A cura di Eugenia Canistro – Avvocato & Privacy Officer
Oggi vogliamo condividere con voi uno dei nostri casi whistleblowing. Dall’entrata in vigore del Decreto 24/2023 di cui abbiamo parlato nel nostro precedente articolo e dalla scadenza del primo termine perentorio per alcune aziende per adeguarsi alla nuova normativa, il 15 luglio 2023, abbiamo affiancato le aziende nel processo di implementazione delle prescrizioni richieste dal Decreto.
La protezione dei dati e gli adempimenti correlati sono tenuti in grande considerazione dal Decreto che dedica loro ampio spazio. Anche le Line Guida emanate da ANAC e pubblicate il 14 luglio 2023 attenzionano le prescrizioni in materia di protezione dei dati e questo perché il trattamento dei dati sotteso alle segnalazioni whistleblowing è di fatto un trattamento delicato.
L’azienda di cui vi parliamo oggi è un’importante azienda del territorio riminese operante nell’ambito sociosanitario. Un’azienda con la quale collaboriamo da numerosi anni e che affianchiamo quotidianamente nella gestione degli adempimenti in materia di protezione dei dati personali, anche in considerazione della delicatezza dei dati trattati, per la natura del proprio core business.
L’azienda rientra tra quelle tenute all’adempimento alla predetta normativa entro il termine del 15 luglio 2023, registrando più di trecento dipendenti nel proprio organico.
COSA FARE PER ADEMPIERE ALLA NORMATIVA WHISTLEBLOWING
Abbiamo quindi dato inizio alle operazioni di implementazione del canale di segnalazione whistleblowing ottimale per la loro struttura e le loro esigenze. Soprattutto sono stati presi in considerazione diversi parametri tra i quali: la frequenza delle segnalazioni whistleblowing ricevute negli anni precedenti e precisamente da quando l’azienda ha implementato un Modello organizzativo 231/2001 e ai sensi, quindi, della vecchia normativa whistleblowing (L. 179/2017).
Abbiamo anche preso in considerazione l’organizzazione interna dell’azienda e le risorse che si sarebbero potute occupare della gestione delle segnalazioni.
La normativa prima e le Linee Guida ANAC poi, prevedono che il personale delegato alla gestione delle segnalazioni whistleblowing sia “dedicato”, ovvero che abbia il tempo utile per occuparsi del processo e, soprattutto, che sia formato in tal senso.
Parte della procedura è stata esternalizzata ad un fornitore esterno che fornisce una piattaforma dedicata per la gestione del canale. Sebbene la normativa non obblighi l’utilizzo di un software gestionale dedicato alle segnalazioni whistleblowing le Linee Guida ANAC e numerosi esperti del settore compliance si sono espressi per la non completa conformità di un canale di segnalazione e-mail, ad esempio.
Abbiamo quindi valutato insieme al nostro cliente diversi fornitori di software. L’analisi delle prestazioni del software è un processo fondamentale nell’ambito dell’implementazione di una procedura whistleblowing. Abbiamo approfondito le misure di sicurezza garantite dal software tra cui: la crittografia delle comunicazioni, la sicurezza dei canali utilizzati per il transito dei dati, la localizzazione dei server sui quali poggia la piattaforma, le procedure di backup garantite dal fornitore, l’accessibilità dei dati contenuti nei repository di backup, ecc..
REDAZIONE DELLA VALUTAZIONE D’IMPATTO (DPIA)
A valle della scelta abbiamo dato inizio ai lavori di redazione della Valutazione d’impatto (DPIA) prevista dal Decreto e volta ad analizzare i rischi per i diritti degli interessati sottesi al trattamento whistleblowing.
La DPIA deve contenere diversi requisiti che sono volti ad analizzare, in un’ottica di accountability del Titolare del trattamento, i rischi ai quali sono esposti i diritti e le libertà degli interessati per via del trattamento svolto.
È importante, quindi, prendere in considerazione l’impatto che il trattamento potrebbe avere su diritti come la riservatezza, la tutela della posizione lavorativa del dipendente, la garanzia della conservazione del rapporto di fornitura – qualora il segnalante sia un fornitore e non un dipendente – la conservazione del rapporto associativo, qualora il segnalante sia un socio della società (tipico, ovviamente, delle società cooperative), ecc.
La valutazione d’impatto sui trattamenti whistleblowing deve analizzare, almeno, a nostro avviso, tutto il processo di gestione del dato contenuto all’interno di una segnalazione e non limitarsi ad analizzare esclusivamente il canale di segnalazione principale (tendenzialmente quello tecnologico).
La DPIA dovrà essere poi conservata presso la sede del Titolare o dove quest’ultimo lo riterrà opportuno; dovrà essere periodicamente rivista alla luce di eventuali modifiche alla procedura di segnalazione.
Gli adempimenti privacy relativi alla gestione di un canale whistleblowing non si esauriscono con la redazione di una valutazione d’impatto ma si estendono ad altri aspetti relativi alla protezione dei dati che devono essere attenzionati e di cui abbiamo parlato nel nostro primo articolo sull’argomento.
Oppure contattaci per richiedere informazioni
A cura di Eugenia Canistro – Avvocato & Privacy Officer
Oggi vogliamo condividere con voi uno dei nostri casi whistleblowing. Dall’entrata in vigore del Decreto 24/2023 di cui abbiamo parlato nel nostro precedente articolo e dalla scadenza del primo termine perentorio per alcune aziende per adeguarsi alla nuova normativa, il 15 luglio 2023, abbiamo affiancato le aziende nel processo di implementazione delle prescrizioni richieste dal Decreto.
La protezione dei dati e gli adempimenti correlati sono tenuti in grande considerazione dal Decreto che dedica loro ampio spazio. Anche le Line Guida emanate da ANAC e pubblicate il 14 luglio 2023 attenzionano le prescrizioni in materia di protezione dei dati e questo perché il trattamento dei dati sotteso alle segnalazioni whistleblowing è di fatto un trattamento delicato.
L’azienda di cui vi parliamo oggi è un’importante azienda del territorio riminese operante nell’ambito sociosanitario. Un’azienda con la quale collaboriamo da numerosi anni e che affianchiamo quotidianamente nella gestione degli adempimenti in materia di protezione dei dati personali, anche in considerazione della delicatezza dei dati trattati, per la natura del proprio core business.
L’azienda rientra tra quelle tenute all’adempimento alla predetta normativa entro il termine del 15 luglio 2023, registrando più di trecento dipendenti nel proprio organico.
COSA FARE PER ADEMPIERE ALLA NORMATIVA WHISTLEBLOWING
Abbiamo quindi dato inizio alle operazioni di implementazione del canale di segnalazione whistleblowing ottimale per la loro struttura e le loro esigenze. Soprattutto sono stati presi in considerazione diversi parametri tra i quali: la frequenza delle segnalazioni whistleblowing ricevute negli anni precedenti e precisamente da quando l’azienda ha implementato un Modello organizzativo 231/2001 e ai sensi, quindi, della vecchia normativa whistleblowing (L. 179/2017).
Abbiamo anche preso in considerazione l’organizzazione interna dell’azienda e le risorse che si sarebbero potute occupare della gestione delle segnalazioni.
La normativa prima e le Linee Guida ANAC poi, prevedono che il personale delegato alla gestione delle segnalazioni whistleblowing sia “dedicato”, ovvero che abbia il tempo utile per occuparsi del processo e, soprattutto, che sia formato in tal senso.
Parte della procedura è stata esternalizzata ad un fornitore esterno che fornisce una piattaforma dedicata per la gestione del canale. Sebbene la normativa non obblighi l’utilizzo di un software gestionale dedicato alle segnalazioni whistleblowing le Linee Guida ANAC e numerosi esperti del settore compliance si sono espressi per la non completa conformità di un canale di segnalazione e-mail, ad esempio.
Abbiamo quindi valutato insieme al nostro cliente diversi fornitori di software. L’analisi delle prestazioni del software è un processo fondamentale nell’ambito dell’implementazione di una procedura whistleblowing. Abbiamo approfondito le misure di sicurezza garantite dal software tra cui: la crittografia delle comunicazioni, la sicurezza dei canali utilizzati per il transito dei dati, la localizzazione dei server sui quali poggia la piattaforma, le procedure di backup garantite dal fornitore, l’accessibilità dei dati contenuti nei repository di backup, ecc..
REDAZIONE DELLA VALUTAZIONE D’IMPATTO (DPIA)
A valle della scelta abbiamo dato inizio ai lavori di redazione della Valutazione d’impatto (DPIA) prevista dal Decreto e volta ad analizzare i rischi per i diritti degli interessati sottesi al trattamento whistleblowing.
La DPIA deve contenere diversi requisiti che sono volti ad analizzare, in un’ottica di accountability del Titolare del trattamento, i rischi ai quali sono esposti i diritti e le libertà degli interessati per via del trattamento svolto.
È importante, quindi, prendere in considerazione l’impatto che il trattamento potrebbe avere su diritti come la riservatezza, la tutela della posizione lavorativa del dipendente, la garanzia della conservazione del rapporto di fornitura – qualora il segnalante sia un fornitore e non un dipendente – la conservazione del rapporto associativo, qualora il segnalante sia un socio della società (tipico, ovviamente, delle società cooperative), ecc.
La valutazione d’impatto sui trattamenti whistleblowing deve analizzare, almeno, a nostro avviso, tutto il processo di gestione del dato contenuto all’interno di una segnalazione e non limitarsi ad analizzare esclusivamente il canale di segnalazione principale (tendenzialmente quello tecnologico).
La DPIA dovrà essere poi conservata presso la sede del Titolare o dove quest’ultimo lo riterrà opportuno; dovrà essere periodicamente rivista alla luce di eventuali modifiche alla procedura di segnalazione.
Gli adempimenti privacy relativi alla gestione di un canale whistleblowing non si esauriscono con la redazione di una valutazione d’impatto ma si estendono ad altri aspetti relativi alla protezione dei dati che devono essere attenzionati e di cui abbiamo parlato nel nostro primo articolo sull’argomento.