NEWS

Benvenuto, Ospite
Nome utente: Password: Ricordami
  • Pagina:
  • 1

ARGOMENTO:

La nuova normativa D.lgs. 24/2023 in materia di whistleblowing 1 Anno 1 Mese fa #2397

Mi permetto di inserirmi nella trattazione della questione per fornire ulteriori spunti alla discussione, avendo interesse alla materia.
La questione mi sembra rilevante per diverse sfaccettature, mi soffermerei qui i) all’efficace tutela (non solo privacy) del segnalante e ii) al perseguimento delle finalità istituzionali da parte delle diverse Authority coinvolte.
Farei tre casi ipotizzando che la carenza sia un inadeguato impianto da parte di una organizzazione del sistema whistleblowing tale da non tutelare la privacy (sanzionabile fino a 50.000 euro dall’ANAC ai sensi dell’art. 21 punto 1 lett. b del D Lgs 24 2023 - WB23 ma ben oltre ai sensi del GDPR):
a) interessamento diretto del Garante privacy: sarebbe presumibilmente una segnalazione ai sensi dell’art. 144 Codice privacy (ma secondo la fattispecie concreta potrebbe essere anche un reclamno ex art. 77) , senza però le tutele da ritorsioni per il segnalante ove venisse individuato;
b) segnalazione whistelblowing interna che, ritenuta attendibile dal gestore del canale di segnalazione, viene riportata all’autorità competente (dicono le Linee guida ANAC dello scorso luglio “è opportuno rivolgersi immediatamente agli organi preposti interni o enti/istituzioni esterne, ognuno secondo le proprie competenze”): ma individuandola nel Garante privacy o nell’ANAC?
c) segnalazione effettuata direttamente all’ANAC ricorrendone le condizioni previste dal WB23.
In via generale, l’art.24.4 del WB23, aggiornando l’art. 2-undecies comma 1 lett. f) del Codice privacy, prevede la limitazione dei diritti degli interessati normati dagli artt. da 15 a 22 del GDPR, quando da ciò possa derivare un pregiudizio al whistleblower. Quest’ultimo perdipiù gode della protezione da ritorsioni circa la segnalazioni fatte: ma tale ultima protezione non prevista per azioni direttamente effettuate ai sensi degli artt. 77 GDPR e 144 Codice privacy. Quindi da un punto di vista delle tutele individuali converrebbe denunciare lesioni alla privacy sotto l’ombrello del WB23.
Una ulteriore questione riguarda l’aspetto sanzionatorio per le inottemperanze alle previsioni WB23 da parte dei diversi soggetti tenuti a farlo. In argomento, il legislatore ha al riguardo previsto sanzioni fino a 50.000 euro (la direttiva europea all’uopo prevede all’art. 23 che le sanzioni debbano essere “effettive, proporzionate e dissuasive”: sono i medesimi aggettivi citati dall’art. 83 del GDPR che però, per le sanzioni amministrative pecuniarie, delinea importi massimi molto diversi per dimensione (come noto, a seconda delle fattispecie, fino a 10 e 20 mln di euro e, se maggiore, fino al 2% e al 4% del fatturato). Quindi anche per le organizzazioni converrebbe essere segnalate ai sensi del WB23 piuttosto che ai sensi del GDPR-Codice privacy.
In materia di whistleblowing il Garante, anche in tempi non lontani è intervenuto con alcuni pronunciamenti (precedenti al 15 luglio 2023). Da una analisi delle ultime sanzioni si può rilevare, se ben ricordo, come esse siano rimaste sotto la predetta soglia. Per il futuro ci sarà questo “allineamento” per inadempienze che potrebbero essere trattate o dall’ANAC o dal Garante?

Presumibilmente saranno le concrete fattispecie e i provvedimenti delle diverse Autorithy a poter consolidare nel tempo la materia del whistleblowing con riguardo al tema in esame e/o protocolli interistituzionali o innovazioni legislative.

Si prega Accedi o Crea un account a partecipare alla conversazione.

La nuova normativa D.lgs. 24/2023 in materia di whistleblowing 1 Anno 1 Mese fa #2394

  • Manuela Torresi
  • Avatar di Manuela Torresi Autore della discussione
  • Offline
  • Messaggi: 9
La nuova normativa  D.lgs. 24/2023 in materia di whistleblowing prevede, tra le violazioni che possono essere segnalate, anche le “non conformità” privacy. Sarebbe interessante valutare  la natura che queste "comunicazioni", che devono pervenire al Garante Privacy, possono assumere.  Sono reclami ai sensi dell' art 77 del GDPR o segnalazioni ai sensi del' art 144 del Codice Privacy? E quali effetti determinano? 
Ritengo che la questione abbia una rilevanza non trascurabile considerando che: 
nel primo caso, l' autorità Garante, dopo averla ricevuto la comunicazione dal gestore della segnalazione interna o dall’ANAC, dovrebbe emettere una decisione entro nove mesi dalla data di presentazione e, in ogni caso, entro tre mesi dalla predetta data, dovrebbe informare l’interessato sullo stato del procedimento; 
nel secondo caso l' autorità garante non avrebbe alcun onere, essendo solo stimolata ad esercitare i poteri stabiliti dall’art. 58 del GDPR che può, comunque, esercitare d’ufficio, a prescindere dalla segnalazione.

Inoltre, se prendiamo in considerazione l' art 13, comma 2 del D.lgs. 24/2023,un whistleblower che inoltri su canale di segnalazione interna o esterna la “comunicazione” di una violazione privacy, in teoria, potrebbe beneficiare delle misure di protezione garantite dal D.lgs. 24/2023 per un tempo indeterminato. Anche questo scenario andrebbe approfondito considerando la gravità che potrebbe assumere sull' organizzazione pubblica o privata, nel caso in cui la violazione privacy segnalata dal whistleblower sia oggettivamente insussistente e lo stesso whistleblower agisca in modo pretestuoso, solo per ottenere vantaggi dal sistema di protezione fissato dal D.lgs. 24/2023.
Grazie a tutti.

Si prega Accedi o Crea un account a partecipare alla conversazione.

  • Pagina:
  • 1
Tempo creazione pagina: 0.555 secondi

Il presidente di Federprivacy a Rai Parlamento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy