D. Lgs. n.24/2023: obbligo di istituire un canale interno di segnalazione di un illecito nell’ambito del contesto lavorativo (whistleblowing)

 

Argonavis può oggi supportare le aziende e gli enti, pubblici e privati, che devono adempiere agli obblighi del Decreto Legislativo Italiano di attuazione n.24 del 10 marzo 2023 relativi al whistleblowing. Il decreto è entrato in vigore il 30 marzo 2023 e le disposizioni ivi previste sono efficaci dal 15 luglio 2023. 

Solo per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a 249, l’obbligo di istituire un canale interno di segnalazione decorre dal 17 dicembre 2023.

La protezione dei segnalanti operanti nel settore privato, prevista dal D.lgs. n. 24/2023, impone l’obbligo di predisporre canali di segnalazione a carico di quegli enti del medesimo settore che soddisfano almeno una delle seguenti condizioni*:

  • hanno impiegato, nell’ultimo anno, la media di almeno cinquanta lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato;
  • si occupano di alcuni specifici settori (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • adottano i modelli di organizzazione e gestione di cui al decreto legislativo 231/2001, anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato. 

L’obbligo di predisporre i canali di segnalazione interna grava altresì sui seguenti soggetti del settore pubblico:

  • le amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165
  • le autorità amministrative indipendenti di garanzia, vigilanza o regolazione
  • gli enti pubblici economici, gli organismi di diritto pubblico di cui all’articolo 3, comma 1, lettera d), del decreto legislativo 18 aprile 2016, n. 50
  • i concessionari di pubblico servizio, le società a controllo pubblico e le società in house, così come definite, rispettivamente, dall’articolo 2, comma 1, lettere m) e o), del decreto legislativo 19 agosto 2016, n. 175, anche se quotate.

Le violazioni possono essere comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato e che consistono in:

  • illeciti amministrativi, contabili, civili o penali; 
  • condotte illecite rilevanti ai sensi del decreto legislativo 231/2001, o violazioni dei modelli di organizzazione e gestione ivi previsti;
  • illeciti che rientrano nell’ambito di applicazione degli atti dell’Unione europea o nazionali relativi ai seguenti settori: appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi;
  • atti od omissioni che ledono gli interessi finanziari dell’Unione; 
  • atti od omissioni riguardanti il mercato interno; 
  • atti o comportamenti che vanificano l’oggetto o la finalità delle disposizioni di cui agli atti dell’Unione.

L’ANAC, l’Autorità Nazionale Anti Corruzione, in caso di inadempienza, può applicare sanzioni da 10.000 a 50.000 euro quando accerta che non sono stati istituiti canali di segnalazione, che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni ovvero che l’adozione di tali procedure non è conforme a quella richiesta dalla legge, nonché quando accerta che non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute.

La piattaforma per il whistleblowing proposta da Argonavis, sviluppata da un Partner, è conforme allo standard ISO 37002, alla Direttiva UE 2019/1937 e al Decreto Legislativo Italiano di attuazione n.24 del 10 marzo 2023; grazie a politiche di conservazione di dati aderenti al GDPR, consente ai segnalatori di condividere dati criptati restando nell’anonimato; gli indirizzi IP da cui parte la segnalazione, infatti, non vengono registrati.

L’interfaccia, accessibile via web, permette all’utente di inserire agevolmente la propria segnalazione, scritta o orale, e al ricevente di analizzare, categorizzare e gestire ogni caso con semplicità.

Con la piattaforma, vengono gestite entro i termini di legge sia la conferma della ricezione della segnalazione (entro 7 giorni dalla medesima) sia il riscontro alla segnalazione (entro 3 mesi dall’avviso del ricevimento). Le segnalazioni e i relativi follow up vengono archiviati per almeno 5 anni.

Per ulteriori informazioni: dircom@argonavis.it

*Fonte: sito ANAC, www.anticorruzione.it

 

 

 

20 Ottobre 2023

Email aziendale: il collaboratore esterno ha gli stessi diritti del dipendente

 
 
Tratto da www.garanteprivacy.it – GPDP Newsletter del 19/05/2022
 
 
Il Garante sanziona un’azienda per 50.000 euro
 
 
 

Il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati e il datore di lavoro deve rispettarne i diritti, le libertà fondamentali e la reputazione professionale.

Questo il principio ribadito dal Garante, che, a seguito di un reclamo, ha imposto ad una società la sanzione di 50.000 euro per aver gestito l’account di posta aziendale di una collaboratrice esterna in violazione delle norme sulla privacy.

La società senza alcun preavviso né comunicazione successiva, aveva inibito alla dipendente l’accesso al suo account, utilizzato per le relazioni commerciali, account che risultava però ancora attivo.
La lavoratrice infatti continuava a ricevere sul suo computer e sul telefono gli avvisi e le richieste di immettere la nuova password di accesso, che era stata cambiata da remoto a sua insaputa.

L’interessata aveva provveduto a segnalare l’accaduto alla Società, chiedendo il tempestivo ripristino della casella di posta, che conteneva comunicazioni di lavoro e personali, ma non avendo ricevuto risposta si era rivolta al Garante.

A seguito dell’accertamento ispettivo, effettuato su mandato dell’Autorità dal Nucleo Speciale Privacy della Guardia di Finanza, e della chiusura dell’istruttoria, l’Autorità ha ribadito gli obblighi informativi e quelli di corretta e trasparente gestione della casella di posta aziendale a carico della Società, precisando che il fatto che la reclamante fosse un’agente e non una lavoratrice subordinata non rilevava ai fini della necessità di tali adempimenti.

Numerose le violazioni contestate all’azienda: omesso riscontro alla richiesta di informazioni del Garante, inosservanza del principio di limitazione della conservazione dei dati, mancata documentazione del rilascio di un’idonea informativa, mancata risposta all’istanza dell’interessata e inibizione del suo account aziendale. Rilevati gli illeciti, il Garante ha comminato alla Società una sanzione di 50.000 euro.

L’azienda dovrà inoltre consentire alla lavoratrice di accedere alla propria casella di posta per recuperare la sua corrispondenza e disattivare l’account informando clienti e fornitori con indirizzi alternativi. La società non potrà trattare i dati estratti dalla casella di posta, se non per la tutela dei diritti in sede giudiziaria e solo per il tempo necessario a tale scopo e dovrà garantire un tempestivo riscontro all’esercizio dei diritti di tutti i suoi lavoratori, rilasciando loro un’idonea, preventiva e documentata informativa sul trattamento dei dati personali, incluso l’utilizzo di Internet e della posta elettronica aziendale.

20 Maggio 2022

Whistleblowing senza privacy: Garante sanziona ospedale e società informatica

 
 
Tratto da www.garanteprivacy.it – GPDP Newsletter del 11/05/2022
 
 

PA e imprese devono prestare la massima attenzione nell’impostazione e gestione dei sistemi di whistleblowing, garantendo la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite. Lo ha ribadito il Garante per la privacy che ha sanzionato un’azienda ospedaliera e la società informatica che gestiva il servizio per denunciare presunte attività corruttive o altri comportamenti illeciti all’interno dell’ente.

L’istruttoria dell’Autorità nasce nell’ambito di un ciclo di attività ispettive sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, in particolare quelli più utilizzati in Italia dai datori di lavoro.

Dai controlli effettuati presso un’azienda ospedaliera sono emerse diverse violazioni del Gdpr. L’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.

La struttura sanitaria non aveva poi provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto privacy e non aveva neppure inserito tali operazioni nel registro delle attività di trattamento, strumento utile per valutare i rischi per i diritti e le libertà degli interessati. È infine emersa una non corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (Rpct), durante la fase di transizione con il suo successore.

Nel corso dei controlli sono emersi ulteriori illeciti imputabili alla società informatica che, in qualità di responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing. La società si era infatti avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria. Aveva poi utilizzato il medesimo servizio di hosting anche per proprie finalità, ad esempio per la gestione del rapporto di lavoro con i dipendenti o la gestione contabile e amministrativa, anche in questo caso senza regolare il rapporto e l’uso dei dati.

Il Garante, tenendo conto della piena collaborazione offerta nel corso dell’istruttoria anche per sanare i problemi rilevati, ha comminato sia alla struttura sanitaria sia alla società informatica una sanzione di 40.000 euro. Ha inoltre concesso 30 giorni alla società informatica per adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali.

12 Maggio 2022

Blog & News

Categorie