Whistleblowing e GDPR: tutela reciproca, rafforza la privacy

Whistleblowing (Fischietto) e GDPR, con la prossima entrata in vigore, a partire dal 15 luglio, del decreto legislativo n. 24/2023 (DLWB24) di recepimento della normativa UE che aggiorna le disposizioni sulle segnalazioni whisteblowing (WB), entrerà in vigore anche una nuova forma di tutela per la privacy.

Infatti, fra le materie che potranno essere oggetto di segnalazione in ambito whistleblowing rientrano anche espressamente le violazioni inerenti alla tutela della vita privata e protezione dei dati personali (art. 2 comma 1.a.3); peraltro, le norme WB in scadenza, pur nella loro sinteticità non escludono la possibilità di segnalazioni afferenti a violazioni della privacy.

Quello che muta sostanzialmente è che con la normativa europea recepita dal DLWB24, l’ambito di applicazione viene ampliato in maniera notevole (in generale: settore pubblico e privato, diritto nazionale e diritto UE) e le segnalazioni assumono una duplice natura: 1) di strumento di lotta agli illeciti e 2) di diritto alla segnalazione.

Il GDPR è ampiamente richiamato nelle norme sul whistleblowing , ai fini della tutela dei soggetti che effettueranno segnalazioni su presunti illeciti.

Quindi, sotto il profilo privacy, siamo di fronte ad una tutela reciproca e che rafforza la possibilità per chi opera in un contesto lavorativo pubblico o privato, ai sensi dell’art. 3 DLWB24, di contribuire al perseguimento di eventuali violazioni di disposizioni normative nazionali o dell'Unione europea tali da ledere, come recita l’art. 1, “l’interesse pubblico o l'integrita' dell'amministrazione pubblica o dell'ente privato”.

Posta questa cornice, proviamo ad approfondire dal punto di vista privacy quali siano i percorsi per la tutela dei diritti degli interessati.
In generale il GDPR mette a disposizione di ciascun interessato strumenti per la tutela dei propri diritti. L’Autorità Garante, elettivamente, è il soggetto che può provvedere a una prima tutela, mediante gli strumenti:

- i) del reclamo, sulla base dell’art. 77 GDPR e dell’art. 140-bis del Codice privacy (CP), per questioni che attengono a lesioni individuali del diritto alla privacy,
-ii) della segnalazione di questioni attinenti alla privacy ai sensi dell’art. 144 CP, che il Garante potrà considerare per l’esercizio dei propri poteri ai sensi dell’art. 58 GDPR.

Adire il Garante con un reclamo è alternativo per l’interessato, al ricorso all’autorità giudiziaria (cfr anche art. 152 CP) e viceversa. Avverso i provvedimenti del Garante, l’interessato potrà comunque proporre ricorso all’autorità giudiziaria ai sensi dell’art. 10, comma 4, del decreto legislativo 1° settembre 2011, n. 150.

Il CP regolamenta la trattazione di illeciti penali attinenti alla privacy, all’art. 144 bis il revenge porn e agli artt. 167 – 168 talune fattispecie che possono, a seconda delle loro connotazioni, configurare illecito penale, attinenti a: trattamento, comunicazione e diffusione illecita di dati personali, acquisizione fraudolenta di dati personali su larga scala, falsità nelle dichiarazioni al Garante e comunque impedimento ai suoi compiti ed esercizio dei poteri, l’inosservanza di provvedimenti del Garante e violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori (art. 38 dello Statuto dei lavoratori - l. n. 300/1970).

Il CP prevede i casi di illeciti penali per i quali è prevista reciproca comunicazione fra Garante e Pubblico ministero.

Il DLWB24 ha fra l’altro aggiornato il CP, che all’art. 2-undecies prevede (a valere dal 15 luglio 2023) la tutela della riservatezza dell’identità della persona che effettua segnalazioni - oltre che ai sensi del DLWB24 - anche ai sensi delle analoghe norme sul whistleblowing previste dal Testo unico delle leggi in materia bancaria e creditizia (d. lgs. n. 385/1993 - artt. 52-bis e ter ) e dal Testo unico delle disposizioni in materia di intermediazione finanziaria (d. lgs. n. 58/1998 – artt. 4 undecies e duodecies).

Il processo delle segnalazioni di whistleblowing, che le organizzazioni pubbliche e private interessate sono tenute ad ammodernare con decorrenza dal prossimo 15 luglio, dovrà essere tale - come prima - da garantire la tutela del segnalante anche sotto il profilo della privacy, oltre a tutelarlo ovviamente da ritorsioni.

Ma quali segnalazioni afferenti alla privacy potrebbero essere veicolate tramite whistleblowing ? Non le questioni lesive della privacy che attengono a un interesse prettamente personale seppur collegato al rapporto di lavoro ma, come evidenziato in premessa, quelle che attengono alla tutela dell'interesse pubblico o dell'integrita' dell'amministrazione pubblica o dell'ente privato (art. 1 DL24).

Quindi, volendo ipotizzare alcune ipotesi per una tassonomia, si potrebbero indicare a titolo esemplificativo i seguenti casi in cui, con le protezioni previste dal whistleblowing , il soggetto legittimato (ovvero, è utile ricordarlo, chi a diverso titolo opera chi opera in un contesto lavorativo pubblico o privato) potrebbe segnalare violazioni whistleblowing :

-i) trattamenti di dati personali esperiti in spregio alle fattispecie penali previste dal CP;
-ii) trattamenti di dati personali particolari per asseriti motivi di pubblico interesse non rientranti nelle previsioni dell’art. 2-sexies del CP;
-iii) trattamenti di dati personali attinenti al rapporto di lavoro con modalità che non siano privacy compliant;
-iv) architettura organizzativa privacy carente (ad es.: mancata o irregolare nomina del RPD nel settore pubblico e, quando previsto, nel settore privato; mancata emanazione delle informative sui trattamenti svolti; sistemi informativi non protetti; mancata cancellazione dei dati personali nei termini previsti; divulgazione dei dati a terzi – magari in Paesi extra-UE, in assenza di idonei accordi; …);
-v) impostazione del WB (canali di comunicazione, gestione delle segnalazioni, tutela della riservatezza,…) tale da non garantire il segnalante.

Certo, alcune delle possibili fattispecie potrebbero interessare direttamente anche il singolo ma la valenza generale renderebbe la questione ammissibile a segnalazione WB.

Una volta fatta la segnalazione, questa andrà trattata secondo le indicazioni del WB e le Linee guida ANAC (che ai sensi del DLWB24 dovrà emanare ulteriori Linee guida per le segnalazioni esterne).

Va da sé che il vaglio delle segnalazioni potrebbe poi avere esito non risolvibile all’interno dell’organizzazione e, quindi, la questione andrebbe rimessa alle Autorità competenti, a seconda della loro natura.

In generale verrebbe coinvolto anche il Garante privacy quando la competenza venisse ritenuta (anche o solo) di sua pertinenza oppure quando, per il tramite dell’A.G., ove la questione venisse segnalata alla stessa e riguardasse le fattispecie penali sopra menzionate.

Autorizzazione videosorveglianza

L'istanza di autorizzazione per la videosorveglianza permette di installare le telecamere di sicurezza rispettando le norme di legge previste.

Sempre più spesso privati e aziende sentono il bisogno di dotarsi di sistemi di videosorveglianza per aumentare il grado di sicurezza dell’ambiente domestico o di quello lavorativo, ma devono fare i conti con alcune attenzioni necessarie per il rispetto della privacy.

Così come molte altre informazioni (nome e cognome, residenza, codice fiscale, numero di telefono, ecc), anche le immagini sono a tutti gli effetti dei dati personali e, come tali, sono soggette alla normativa della privacy: in questo articolo ecco alcuni aspetti da tenere in considerazione.

Autorizzazione per videosorveglianza privata

Chi vuole installare telecamere di sorveglianza nella propria casa è soggetto a molte meno restrizioni rispetto all’ambiente lavorativo, a patto di rispettare alcune indicazioni.

Secondo quanto stabilito dal Garante della Privacy, con il parere n. drep/ac/113990 del 7 marzo 2017, per la videosorveglianza privata non è previsto l’obbligo di autorizzazioni (né da parte della Polizia, né da parte, eventualmente, del condominio).

Ci sono, tuttavia, alcune condizioni da rispettare, che valgono indistintamente per le telecamere con o senza registrazione delle immagini:

 - evitare di riprendere zone di pubblico passaggio (strada o spazi comuni)
 - qualora ciò non fosse possibile, evitare il riconoscimento dei soggetti (limitando il raggio di ripresa alle sole scarpe)

In sostanza, è possibile fare a meno dell’autorizzazione per videosorveglianza quando le telecamere non sono rivolte su zone pubbliche (compresi gli spazi comuni di un condominio, dove passano i vicini). Fondamentale, inoltre, che le immagini riprese non vengano diffuse a terzi.

Nel caso in cui queste condizioni non dovessero essere rispettate, la videosorveglianza non avrebbe più i caratteri di finalità esclusivamente personali: scatterebbero, dunque, tutti gli obblighi previsti dal codice della privacy, con tanto di richiesta di autorizzazione obbligatoria.

Autorizzazione per videosorveglianza sul luogo di lavoro

L’autorizzazione per videosorveglianza sul luogo di lavoro è sempre obbligatoria per aziende e attività commerciali e, secondo quanto stabilito all'art. 4 della Legge 300 del 1970 (Statuto dei Lavoratori), impianti audiovisivi e altri strumenti, dai quali deriva la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere impiegati esclusivamente per:

 - esigenze organizzative e produttive
 - la sicurezza del lavoro
 - tutela del patrimonio aziendale.

Recentemente l’art. 4 dello Statuto dei Lavoratori ha subìto rilevanti modifiche, ad opera del Jobs Act (art. 23 del D.Lgs. n. 151/2015) prima e del D.Lgs. n. 185/2016 (art. 5, comma 2) dopo, adeguando così l’impianto normativo e le procedure preesistenti alle più recenti innovazioni tecnologiche.

A tal proposito, l’Ispettorato Nazionale del Lavoro, con la circolare n.5 del 19 febbraio 2018, ha fornito alcune indicazioni operative sull'installazione e utilizzo degli impianti di videosorveglianza e degli altri strumenti di controllo. Tra le novità principali, il fatto che il focus delle istruttorie debba riguardare più le finalità e le motivazioni per cui si richiede l'autorizzazione che non una descrizione tecnica della strumentazione.

Anche sul luogo di lavoro, in ogni caso, andrà posta particolare attenzione al posizionamento delle telecamere: la legge prevede che non possano essere inquadrate postazioni di lavoro fisse o aree dedicate all'attività lavorativa.

In sostanza, le immagini non devono focalizzarsi sui dipendenti, che possono però essere ripresi con criteri di occasionalità. Per il resto, le telecamere possono essere orientate anche su ingressi o zone di passaggio di pertinenza dell’azienda (ad esempio i corridoi, parcheggi, ecc).

Prima di poter installare un impianto di videosorveglianza sul luogo di lavoro, dunque, è necessario avere uno specifico accordo con le organizzazioni sindacali (se presenti in azienda) o, appunto, l'autorizzazione rilasciata dall'Ispettorato Territoriale del Lavoro, previa apposita istanza, in marca da bollo.

Videosorveglianza senza autorizzazione: sanzioni

Installare sistemi di videosorveglianza senza autorizzazione può costare alle imprese un esborso economico considerevole e/o, nei casi più gravi, anche dei provvedimenti di tipo penale (come da sentenza della Cassazione n. 4331 del 30 gennaio 2014).

Le sanzioni prevedono come minimo multe da 154,00 a 1.549,00 euro o l’arresto da 15 giorni a un anno (salvo che il fatto non costituisca reato), ma in alcuni casi possono essere anche superiori a tali importi.

Possono scattare le sanzioni, inoltre, anche qualora vengano installate telecamere finte non autorizzate, al solo scopo dissuasivo.

Vuoi sapere cosa fare per ottenere l’autorizzazione per la videosorveglianza della tua azienda? Scopri il nostro servizio di consulenza sulla privacy e richiedi oggi stesso il nostro supporto!

Documento Valutazione dei Rischi (DVR)

documento-valutazione-rischiIl Documento di Valutazione dei Rischi (DVR)

Cosa è la valutazione del rischio?

La valutazione dei rischi è uno degli obblighi principali di ogni Datore di Lavoro (art.li 17, 28 e 29 D.Lgs 81/08). Per effettuare la valutazione dei rischi di una realtà lavorativa occorre individuare tutti i pericoli connessi all’attività svolta e quantificare il rischio, ossia la probabilità che ciascun pericolo si tramuti in danno, tenuto conto dell’entità del potenziale danno.

 

A quale sanzione incorre il Datore di Lavoro che non effettua la valutazione dei rischi?

La mancata valutazione dei rischi da parte del Datore di Lavoro è sanzionabile con arresto da 3 a 6 mesi o ammenda da € 2.500 a € 6.400.

Cosa è il DVR?

Il Datore di Lavoro ha l’obbligo di effettuare la valutazione dei rischi in forma scritta, elaborando un documento denominato “Documento di Valutazione dei Rischi” o “DVR”.

Quanto costa effettuare la valutazione dei rischi e l’elaborazione del DVR?

Il costo è a partire da 200 € per piccole attività di basso rischio.

Cosa deve contenere il DVR?

Il Documento di Valutazione dei Rischi, anche detto DVR, non si deve limitare a riportare l’anagrafica aziendale, l’organigramma della sicurezza e tutti i pericoli relativi all’attività svolta, suggerendo semplicemente alcuni consigli per la gestione dei vari pericoli, ma deve calarsi nella realtà valutata. Occorre analizzare tutte le fasi lavorative interne all’azienda, individuando tutti i pericoli connessi a ciascuna fase e quantificando tutti i rischi derivati. E’ necessario dunque misurare ciascun rischio, non è sufficiente solo menzionarlo del documento. Nel DVR deve essere inoltre presente un programma di miglioramento della sicurezza nel tempo, dove vengono riportate tutte le misure di prevenzione predisposte, il soggetto responsabile dell’attuazione ed una programmazione temporale.

Per poter redigere un DVR è indispensabile un sopralluogo da parte di un Tecnico della Sicurezza, che effettuando le registrazioni e le misurazioni necessarie, sarà in grado di valutare quantitativamente tutti i rischi. E’ per questi motivi che non è possibile redigere un DVR senza il sopralluogo tecnico. I cosiddetti “DVR on line”, ossia che vengono redatti senza la visita del professionista in azienda, risultano gravemente incompleti ed in caso di visita ispettiva da parte degli organi di controllo generano immancabilmente prescrizioni e sanzioni.

Cos'è un Documento di Valutazione dei Rischi Standardizzato (DVRS)?

E’ il Documento di Valutazione dei Rischi redatto partendo da un modello di riferimento di base approvato dalla Commissione Consultiva e recepito con il decreto dei Ministeri del Lavoro e dell’Interno (Decreto Interministeriale del 30 novembre 2012). Può essere utilizzato da tutti quei Datori di Lavoro di aziende che contano fino a 50 lavoratori con esclusione delle seguenti: aziende industriali, impianti o installazioni con i lavoratori esposti a rischi chimici, biologici, da atmosfere esplosive, cancerogeni mutageni e connessi all’esposizione ad amianto.

Il DVRS prevede una struttura suddivisa in quattro fasi:

  • descrizione dell'azienda, del ciclo lavorativo, delle attività e delle mansioni;
  • individuazione dei pericoli presenti;
  • valutazione dei rischi associati ai pericoli individuati e misure di attuazione;
  • definizione del programma di miglioramento.

Sicurezza lavoro: le sanzioni per il Datore di lavoro e per il Dirigente

Sicurezza lavoro: le sanzioni per il Datore di lavoro e per il Dirigente

Quando si parla di sicurezza sul lavoro, ci si dimentica spesso di approfondire il discorso relativo all’impianto sanzionatorio presente nel D.Lgs. 81/08 ed aggiornato dal successivo D.Lgs. 106/09 . In ragione di ciò, appare quanto mai opportuno ricapitolare le principali sanzioni a carico delle figure aziendali della sicurezza.

Naturalmente, partiamo dal Datore di lavoro, che in quanto titolare del rapporto di lavoro e detentore dei poteri decisionali e di spesa, è colui che ha le maggiori responsabilità in materia di salute e sicurezza sul lavoro.

Il Datore di lavoro ha, innanzitutto, due obblighi non delegabili, ossia: la valutazione di tutti i rischi (con conseguente redazione del Documento di Valutazione dei Rischi) e la nomina del Responsabile del Servizio di Prevenzione e Protezione (RSPP). Nel primo caso, il Datore di lavoro, che non ottempera a tale obbligo, è sanzionato con un’ammenda che va da un minimo di 1.096 ad un massimo di 4.384 euro, se il Documento risulta incompleto. In caso di omessa redazione del Documento di Valutazione dei Rischi (DVR) il Datore di lavoro rischia l’arresto da 3 a 6 mesi oppure un’ammenda da 2.500 € a 6.400 €. La mancata nomina dello RSPP, invece, comporta per il Datore di lavoro l’arresto da 3 a 6 mesi oppure un’ammenda da 2.500 € a 6.400 €.

Per inadempienze relative agli obblighi di informazione, formazione e addestramento dei dirigenti, dei preposti nonché dei lavoratori e dei loro rappresentanti, il datore di lavoro è sanzionato con l’arresto da due a quattro mesi o con un’ammenda da 1.315,20 a 5.699,20 euro.

Per quanto riguarda gli obblighi in capo sia al Datore di lavoro che al Dirigente si riportano le principali sanzioni previste dal D.Lgs. 81/08:

  • arresto da due a quattro mesi o ammenda da 1.644 a 6.576 euro per mancata nomina del medico competente (nei casi previsti dalla normativa); mancata fornitura ai lavoratori dei dispositivi di protezione individuale (DPI); mancato aggiornamento delle misure di prevenzione in occasione di importanti mutamenti organizzativi e produttivi;
  • arresto da due a quattro mesi o ammenda da 1.315,20 a 5.699,20 euro nel caso in cui i lavoratori vengano adibiti a mansioni non adatte alle loro capacità professionali o alle loro condizioni di salute;
  • ammenda da 2.192 a 4.384 euro per mancato invio dei lavoratori alla visita medica entro le scadenze previste,
  • arresto da due a quattro mesi o ammenda da 822 a 4.384 euro per mancata consegna agli RLS del Documento di Valutazione dei Rischi.
  • sanzione amministrativa pecuniaria da 500 a 1.800 € per omessa comunicazione all’INAIL degli infortuni sul lavoro che comportino un’assenza dal lavoro di almeno 1 giorno, escluso dell’evento, ai soli fini statistici e informativi;
  • sanzione amministrativa pecuniaria da 1.000 a 4.500 € per omessa denuncia all’INAIL degli infortuni sul lavoro che comportino un’assenza dal lavoro superiore a 3 giorni;
  • sanzione amministrativa pecuniaria da 50 a 300 € per omessa comunicazione all’INAIL dei nominativi del RLS.

Infine, è bene ricordare che il Datore di lavoro ed in alcuni casi il Dirigente, non sono le sole figure aziendali soggette alle sanzioni previste dal D.Lgs. 81/08. Anche RSPP, Medico competente ed lavoratore hanno degli obblighi in materia di sicurezza sul lavoro, che se non rispettati possono trasformarsi in sanzioni penali, amministrative o pecuniarie.