Whistleblowing e GDPR

Entro il 17 dicembre 2023 le PMI dovranno adeguarsi alla normativa Whistleblowing, adottando specifiche procedure aziendali in grado di salvaguardare un complesso equilibrio tra privacy e trasparenza all’interno dell’organizzazione aziendale, nel suo significato più ampio. Per le PMI, il rispetto del GDPR e l’implementazione di meccanismi di Whistleblowing sono passi fondamentali verso una gestione aziendale responsabile e trasparente: il GDPR mira, infatti, a proteggere la riservatezza dei dati personali degli interessati; la normativa Whistleblowing incoraggia la segnalazione di comportamenti scorretti, con lo scopo di creare un ambiente di integrità, fondato su valori etici condivisi. Nella pratica, però, combinare questi due profili richiede un’attenta valutazione di una molteplicità di parametri, per assicurare sia la conformità normativa sia un clima di fiducia all’interno delle organizzazioni imprenditoriali, tra di tutti gli interessati coinvolti.

Intersezioni tra GDPR e Whistleblowing

• Le procedure di Whistleblowing implicano la raccolta di dati personali, che devono, naturalmente, essere gestiti in linea con i principi del GDPR.
• Le PMI devono, quindi, sviluppare procedure di segnalazione adeguate alle loro peculiarità (dimensioni, settore di riferimento, risorse umane, competenze interne ed esterne, etc.), proteggendo, nel contempo, i diritti tanto dei segnalanti quanto delle persone coinvolte nella segnalazione.

Favorire un clima di trasparenza

• Fondamento della normativa Whistleblowing è creare un ambiente in cui i dipendenti (ma, più in generale, tutti gli stakeholders) si sentano liberi di segnalare comportamenti illeciti. Questo aspetto è essenziale e cruciale per il buon esito della normativa di cui al D.lgs. 24/2023.
• L’implementazione di sistemi di segnalazione anonimi e sicuri è certamente un tassello imprescindibile per costruire questa cultura di trasparenza, garantendo contestualmente il rispetto delle norme sul trattamento dei dati personali.

Gestione dei dati personali e processi interni

• La raccolta e la gestione dei dati personali dei soggetti coinvolti nelle segnalazioni deve rispettare i principi del GDPR, quali la minimizzazione dei dati, la limitazione della conservazione e l’accuratezza degli stessi.
• È, quindi, imprescindibile per le PMI comprendere in modo chiaro come rispettare entrambe le normative, attraverso una attenta valutazione dei processi interni.

Educazione e sensibilizzazione:

• La formazione del personale sulle procedure di Whistleblowing e gli aspetti GDPR connessi sarà cruciale per sviluppare una cultura di integrità all’interno delle PMI: solo in questo modo si potranno cogliere i benefici che questa normativa intende apportare nel sistema imprenditoriale.

Nella pratica concreta, per le PMI la normativa Whistleblowing implica, sotto il profilo privacy, individuare i più idonei autorizzati al trattamento delle segnalazioni; stabilire se affidare il canale di segnalazione ad un Responsabile del trattamento esterno (per esempio, una piattaforma on-line) oppure ad un consulente o, ancora, ad un ufficio interno appositamente formato. Significa, inoltre, predisporre idonee informative, adeguare il Registro dei trattamenti e, probabilmente in molti casi, svolgere una più che opportuna DPIA. Poiché ogni PMI ha caratteristiche e processi unici, che la distinguono da tutte le altre, è fondamentale che le procedure Whistleblowing siano concertate con l’ausilio del proprio legale di fiducia, che potrà consigliare la soluzione più efficace ed efficiente, tenuto conto delle peculiarità aziendali. Il connubio tra GDPR e Whistleblowing rappresenta sicuramente una sfida intrigante per le PMI. Con una gestione oculata delle segnalazioni e una robusta politica di protezione dei dati personali, le PMI, infatti, possono ambire, con verosimile successo, ad ottenere un virtuoso equilibrio tra trasparenza e riservatezza. Questo percorso, sebbene possa sembrare arduo e – forse – per molte PMI anche un costo di cui avrebbero ben fatto a meno, può divenire, se ben sviluppato, un investimento nel futuro etico e responsabile dell’azienda, con innegabili vantaggi reputazionali all’interno dello specifico tessuto economico e sociale in cui la specifica azienda opera.

La presente Newsletter ha il solo scopo di fornire aggiornamenti e informazioni di carattere generale. Non costituisce pertanto un parere legale né può in alcun modo considerarsi come sostitutiva di una consulenza legale specifica.

Per chiarimenti o informazioni potete contattare l’autore oppure il Vostro Professionista di riferimento all’interno dello Studio.

Alessandro Ronchi, Of Counsel
E: a.ronchi@nmlex.it
T.: +39 02 6575181

Pubblicato il: 08/11/2023