Ma quali sono le novità introdotte con il D.Lgs. 24/2023? Rivediamole insieme.

Ricordiamo, innanzitutto, che il D.Lgs. 24/2023 recepisce la direttiva europea 2019/1937, la quale ha come obiettivo il rafforzamento delle tutele riconosciute ai c.d. whistleblowers, ossia i soggetti che segnalano gli illeciti di cui vengono a conoscenza nel contesto lavorativo.

Prima importante novità del decreto 24/2023 è sicuramente il campo di applicazione: la normativa, infatti, non si applica più solamente al settore pubblico, ma anche a quello privato, coinvolgendo tutte quelle aziende che hanno impiegato, nel corso dell’ultimo anno, una media di almeno 50 lavoratori subordinati o, anche al di sotto di tale soglia, qualora svolgano attività in determinati settori (ad esempio nei settori dei servizi, prodotti e mercati finanziari o prevenzione del riciclaggio) o abbiano adottato un modello di organizzazione e gestione di cui al d.lgs. 231/2001. È quindi evidente come la normativa interessi gran parte delle aziende.

L’altra importante novità riguarda l’obbligo, posto in capo a tali soggetti, di attivare un canale di segnalazione che garantisca la riservatezza dell’identità del segnalante, della persona coinvolta o menzionata nella segnalazione, del contenuto della segnalazione e della relativa documentazione. La gestione di tale canale di segnalazione interno può essere affidata ad un soggetto o ufficio interno, nonché ad un soggetto esterno, i quali devono garantire tutta una serie di attività, tra cui:

• Rilasciare al segnalante l’avviso di ricevimento della segnalazione entro sette giorni dalla ricezione,
• Mantenere le interlocuzioni con il segnalante, richiedendo, laddove necessario, eventuali integrazioni;
• Dare diligente seguito alle segnalazioni;
• Fornire riscontro alle segnalazioni entro tre mesi dall’avviso di ricevimento o, in mancanza, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione;
• Mettere a disposizione informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne, nonché per quelle esterne.

Infatti, è ammessa la possibilità di rivolgersi direttamente all’ANAC (attraverso una segnalazione, appunto, esterna) quando:

1. L’azienda non ha attivato alcun canale di segnalazione interno – a prescindere dal fatto che esso sia obbligatorio o meno – o quando il suddetto canale non è conforme;
2. Quando la segnalazione non ha avuto seguito;
3. Quando il segnalante ha fondati motivi di ritenere che alla segnalazione interna non sarebbe dato efficace seguito o dalla stessa potrebbe derivare un rischio di ritorsione;
4. Quando il segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo di imminente o palese per il pubblico interesse.

Infine, il segnalante potrà anche decidere di effettuare una divulgazione pubblica, sempre al ricorrere di determinate condizioni (ad esempio quando non viene dato riscontro alla segnalazione esterna).

Il D.Lgs. 24/2023 prevede un obbligo di riservatezza in capo ai soggetti che ricevono le segnalazioni: queste ultime, infatti, non possono essere utilizzate oltre quanto necessario a dare un adeguato seguito alle stesse e, non solo l’identità del segnalante ma anche tutte quelle informazioni da cui possa in qualche modo desumersi tale identità, non possono essere rivelate, a meno che non vi sia un consenso espresso del segnalante, essendo inoltre sottratte anche all’accesso agli atti amministrativi e al diritto di accesso civico generalizzato. Allo stesso modo, l’identità delle persone coinvolte è soggetta al medesimo obbligo di riservatezza fino a conclusione del procedimento.

È la normativa stessa che poi sottolinea la profonda interconnessione tra la disciplina del whistleblowing e la normativa in materia di protezione dei dati personali. È infatti evidente che se, da un lato, è fondamentale tutelare la riservatezza del segnalante, altrettanto vale per le informazioni aziendali che potrebbero essere ricomprese nelle segnalazioni. Ecco che allora sarà onere dell’azienda dotarsi di un canale di segnalazione in grado di garantire tali aspetti, utilizzando misure tecniche ed organizzative tali da assicurare un livello di sicurezza adeguato. Ma non solo. La norma richiede infatti che i rischi derivanti dal trattamento siano sottoposti a valutazione d’impatto e che siano disciplinati i rapporti con eventuali fornitori esterni, sottoscrivendo quindi le eventuali nomine a responsabile del trattamento.

Il decreto si occupa anche di definire i termini di conservazione delle segnalazioni e relativa documentazione, prevedendo che le stesse debbano essere conservate per il tempo necessario alla gestione della segnalazione, e comunque non oltre 5 anni dalla data di comunicazione dell’esito finale della procedura.

Il canale di segnalazione prescelto dalle aziende dovrà quindi combinare tutti questi aspetti, dimostrando così di essere compliant sia alla normativa di settore che al GDPR. È proprio per venire in contro a tali esigenze che Net Patrol ha sviluppato ACARA, piattaforma di whistleblowing pensata appositamente per una gestione delle segnalazioni tale da soddisfare tutte le normative in gioco.

ACARA ti permette infatti di trattare le tue segnalazioni in sicurezza, garantendo la riservatezza del segnalante e delle informazioni.

L'articolo E tu, sei in regola con la nuova normativa sul whistleblowing? proviene da Netpatrol.

In Italia esistono già alcune ipotesi di sperimentazione e nell’ambito scolastico abbiamo già i primi casi d’uso. Il social scoring consiste nell’uso di sistemi di monitoraggio in grado di valutare le azioni e le attitudini delle persone al fine di erogare premi e incentivi di vario tipo che hanno lo scopo di alterare il loro comportamento.

Questi sistemi hanno due criticità:

Prima di tutto, c’è un tema etico. Siamo davvero d’accordo nel volerci circondare di sistemi del genere? Cosa può accadere alla nostra libertà di autodeterminazione se ogni nostra azione viene monitorata e giudicata da algoritmi automatizzati che hanno l’unico scopo di modificare i nostri comportamenti con incentivi e sanzioni?

Nel caso in cui la risposta fosse affermativa, c’è un tema tecnico e giuridico. Questi sistemi per loro natura devono trattare quantitativi enormi di dati, anche molto sensibili. È quindi fondamentale progettarli rispettando il principio di privacy by design. Questo è un punto critico su cui DPO, consulenti, aziende e pubbliche amministrazioni devono confrontarsi già da oggi. Ogni sistema di monitoraggio su larga scala e profilazione, proprio come il social scoring, porta con sé molti rischi per i diritti e libertà delle persone, così come per le aziende che li usano – vulnerabili a sanzioni e danno reputazionale nel caso di uso di sistemi discriminatori e insicuri.

L’intervento potrà essere seguito dal vivo alla Fabbrica del Vapore a Milano oppure in streaming sul sito del Wired Next Fest. Clicca qui per ottenere tutte le informazioni necessarie!

L'articolo Wired Next Fest 2022 proviene da Netpatrol.

La Direttiva tratta introduce il c.d. “whistleblowing”, cioè quel metodo di segnalazione di illeciti aziendali in modo riservato o anonimo. Finora, soltanto le aziende dotate di modello organizzativo 231 erano tenute ad avere canali di segnalazione interni di questo tipo.

Ora la Direttiva impone invece l’obbligo di istituire canali di segnalazione interni per tutte le aziende con più di 50 dipendenti, a prescindere dall’adozione di modelli 231. Questi canali di segnalazione devono proteggere il whistleblower (il segnalante) e la sua identità, eventualmente garantendone anche l’anonimato – per scongiurare possibili ritorsioni da parte di colleghi, superiori o soggetti esterni.

Un sistema del genere deve rispettare rigorosi livelli di privacy e cybersecurity, sia a tutela del whistleblower che dell’azienda. Fughe di dati o notizie potrebbero essere lesive della reputazione aziendale. Per questo abbiamo deciso di mettere in pratica la nostra expertise in privacy e cybersecurity, creando un prodotto che potesse soddisfare appieno i requisiti normativi e le aspettative delle aziende.

Dotarsi di un software specializzato per il whistleblowing è anche un modo per proteggere la propria azienda. Secondo un rapporto della Association of Certified Fraud Examiners, le aziende con sistemi di segnalazione interna riescono a individuare illeciti con sei mesi di anticipo rispetto agli altri, mitigando i danni di almeno il 50%. È fondamentale però scegliere il software giusto, che possa garantire i più elevati standard di privacy e sicurezza.

Acara è il software per le segnalazioni anonime o riservate sviluppato da Net Patrol Italia, che mette al centro la riservatezza, la tutela dell’identità dei segnalanti e la sicurezza aziendale. È un sistema che garantisce il rispetto dei requisiti di legge e al tempo stesso incentiva una cultura della legalità in azienda. Con Acara i tuoi dipendenti hanno uno strumento sicuro per segnalare in modo sicuro ogni illecito, violazione di dati, mobbing o molestie sul lavoro.

Acara è sviluppato secondo i principi di privacy by design e security by design fin dalle prime fasi di progettazione, con una stretta collaborazione tra il team di sviluppo e il nostro team di consulenza. L’esito delle valutazioni è sintetizzato in un documento a disposizione dei clienti, che in questo modo saranno avvantaggiati nella fase di software selection e di valutazione d’impatto (articolo 35 GDPR).

L'articolo Acara, il software per il whistleblowing di Net Patrol Italia proviene da Netpatrol.

Il titolo della seconda edizione della Privacy Week è “hack THE PRESENT TO shape THE FUTURE“. Conoscere e agire sul presente per plasmare il futuro. Un concetto molto vicino alla filosofia che ci guida da sempre nell’aiutare le aziende a navigare oggi i rischi del digitale, per costruire un futuro solido, fondato su privacy e cybersecurity.

Si preannuncia quindi una settimana ricca di contenuti e divulgazione per la nostra squadra, con ben tre interventi dal lunedì al venerdì.

Chi parteciperà alla Privacy Week 2022

Matteo Navacci	Claudio Basso	Alberto Di Noia

Inizia lunedì 26 settembre alle ore 14:30, il nostro Matteo Navacci, esperto consulente e divulgatore #privacy, che terrà uno speech dal titolo “Orizzonte 2030: cittadini o codici a barre?” in cui parlerà di meccanismi di sorveglianza di massa, identità digitale e social scoring; per capire cosa ci succede intorno e cosa possiamo aspettarci per il futuro.

Claudio Basso, esperto di #cybersecurity e incident response, interverrà poi mercoledì 28 settembre alle ore 10:20 con un speech su “Come gestire e reagire a un incidente informatico“, in cui spiegherà come le aziende e le pubbliche amministrazioni possono prepararsi e reagire ad incidenti e attacchi informatici, per evitare che possano trasformarsi in un disastro.

Infine, venerdì 30 settembre alle ore 16:10 Alberto Di Noia, CEO di Net Patrol, si troverà a moderare una tavola rotonda dal titolo “Impatto del data breach sulla governance del dato” insieme a importanti ospiti ed esperti di rilievo internazionale, come Gruppo Calzedonia, Salesforce, FCA Bank e Findomestic Banca. Una tavola rotonda densa e importante, per capire quale può essere l’impatto tecnico e legale di una violazione di dati.

Gli eventi saranno trasmessi in streaming sul sito della Privacy Week!

L'articolo Net Patrol sponsor Privacy Week 2022 proviene da Netpatrol.

L’idea non è nuova: Apple è ormai famosa per valorizzare le caratteristiche di privacy e sicurezza dei suoi iPhone. Non è semplice però concretizzare il messaggio, soprattutto quando si parla di software complessi, destinati ad una vasta platea di soggetti (B2B o B2C).

Sempre più spesso capita che nella fase di selezione, i nuovi software siano valutati anche in relazione alla privacy. Le aziende sono sempre più alla ricerca di garanzie e informazioni utili per ciò che riguarda il rispetto del GDPR dei software che acquistano. D’altronde, è responsabilità dell’azienda trattare dati in conformità alla legge, e un software che non tiene conto della normativa può mettere in seria difficoltà un’azienda, esponendola anche a rischio di sanzioni.

Come dimostrare ai clienti la conformità del software?

Prima di tutto, è fondamentale tenere in considerazione i principi del GDPR fin dalle prime fasi di progettazione del software. In questo modo sarà possibile includere nel software tutte le misure necessarie per agevolare al cliente il rispetto del GDPR. Integrare i principi privacy nel ciclo di sviluppo del software può essere complesso, perché sono richieste competenze trasversali che gli sviluppatori spesso non hanno. Non sai come sviluppare i tuoi software secondo i principi della privacy by design? Leggi il nostro GDPR Insight: Privacy by design & privacy engineering!

Sviluppare un software secondo i principi di privacy by design non sempre basta, però. Il cliente ha bisogno di informazioni precise, semplici da comprendere, e complete. Per questo, abbiamo pensato al “patentino privacy” del software.

Il “patentino” privacy del software

Con alcune software house selezionate abbiamo analizzato i prodotti sviluppati e realizzato per loro un vero e proprio “patentino privacy” del software. Questa documentazione fornisce una descrizione dettagliata di ogni informazione necessaria a valutare il livello di conformità del software, sia dal punto di vista della privacy che della sicurezza. Il “patentino privacy” può essere un documento separato, o integrato alla documentazione tecnica del software.

La risposta dei clienti (e dei loro DPO) è stata superiore alle aspettative. La documentazione prodotta insieme è diventata vero e proprio perno centrale delle trattative commerciali. Questo tipo di documentazione non solo rassicura i clienti sulla bontà del software, ma diventa un vero e proprio biglietto da visita per la software house, che in piena trasparenza dimostra tutta la propria preparazione in una materia complessa come la privacy.

Per i clienti più esigenti, questa documentazione è anche una fonte utilissima di informazioni per sottoporre il trattamento di dati a valutazione d’impatto.

Ti interessa?

Se pensi che la tua software house sia pronta per sviluppare software secondo i principi di privacy by design, o se pensi che possa esserti utile corredare i tuoi software da un “patentino privacy“, contattaci!

L'articolo Il patentino privacy del tuo software proviene da Netpatrol.

Dal punto di vista dello sviluppo di app o servizi destinati alle aziende significa creare prodotti in grado di agevolare il rispetto dei requisiti di legge. Ad esempio: un applicativo CRM (Customer Relationship Manager) che non sia in grado di consentire una data retention granulare, o che non abbia determinate capacità di ricerca ed estrazione di dati personali, non sarà un prodotto appetibile sul mercato.

L’unione di competenze legali, competenze tecniche e metodologia, dà luogo all’attività chiamata privacy engineering, attraverso la quale è possibile integrare i processi di sviluppo di un software con i requisiti privacy.

Tra le migliori metodologie per la privacy engineering c’è il Secure Development Lifecycle (SDLC), che si presta bene ad integrare anche requisiti privacy oltre che di sicurezza.

Ne parla in modo approfondito il nostro Matteo Navacci, su Cybersecurity360: https://www.cybersecurity360.it/soluzioni-aziendali/app-mobile-e-privacy-by-design-regole-pratiche-di-sviluppo/

L'articolo App mobile e privacy by design, regole pratiche e metodologia per lo sviluppo proviene da Netpatrol.