Partiamo chiarendo il significato che si cela dietro la parola whistleblowing: il termine, di origine anglosassone, significa, letteralmente, suonare il fischietto.

In ambito privacy, il termine è una metafora del ruolo assunto da chi richiama l’attenzione su possibili illeciti o violazioni occorse all’interno dell’azienda, affinché vengano fermate.

Il “whistleblower” è quindi una persona (dipendente, lavoratore autonomo, collaboratore, consulente, volontario, tirocinante o azionista) che, dopo aver notato un possibile illecito, violazione, frode o un pericolo durante la propria attività lavorativa  o durante il processo di selezione, di prova o successivamente allo scioglimento del rapporto di lavoro, presso l’azienda, decide di segnalare tali circostanze a quest’ultima.

Whistleblowing: cosa prevede la normativa in Italia

In Italia la regolamentazione del whistleblowing ha subito una svolta grazie al decreto legislativo 10 marzo 2023 n. 24 pubblicato sulla Gazzetta Ufficiale Serie Generale n. 63 del 15 marzo 2023.

Il presente Decreto ha infatti introdotto l’obbligo di istituire i canali di segnalazione interna conformi, in grado di tutelare la riservatezza dei segnalanti, per i seguenti enti pubblici e privati:

1. Enti pubblici di cui all’art 2 comma 1 let. p) del suddetto decreto legislativo; 
2. Aziende private che hanno impiegato, nell’ultimo anno, la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato e determinato;
3. Aziende che rientrano nell’ambito di applicazione degli atti dell’Unione di cui alle parti I.B e II dell’Allegato (ovvero nei c.d.Settori sensibili: servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente) anche se, nell’ultimo anno, NON HANNO RAGGIUNTO LA MEDIA DI ALMENO 50 LAVORATORI SUBORDINATI;
4. Aziende che rientrano nell’ambito di applicazione del Dlgs 231/2001 e hanno adottato modelli di organizzazione anche se, nell’ultimo anno, NON HANNO ADOTTATO NELL’ULTIMO ANNO LA MEDIA DI 50 LAVORATORI SUBORDINATI.

DIVERSI REGIMI DI ENTRATA IN VIGORE DEL DECRETO

dal 15 luglio 2023, per tutti gli enti pubblici e per gli enti privati che hanno impiegato, nell’ultimo anno, la media di 250 o più lavoratori subordinati;

dal 17 dicembre 2023 per i soggetti privati hanno impiegato, nell’ultimo anno, la media da 50 fino a 249 lavoratori subordinati (incluse gli enti privati di cui ai precedenti punti 3 e 4).

Whistleblowing per le aziende

In primo luogo, le aziende sopra indicate dovranno adottare i canali di segnalazione interna idonei per adeguarsi al presente decreto legislativo. In tale ottica appare raccomandabile, tra le varie tipologie e/o soluzioni indicate nello stesso decreto, dotarsi una piattaforma digitale di gestione delle segnalazioni che garantisca conformità alla normativa.

Ma questo non basta: è necessario altresì strutturare una completa procedura interna, funzionale e controllata in ottica di privacy by default e by design.

Cosa fare?

• Aggiornamento del Registro dei Trattamenti e delle Misure organizzative e tecniche di sicurezza ai sensi dell’art 32 GDPR;
• Predisposizione informative specifiche sul trattamento dei dati personali;
• Predisposizione di autorizzazioni specifiche al trattamento dei dati personali per gli addetti dell’ufficio incaricato a ricevere le segnalazioni, con individuazione dei ruoli attribuiti ai vari attori coinvolti nella procedura anche dal punto di vista del cd. organigramma privacy (individuazione della figura interna destinataria delle segnalazioni ODV, se presente, o altra funzione aziendale). 
• Aggiornamento regolamento informatico aziendale.
• Gestione dei rapporti esterni e individuazione dei relativi compiti affidati ai responsabili dei trattamenti ai sensi dell’art. 28 GDPR
• Valutazione d’impatto ai sensi dell’art. 35 GDPR