È stato pubblicato sulla Gazzetta Ufficiale n. 63 del 15 marzo 2023, il Decreto Legislativo 10 marzo 2023 n. 24, recante “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” c.d. Whistleblowing.
Il Decreto Legislativo in parola ha disposto, con l’art. 23, l’abrogazione dei commi 2-ter e 2-quater dell’articolo 6 del D. Lgs. 231/2001 e, con l’art. 24, la sostituzione del comma 2-bis del medesimo articolo 6 del D. Lgs. 231/2001 che ora recita: “I modelli di cui al comma 1, lettera a), prevedono, ai sensi del decreto legislativo attuativo della direttiva (UE)2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, i canali di segnalazione interna, il divieto di ritorsione e il sistema disciplinare, adottato ai sensi del comma 2, lettera e)”.
Il Decreto Legislativo entrerà in vigore il 30 marzo 2023, tuttavia le disposizioni avranno effetto a decorrere dal 15 luglio 2023.
Per il settore privato, alle segnalazioni o alle denunce all’autorità giudiziaria o contabile effettuate precedentemente alla data di entrata in vigore del decreto, nonché a quelle effettuate fino al 14 luglio 2023, continuano ad applicarsi le disposizioni di cui all’articolo 6, commi 2-bis, 2-ter e 2-quater, del decreto legislativo n. 231 del 2001 e all’articolo 3 della legge n.179 del 2017.
Inoltre, per i soggetti del settore privato che hanno impiegato nell’ultimo anno una media di lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato fino a 249, l’obbligo di istituzione del canale di segnalazione interna ai sensi del decreto ha effetto a decorrere dal 17 dicembre 2023 e, fino ad allora, continuerà ad applicarsi l’articolo 6, comma 2-bis, lettere a) e b), del D. Lgs. 231/2001, nella formulazione vigente fino alla data di entrata in vigore del Decreto.
Un aspetto rilevante della modifica è relativo alla protezione dei dati personali dei whistleblower, dei segnalati e di eventuali terze persone coinvolte. Tale aspetto è preso in considerazione ponendo attenzione a:
- ruolo delle persone competenti a ricevere o a dare seguito alle segnalazioni,
- tempistiche di conservazione.
Con riferimento al primo punto viene definito che il ruolo di tali persone, nell’ambito del soggetto obbligato ad adempiere che è titolare, è quello di autorizzato.
Con riferimento alle tempistiche, confermando una impostazione già condivisa al Garante è stato precisato che “Le segnalazioni, interne ed esterne, e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui all’articolo 12 del presente decreto e del principio di cui agli articoli 5, paragrafo 1, lettera e), del regolamento (UE) 2016/679 e 3, comma 1, lettera e), del decreto legislativo n. 51 del 2018”.
Alla luce delle considerazioni sinteticamente riportate risulta necessario provvedere ad adottare (o comunque a rivedere) i seguenti presidi di compliance:
- informativa privacy, con riguardo alle tempistiche di conservazione, base di legittimità e limitazione nell’esercizio dei diritti degli interessati;
- policy interna relativa ai tempi di conservazione;
- registro dei trattamenti nell’ambito del trattamento di whistleblowing;
- valutazione di impatto ex art. 35 del GDPR;
- nomina a Responsabile del trattamento (ove presente).