Nuova legge italiana sul Whistleblowing, cosa cambia e come adeguarsi subito

Il decreto attuativo, pubblicato in Gazzetta Ufficiale il 15 marzo 2023, introduce obblighi e sanzioni per il settore pubblico e per le imprese private

–

La Direttiva europea sul Whistleblowing è ora legge anche in Italia: il 30 marzo 2023 è infatti entrato ufficialmente in vigore il provvedimento attuativo, D.Lgs. n. 24/2023. Dotarsi di una piattaforma informatica di segnalazione sicura, che protegga la riservatezza dell’identità e i dati personali di chi denuncia condotte illecite, è il requisito imprescindibile per assicurare la conformità della propria organizzazione alla normativa.

Il decreto in oggetto, valido sia per le pubbliche amministrazioni che per le aziende, ha tuttavia un impatto immediato non soltanto sui sistemi di segnalazione di illeciti, che vanno adeguati rapidamente per non incorrere in sanzioni, ma anche su importanti tematiche correlate: la protezione dei dati personali, la sicurezza informatica, e più in generale la governance e il monitoraggio dei processi interni di conformità. (>> Scarica la guida gratuita alla nuova legge italiana sul whistleblowing)

Calendario delle date da ricordare

• 30 marzo 2023: Entrata in vigore del Decreto Legislativo 10 marzo 2023, n. 24, recante attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019
• 15 luglio 2023: Data entro la quale le imprese con 250 o più dipendenti dovranno adottare le disposizioni del decreto.
• 17 dicembre 2023: Ultima scadenza per le aziende che hanno impiegato tra i 50 e i 249 dipendenti nell’ultimo anno.

Fino al 15 luglio 2023, i whistleblower italiani continueranno a essere tutelati dal quadro normativo vigente (D.Lgs. 231/2001, L. 179/2017, L. 190/2012)

Che cosa bisogna fare per essere compliant al Decreto Whistleblowing?

1. Gestire le segnalazioni tramite un software che utilizza sistemi crittografici come Legality Whistleblowing, che garantisca la riservatezza dell’identità di chi segnala, della persona coinvolta e/o menzionata nella segnalazione, oltre al contenuto della segnalazione stessa e alla relativa documentazione
2. Gestire il trattamento dei dati personali e la documentazione inerente alle segnalazioni a norma GDPR, effettuando inoltre una Valutazione d’impatto (DPIA), in ottemperanza dell’art. 35, per assicurare un livello di cyber security commisurato ai rischi.
3. Strutturare adeguatamente la governance del sistema di whistleblowing e affidare la gestione delle segnalazioni a personale con formazione specifica.

Guarda il webinar gratuito registrato “La nuova legge italiana sul whistleblowing: come assicurare la compliance” >>

“Disporre di un software per gestire il whistleblowing è fondamentale per soddisfare i requisiti normativi, ma avere una piattaforma di per sé non basta: le segnalazioni devono essere blindate da qualunque intromissione non autorizzata. Molti dei nostri clienti, sia nel pubblico che nel privato, hanno scelto Legality Whistleblowing dopo aver subito le brutte conseguenze di un data breach ed essersi trovati in grande difficoltà. Non ci può essere un sistema di segnalazione senza un’attenzione rigorosa alla cyber security.” Ing. Stefano Orrù, Product Owner di Legality Whistleblowing

Violazioni whistleblowing e privacy, le sanzioni previste

• Da 5.000 a 30.000 euro in caso di ritorsioni o ostacoli alle segnalazioni, o violazioni della riservatezza.
• Da 10.000 a 50.000 euro nel caso non sia stato istituito il canale di segnalazione, non siano state adottate procedure di gestione o la gestione delle procedure non sia stata conforme, e in caso di mancato svolgimento dell’attività di verifica e analisi delle segnalazioni.

Decisamente più onerose sono le multe applicate per le violazioni del GDPR, che a seconda della gravità possono arrivare al 4% del fatturato complessivo o 20 milioni di euro – e oltre – nel caso di violazioni di dati personali (data breach). Secondo il sito GDPR Enforcement Tracker, che monitora le sanzioni comminate dai Garanti europei, l’Italia è il secondo paese in Europa dopo la Spagna per numero totale di violazioni sanzionate.

Quali canali sono conformi alla nuova legge sul Whistleblowing?

NO – E-mail o PEC

Non sono sufficienti a garantire un sistema di whistleblowing conforme.

NO – Form cartacei e segnalazioni in presenza

Non assicurano la riservatezza e la conservazione a norma dei documenti.

Sì – Software e app con sistemi di crittografia

Garantiscono la totale riservatezza del whistleblower tramite cifratura dei contenuti e rispetto dei principi di privacy by design e by default.

Legality Whistleblowing, il software che tiene al riparo la tua Organizzazione dal rischio di sanzioni

Legality Whistleblowing è un servizio SaaS qualificato dall’Agenzia per la Cybersecurity Nazionale (ACN) che si avvale dei più elevati standard di sicurezza applicativa e del dato, certificati con regolarità da organismi indipendenti.

La piattaforma, aggiornata alla versione 4.2, consente agli organismi pubblici e privati di eseguire il trattamento dati a norma GDPR, evitando potenziali data breach e conseguenti violazioni delle norme comunitarie.

• Crittografia asimmetrica e accesso a norma privacy secondo la normativa
• Server sicuri, con infrastruttura certificata ISO/IEC 27001/2017
• Piattaforma intuitiva e user-friendly sia per i responsabili che per i segnalanti
• Compliant e valido per l’ottenimento delle certificazioni ISO 37001, 37002 e 37301
• Novità: traduzioni automatiche delle segnalazioni e dei messaggi

Software finanziabile con la misura 1.2 PNRR – Abilitazione al cloud per gli Enti locali >>

Rendi subito compliant il tuo sistema di segnalazione con Legality Whistleblowing, la piattaforma in cloud sempre a norma di legge

Approfondimenti:

• D.Lgs. n. 24/2023 in Gazzetta Ufficiale
• Checklist per l’implementazione di un sistema di whistleblowing efficace