Scrivici info@cips.it

Contattaci +39 (0)75 85.21.413

Seguici

Facebook Linkedin X-twitter Youtube

info@cips.it

+39 (0)75 85.21.413

Seguici

Facebook Linkedin X-twitter Youtube
Logo CIPS Legal su sfondo nero: scritta “cips” in blu, scritta “CIPSLEGAL” in verde acqua e simbolo stilizzato di un martelletto da giudice sulla destra, anch’esso in verde acqua.
ABBONATI
  1. Home
  2. »
  3. Atti & Documenti
  4. »
  5. ENISA, Good Practices for Supply…

Direttiva Whistleblowing adempimenti e principali obblighi GDPR (D.Lgs. 10/03/2023 nr. 24 in G.U. 15/03/2023)

  • (1).- Lo scorso 10 marzo, l’Ordinamento italiano, attraverso il decreto legislativo sopra indicato, ha recepito i contenuti della direttiva UE 2019/1937 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione Europea.
  • (2).- Tale direttiva, pena l’applicazione di una sanzione amministrativa pecuniaria da 10.000,00 a 50.000,00 Euro, in caso di inottemperanza, obbliga i soggetti nei confronti dei quali si applica, che hanno impiegato nell’ultimo anno più di 50 dipendenti, ad attivare appositi canali di segnalazione delle violazioni che consistono, a titolo esemplificativo e non esaustivo, in:

I. illeciti amministrativi;
II. condotte illecite rilevanti ai sensi del D.Lgs. 231/2001 (…);
III. illeciti relativi ai seguenti settori; ad es.: 1). – sicurezza e conformità dei
prodotti; 2). tutela ambientale; 3). sicurezza degli alimenti; ed inoltre, in
particolare, per quanto qui ci occupa, 4). – tutela della vita privata e
protezione dei dati personali; 5). – sicurezza delle reti e dei sistemi
informativi.

  • (3).- Inoltre, considerato che, per effetto delle nuove disposizioni, la segnalazione delle violazioni dovrà essere consentita anche a soggetti diversi dal personale dipendente in forza all’organizzazione (ad es.: lavoratori parasubordinati, collaboratori, fornitori, etc.), l’art. 5 del Decreto prevede che, i soggetti obbligati, mettano a disposizione informazioni chiare sul canale di segnalazione, sulle procedure e sui presupposti per effettuare le segnalazioni interne ed esterne, in modo facilmente visibile nei luoghi di lavoro, nonché accessibile alle persone che, pur non frequentando i luoghi di lavoro siano legittimati alle segnalazioni, ed anche in una sezione dedicata del sito internet dell’organizzazione.
  • (4).- Alcuni degli aspetti maggiormente significativi disciplinati dalla norma in commento, sono quelli che riguardano, da un lato, gli obblighi di riservatezza delle segnalazioni e di protezione del segnalante di cui all’art. 12 e, dall’altro, quelli previsti dall’art. 13 in materia di protezione dei dati personali.
  • (5). - Nello specifico, l’art. 13 da ultimo richiamato, prevede espressamente:

I. che ogni trattamento che si svolga in adempimento delle previsioni del
Decreto, debba conformarsi alle disposizioni del GDPR;
II. che, i dati personali che manifestamente non sono utili al trattamento di
una specifica segnalazione non debbano essere raccolti o, se raccolti
accidentalmente, che debbano essere cancellati immediatamente;
III. che debbano essere fornite, le informazioni obbligatorie di cui agli artt.
13 e ss del GDPR;
IV. che le organizzazioni obbligate, debbano definire il proprio modello di
ricevimento e gestione delle segnalazioni interne, individuando misure
tecniche ed organizzative idonee a garantire un livello di sicurezza
adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base
di una valutazione d’impatto sulla protezione dei dati e disciplinando i
rapporti con eventuali fornitori ai sensi dell’art. 28 del GDPR.

  • (6).- Di seguito, i principali adempimenti in materia di protezione dei dati personali da attuare, entro il prossimo dicembre, per rendere conformi le descritte operazioni con le richiamate, vigenti disposizioni di legge applicabili:

I. predisposizione delle informazioni da pubblicare sul sito internet
relativamente ai canali di segnalazione, alle procedure ed ai presupposti
per le segnalazioni interne ed esterne;
II. predisposizione dei testi delle specifiche autorizzazioni scritte al
trattamento, ai sensi dell’art. 2 quaterdecies del Codice privacy, per i
soggetti cui sarà affidato l’incarico di gestire le segnalazioni;
III. predisposizione dei testi di informazioni obbligatorie da rilasciare ai
soggetti interessati (segnalante e persone coinvolte etc);
IV. adozione di misure di sicurezza che garantiscano, anche tramite il ricorso
a strumenti di crittografia, la riservatezza dei soggetti interessati ed il
loro diritto alla protezione dei dati personali;
V. aggiornamento dei registri delle operazioni di trattamento di cui all’art.
30 del GDPR e svolgimento, ai sensi dell’art. 13 comma 4 del Decreto,
delle operazioni di valutazione di impatto sulla protezione dei dati
personali di cui all’art. 35 del GDPR.

Hai una domanda per l'autore?

Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli 

Immagine di Avv. Giuseppe Serafini

Avv. Giuseppe Serafini

Giuseppe Serafini è Avvocato Cassazionista del Foro di Perugia. Lead Auditor ISO/IEC 27001:2013, ISO/IEC 27701:2019; DPO UNI 11697:2017. Master di II° livello in Cybersecurity. Master di II° livello in Data Protection. Perfezionato in Digital Forensicis, Cloud & Data Protection. Già docente di Informatica Giuridica presso la Scuola di Specializzazione in Professioni Legali di Perugia, e collaboratore della cattedra di Informatica Giuridica della Facoltà di Giurisprudenza di Perugia; Docente in Master di II° livello. Relatore ed autore di numerose pubblicazioni in materia di Sicurezza delle Informazioni e Diritto delle nuove Tecnologie. Associato CLUSIT e Digital Forensics Alumni.
Immagine di Avv. Giuseppe Serafini

Avv. Giuseppe Serafini

Giuseppe Serafini è Avvocato Cassazionista del Foro di Perugia. Lead Auditor ISO/IEC 27001:2013, ISO/IEC 27701:2019; DPO UNI 11697:2017. Master di II° livello in Cybersecurity. Master di II° livello in Data Protection. Perfezionato in Digital Forensicis, Cloud & Data Protection. Già docente di Informatica Giuridica presso la Scuola di Specializzazione in Professioni Legali di Perugia, e collaboratore della cattedra di Informatica Giuridica della Facoltà di Giurisprudenza di Perugia; Docente in Master di II° livello. Relatore ed autore di numerose pubblicazioni in materia di Sicurezza delle Informazioni e Diritto delle nuove Tecnologie. Associato CLUSIT e Digital Forensics Alumni.

CIPS LEGAL

Accesso illimitato a tutti i contenuti per un anno!

Con la premium membership annuale hai diritto alla consultazione di tutti gli articoli, know-how e download diretto di tutti i file presenti all’interno di Cips Legal.

ABBONATI

NIS2 / ISO 27001

SECURITY/PCI DSS

DATA PROTECTION

DIGITAL FORENSICS

BANDI

IN EVIDENZA

Via G. Marconi, 18
Città di Castello (PG)
+39 (0)75 85.21.413
info@cips.it

P.IVA IT02083700548

SCOPRI CIPS INFORMATICA
Facebook Linkedin X-twitter Youtube

Copyright 2026 | CIPS Informatica

Privacy Policy e Termini di Servizio