Whistleblowing: gli obblighi per le aziende private
Da qualche tempo sono entrati in vigore anche per le aziende private gli obblighi connessi al rispetto della normativa a protezione dei dipendenti che denunciano illeciti di cui sono testimoni sul proprio posto di lavoro ossia al cosiddetto “whistleblowing” , normato dal D.Lgs. n. 24/2023.
Come avviene normalmente, a ridosso delle scadenze previste dalla normativa, lo studio è bombardato di telefonate da clienti e colleghi per avere lumi sul da farsi, per cui, per evitare al sottoscritto problemi relazionali e alla segretaria la gastrite, di seguito fornisco l’elenco delle scadenze per l’implementazione delle misure connesse alla normativa , scadenze differenti in relazione alla dimensione aziendale o settore operativo del datore di lavoro:
1. aziende con 250 dipendenti, dovevano già averlo fatto entro il 15 luglio 2023;
2. aziende con almeno 50 dipendenti, devono mettersi in regola entro il 17 dicembre 2023;
3. aziende od operatori dei servizi finanziari ( a mio avviso anche organizzati in forma di STP) , indipendentemente dal numero degli occupati entro il 17 dicembre 2023;
4. società con modello organizzativo D. Lgs 231/2001, indipendentemente dal numero degli occupati, entro il 17 dicembre 2023.
Come tante norme che riguardano il mondo digitale, ovviamente il decreto non fornisce indicazioni specifiche in relazione ai criteri di calcolo dei dipendenti medi. Personalmente, in ossequio al principio analogico, uso i criteri previsti per altri istituti, per cui, in via prudenziale, conto i lavoratori subordinati a tempo indeterminato e pieno , i lavoratori con rapporto part-time (“pro-quota” secondo le indicazioni dell’art. 9 del D.L.vo n. 81/2015), i lavoratori con rapporto a tempo determinato e i lavoratori cd “intermittenti”.
Per non farci mancare niente e visto che siamo ad Halloween, in forza della normativa citata, in ottica GDPR, ma anche in ottica 2086,2° comma, grava sulle aziende titolari del trattamento dei dati l’obbligo di eseguire una valutazione di impatto sulla protezione dei dati .
Ai sensi del comma 6 dell’art. 13 del Decreto Whistleblowing stabilisce infatti che i soggetti obbligati “[omissis] definiscono il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base di una valutazione d’impatto sulla protezione dei dati, e disciplinando il rapporto con eventuali fornitori esterni che trattano dati personali per loro conto ai sensi dell’articolo 28 del regolamento (UE) 2016/679 o dell’articolo 18 del decreto legislativo n. 51 del 2018”.
La norma é estremamente chiara e non lascia adito a dubbi di sorta.
Raffaele Mantovani