Gli gli adempimenti in ambito Privacy sono molto importanti anche per gli enti del Terzo settore. Marco Favagrossa, in questo articolo dedicato alla raccolta che stiamo curando in collaborazione con il Master Promotori del Dono dell'Università dell'Insubria, ci parla di alcuni aspetti da tenere d'occhio.
Con il D.lgs. 10 marzo 2023 n. 24, l’Italia ha dato attuazione alla Direttiva UE 2019/1937 del Parlamento europeo e del Consiglio che intende tutelare il processo di Whistleblowing.
A tal proposito meritano attenzione gli adempimenti in ambito Privacy relativi alla tutela del segnalante e alla gestione della segnalazione.
Innanzitutto si specifica che la suddetta disciplina si applica:
- ad enti del settore pubblico (ad esempio pubbliche amministrazioni, autorità amministrative indipendenti, enti pubblici economici, società in controllo pubblico, società in house anche se quotate, altri enti di diritto privato in controllo pubblico tra cui associazioni, fondazioni e enti di diritto privato comunque denominati, organismi di diritto pubblico, concessionari di pubblico servizi);
- ad enti del settore privato (ad esempio soggetti privati che hanno impiegato nell’ultimo anno la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato, soggetti del settore privato che rientrano nell’ambito di applicazione del d.lgs. n. 231/2001 che abbiano o non abbiano impiegato la media di almeno cinquanta dipendenti nell’ultimo anno).
Come specificato all’art. 3 del decreto tra i destinatari della norma ci sono anche le imprese del settore privato che non abbiano adottato un modello organizzativo 231 ma che si occupino di alcuni specifici settori (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato.
L’art. 24 comma 2 posticipa gli obblighi in materia al 17 dicembre 2023 per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a 249 dipendenti.
L’art. 13 riguarda esplicitamente il “Trattamento dei dati personali” nell’ambito del processo di segnalazione ed a quest’ultimo estende le tutele del GDPR e del Codice Privacy.
Da segnalare che al comma 2 dell’art. 13 si precisa che i dati non utili alla segnalazione debbano essere immediatamente cancellati, richiamando il principio di minimizzazione di cui all’art. 5 del GDPR.
Vengono inoltre richiamati i diritti degli interessati (descritti negli articoli da 15 a 22 del GDPR) seppure deve essere tenuto in considerazione che l’art. 2 undecies (punto f) del Codice Privacy introduce eccezioni all’esercizio dei diritti a tutela della “riservatezza dell'identità della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte” e quindi queste eccezioni sono applicabili proprio nella fattispecie di segnalazione.
Viene definito che il soggetto che riceve la segnalazione (OdV, datore di lavoro, RPCT o soggetto esterno delegato alla gestione delle segnalazioni) agisce in qualità di titolare del trattamento ed è tenuto a fornire specifica informativa ai segnalanti (come previsto dall’art. 13 del GDPR) così come per ogni altro tipo di trattamento.
Il titolare del trattamento è inoltre tenuto:
- ad attuare idonee misure tecniche e organizzative volte ad evitare che si verifichino rischi per i
- diritti e le libertà degli interessati,
- a tutelare la riservatezza delle informazioni,
- a nominare gli incaricati al trattamento, sulla base dello svolgimento di una valutazione d’impatto ai sensi dell’art. 35 del GDPR che prenda in considerazione anche i rischi introdotti dai fornitori che partecipano al processo di segnalazione.
L’art. 14 del Decreto legislativo n. 24/2023 prevede che le segnalazioni, interne ed esterne, nonché la relativa documentazione, debbano essere conservate, nel rispetto del principio di limitazione della conservazione “per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione”.
Sussiste inoltre la necessità di aggiornare il registro delle attività di trattamento di cui all’art. 30 del GDPR.
Per i soggetti del settore privato che hanno impiegato, nell'ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a 249, l'obbligo di istituzione del canale di segnalazione interna ha effetto a decorrere dal 17 dicembre 2023.