatoriamente attenersi.
Già in questo primo passaggio è rinvenibile uno dei punti di contatto tra la normativa whistleblowing e quella data protection. Punto che, come per altri che analizzeremo nel seguito, prevede un intervento revisorio.
L’organizzazione deve infatti procedere con un’iniziale individuazione di quei soggetti, interni all’organizzazione, a cui siano deputate funzioni per la gestione dei canali di segnalazione.
Successivamente, nel documento di sintesi del modello di gestione per la normativa whistleblowing deve integrarsi un rinvio al modello di gestione data protection, per quel che riguarda la nomina di tali soggetti come incaricati/autorizzati al trattamento, la loro formazione specifica per le mansioni assunte e le relative istruzioni per l’assolvimento della funzione.
Non di meno, le istruzioni devono essere sostenute da un buon livello di formazione degli stessi che il Titolare del trattamento deve garantire. Formazione auspicabilmente verticalizzata, non solo su processi e temi propri della normativa sulla protezione dei dati personali, ma anche sulle declinazioni dei principi sottesi al GDPR nell’ambito della gestione delle segnalazioni. Con un evidente occhio di riguardo all’obbligo di riservatezza.
Tale tipologia di formazione è essenziale per procedere secondo i paradigmi imposti dalla normativa allorquando la gestione della segnalazione è affidata a soggetti interni all’organizzazione.

Esternalizzazione del servizio

A proposito invece di affidamento a soggetti esterni, anche in tale segmento è rinvenibile un ulteriore punto di contatto tra le discipline.
Il Decreto apre alla possibilità di affidare a soggetti esterni all’organizzazione alcuni segmenti del modello di gestione dei canali di segnalazione. Infatti, è possibile sia esternalizzare la fase di gestione per la valutazione della fondatezza della segnalazione sia affidarsi ad una piattaforma digitale, fornita da società specializzate, per gestire l’intero impianto di segnalazione.

In tali casi, in ossequio alla normativa per la protezione dei dati personali e in ordine alle azioni di conformità da intraprendere, deve valutarsi preliminarmente il livello di sicurezza del fornitore prima di procedere con l’affidamento e poi, al momento della scelta, sottoscrivere un data processing agreement (in ordine ai dettami dell’art. 28 del GDPR e, eventualmente, del provvedimento del Garante del 2008 relativo alla figura degli amministratori di sistema).

La valutazione iniziale deve certamente muovere, come espressamente previsto anche dalla normativa whistleblowing, dalla conduzione di una valutazione d’impatto (DPIA – data protection impact assessment) ai sensi dell’art. 35 del GDPR.
La valutazione d’impatto, sia chiaro, non deve condursi solo nella circostanza in cui l’organizzazione si avvalga di sistemi forniti da terzi, ma per qualsiasi modello organizzativo che l’ente decida di adottare (cfr. art. 13, comma 6, D. lgs 24/2023) per la conformità alla normativa whistleblowing.
Invero, come noto, la DPIA è uno strumento finalizzato a dimostrare la conformità alla normativa data protection di uno o più processi di trattamento, non solo per quelli automatizzati e come più volte ribadito, la segnalazione di illeciti è certamente assimilabile ad un trattamento di dati personali.

Nel caso di una piattaforma digitale fornita da un terzo, però, assume particolare importanza il complesso di misure di sicurezza tecniche adottate dal fornitore e previste nell’applicativo; la loro valutazione per la conformità globale (che soddisfi pertanto la normativa data protection e, in conseguenza, la normativa whistleblowing) è quanto mai essenziale.

Le Linee guida di ANAC offrono, per esempio, un interessante modello di comparazione quando descrive le misure di sicurezza della piattaforma informatica che lo stesso ente mette a disposizione per le cd. segnalazioni esterne.

Prescrive infatti ANAC che, in applicazione delle disposizioni dell’art. 7, comma 1 del D.lgs. 24/2023, l’uso di strumenti di crittografia e un sistema di autenticazione multifattoriale sono di per sé elementi idonei a garantire un livello di sicurezza sufficiente. Inoltre, la descrizione della piattaforma, nelle sue funzioni, è foriera di indicazioni sulle modalità per garantire l’osservanza dei principi previsti dal GDPR.
La valutazione preliminare deve quindi muovere dai riferimenti concernenti l’idoneità della sicurezza tecnica (cfr. artt. 25 per la progettazione del processo di trattamento dei dati personali incorporando i principi di privacy-by-design e by-default e 32 GDPR) ma si devono altresì considerare gli aspetti riguardanti la sicurezza intrapresa nell’alveo della stessa organizzazione (designazioni e istruzioni per il corretto trattamento) che, nei processi in outsourcing, il fornitore deve garantire e devono essere sanciti, come detto, in un accordo ai sensi dell’art. 28 del GDPR.

Data retention

Ulteriore elemento degno di rilievo concerne le logiche di data retention (conservazione dei dati personali). Il legislatore prevede nel Decreto precise metriche per la conservazione dei dati personali e per poter addivenire ad una loro corretta cancellazione.
L’art. 12, al comma 1, enuclea infatti un criterio guida (in ossequio ai principi di proporzionalità e minimizzazione sanciti dall’art. 5 del GDPR) secondo il quale le segnalazioni, ovvero qualsiasi dato e informazione afferente al segnalatore, la segnalazione ed eventuali segnalati, “non devono essere utilizzati oltre quanto necessario per dare adeguato seguito alle stesse”.
Strettamente connesso al principio enunciato dall’art. 12 predetto è la previsione sancita nell’art. 14. Invero questi fornisce un criterio temporale sull’uso dei dati della segnalazione. Infatti, il decreto whistleblowing prevede che le informazioni concernenti la segnalazione non debbano essere conservati per un periodo superiore ai 5 anni.
Tale indicazione temporale comporta conseguenze in ordine al modello data protection, tra cui la revisione delle informative e del registro dei trattamenti e la costruzione di processi interni di trattamento che facciano leva su logiche efficaci per la cancellazione del dato.

In conclusione, l’adozione di un modello di gestione per la conformità alla normativa whistleblowing, transita da una puntuale revisione del modello di gestione per la data protection.
Alla luce delle suddette osservazioni, appare quanto mai essenziale condurre qualsiasi operazione di conformità tramite logiche di integrazione tra i diversi modelli adottati per la gestione delle conformità normative e, più in generale, per la riduzione del rischio nei contesti d’impresa.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Modello di gestione whistleblowing: breve analisi per una compliance integrata

La gestione della segnalazione: riservatezza e tutela dei dati personali

Esternalizzazione del servizio

Data retention

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Di

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA