Guida pratica per le aziende sulla nuova direttiva GDPR

Gli aggiornamenti introdotti quest’anno in materia di protezione dei dati rivolgono specifica attenzione a contenuti, tempi e modalità in cui il titolare del trattamento dei dati deve:

Fornire l’informativa privacy all’interessato
Notificare al Garante le violazioni
Nominare un Responsabile della protezione dei dati

Oltre a ciò, vengono anche riconosciuti importanti diritti, tra cui:

Il diritto alla portabilità (si possono trasferire i propri dati da un responsabile del trattamento ad un altro, compresi i social network)
Il diritto all’oblio (non riproporre informazioni personali non più necessarie alle finalità iniziali)

Una sostanziale integrazione al Regolamento GDPR è rappresentata dalla cosiddetta “Direttiva Whistleblowing”.

Che cos’è la nuova direttiva WB

Il Consiglio dei Ministri ha approvato ufficialmente il decreto 24/2023 che recepisce la Direttiva UE 2019/1937, comunemente nota come “Direttiva Whistleblowing”.

Con il termine ‘whistleblowing’ si intende la rivelazione da parte di un soggetto di un illecito commesso all’interno di un determinato ente o azienda. Il soggetto che segnala, in via del tutto anonima e su un apposito portale, l’illecito ne deve essere venuto a conoscenza durante l’esercizio delle sue funzioni.

Quali sono gli obblighi previsti?

Questa particolare e importante normativa prevede diversi obblighi specifici:

Nominare una persona interna all’azienda (o un team) a cui affidare la gestione del canale di segnalazione WB

Scegliere una e-mail dedicata alle segnalazioni, che leggerà solo il responsabile alla gestione del WB (es: whistleblowing@azienda.it)
Scrivere il documento di nomina della persona
Redigere un manualetto per informarlo e formarlo in materia WB
Registrarsi in una piattaforma “interna” per le segnalazioni
Aggiornare il manualetto in base alla piattaforma “interna” prescelta
Indicare nel manualetto l’esistenza anche della piattaforma “esterna” per le segnalazioni (es: https://whistleblowing.anticorruzione.it, che è il sito ufficiale ANAC, colui che controlla ed emana sanzioni)
Scrivere l’informativa da far leggere ai dipendenti e da pubblicare sul sito ed in bacheca
Aggiornare il Modello Organizzativo Privacy (MOP); adesso c’è una nuova banca dati ed un nuovo trattamento. Le segnalazioni vanno gestite con estrema cura, perché anche se il mittente è anonimo, non è detto che il segnalato lo sia.
Se arrivano delle segnalazioni, la risposta deve avvenire entro 7 giorni e le azioni entro 90 giorni

Che cosa è possibile segnalare?

I principali obiettivi sono quelli di mantenere un ambiente aziendale trasparente e di garantire dei comportamenti corretti sul posto di lavoro. Per raggiungere ciò, è possibile segnalare:

Illeciti rilevanti per la normativa UE (es: appalti pubblici, sicurezza e conformità dei prodotti, sicurezza dei trasporti etc.)
Condotte illecite ai sensi della 231/01 e violazione dei Modelli Organizzativi previsti dal GDPR
Violazioni riguardanti la libera circolazione di persone, merci e capitali
Illeciti amministrativi, contabili, civili e penali
Illeciti lesivi degli interessi finanziari UE
Atti e comportamenti elusivi

Chi può inviare delle segnalazioni?

In generale, tutte le persone che hanno o hanno avuto a che fare con una determinata organizzazione o ente possono segnalare illeciti o comportamenti elusivi, che siano essi clienti, dipendenti, fornitori, collaboratori.

Quali aziende devono rispettare questa integrazione al GDPR?

La nuova direttiva si applica a tutti i datori di lavoro, indipendentemente dal fatto che abbiano o meno implementato il Modello Organizzativo 231 (MOG).

Nella fattispecie, la normativa è obbligatoria per tutte quelle aziende che hanno: