IL PUNTO SU

Whistleblowing: recepita la Direttiva UE
L’approvazione del decreto legislativo che recepisce la direttiva UE sul whistleblowing comporta implicazioni sul piano della tutela dei dati personali sia di chi segnala i presunti illeciti, sia delle persone segnalate che di eventuali terzi coinvolti nel processo.

Il 9 marzo 2023 il Consiglio dei Ministri ha approvato in via definitiva il Decreto legislativo che recepisce la direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, la cd. direttiva whistleblowing riguardante la protezione degli informatori (whistleblower), cioè di coloro che segnalano a enti per cui lavorano o con cui collaborano violazioni del diritto compiute da terzi (i cosiddetti segnalati).

La Direttiva impone agli Stati membri di obbligare un’ampia platea di soggetti pubblici e privati a mettere a disposizione dei potenziali whistleblower canali di segnalazione efficaci, riservati e sicuri e a proteggerli da eventuali ritorsioni. Per i lavoratori, l’esigenza di protezione deriva dalla loro vulnerabilità economica nei confronti del soggetto da cui dipendono, di fatto, per il lavoro. Un tema di protezione si pone anche per i lavoratori indipendenti, i contraenti, i subappaltatori e i fornitori: anche costoro, quando segnalano presunti illeciti, sono esposti a ritorsioni come la risoluzione o l’annullamento del contratto di servizi, della licenza o del permesso, la perdita di opportunità commerciali, la perdita di reddito, forme varie di coercizione, intimidazioni o vessazione, l’inserimento nelle liste nere, il boicottaggio o danni alla reputazione.

Gli elementi innovativi del Decreto legislativo 24/2023 sono:

• l’estensione della platea dei destinatari degli obblighi (pubblici e privati);
• l’estensione delle condotte potenzialmente illecite ritenute meritevoli di segnalazione:
• l’integrazione del classico canale di segnalazione (interno agli enti) con un canale di segnalazione esterno affidato all’Autorità anti-corruzione (ANAC) che permette un’escalation laddove necessario;
• il rafforzamento della tutela dei whistleblowers con norme e garanzie volte ad evitare che siano scoraggiati dal segnalare per paura delle conseguenze o che, qualora abbiano segnalato violazioni, siano penalizzatiSono destinatari degli obblighi derivanti dal Decreto tutti gli enti del settore pubblico.

Fra i soggetti del settore privato, lo sono quelli che hanno impiegato, nell’ultimo anno, la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato, quelli che rientrano nell’ambito di applicazione delle normative europee indicate dalla Direttiva (UE) 2019/1937 come rilevanti (anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati), quelli che adottano Modelli di organizzazione, gestione e controllo ai sensi del Decreto legislativo 231/2001 (anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati).

Il legislatore italiano ha preferito evitare le segnalazioni totalmente anonime: le persone designate dagli enti a ricevere o a dare seguito alle segnalazioni, nella misura in cui sono espressamente autorizzate dagli enti a trattare tali dati personali, potranno conoscere l’identità del whistleblower senza bisogno di un espresso consenso di quest’ultima.

Data: 15 marzo 2023
Fonte: Decreto Legislativo

Il Garante della Privacy approva il Codice di condotta sul telemarketing
Il Codice acquisterà efficacia una volta conclusa la fase di accreditamento dell’Organismo di monitoraggio (Odm) e la successiva pubblicazione in Gazzetta Ufficiale.
L’adozione del Codice di condotta da parte del Garante ha la sua importanza nella lotta al telemarketing selvaggio, se si considera la larga adesione da parte dei principali operatori del settore che può rendere più facile diffondere nel mercato principi e misure a tutela dei consumatori.
Stabilisce che nei contratti stipulati dall’operatore con l’affidatario del servizio si dovrà prevedere  una penale o la mancata corresponsione della provvigione per ogni vendita di servizi realizzata in seguito a contatto promozionale senza consenso.
Per assicurare il rispetto della normativa privacy “dal contatto al contratto” le società che aderiranno al Codice, si impegneranno a dovere provvedere all’adozione di determinate misure che garantiscano la correttezza e la legittimità dei trattamenti di informazioni svolte lungo l’intera “filiera” del telemarketing.
Dovranno raccogliere consensi specifici per le singole finalità (marketing, profilazione), informare in modo preciso le persone contattate sulle finalità per le quali vengono utilizzate le loro informazioni personali, assicurando il pieno esercizio dei diritti previsti dalla normativa privacy (opposizione al trattamento, rettifica o aggiornamento delle stesse).

Data: 24 marzo 2023
Fonte
 

HISTORIES

Il numero di attacchi in Italia è quasi raddoppiato nel 2022
L’Osservatorio Cybersecurity di Exprivia nel 2022 registra 2.600 fenomeni legati al cybercrime, quasi il doppio rispetto al 2021. Hacker sempre più capaci di andare a segno e causare incidenti informatici, che per la prima volta da quando viene diffuso il report superano gli attacchi.

Il nuovo Threat Intelligence Report di Exprivia ha utilizzato 118 fonti aperte (dai siti Web delle aziende colpite alle notizie riportate dalle agenzie di stampa) per analizzare quantitativamente e qualitativamente lo stato della sicurezza informatica nel nostro Paese. I risultati sono davvero negativi: il 2021 era stato infatti indicato unanimemente come l’anno peggiore di sempre per la sicurezza IT, ma i dati relativi al 2022 sono ancora più gravi.
Lo scorso anno si sono registrati nel complesso 2.600 eventi legati al cybercrime, di cui 1.236 attacchi, 1.261 incidenti e 103 violazioni della privacy; un numero quasi doppio rispetto ai 1.356 del 2021 e più che quadruplicato rispetto ai 605 del 2020.
Solo nell’ultimo trimestre del 2022 si contano 547 eventi, con una progressiva crescita nel mese di dicembre (che da solo ne conta 257), che si colloca al terzo posto nella poco invidiabile classifica del numero di incidenti riportati, dopo marzo e maggio.
Per la prima volta da quando è nato l’Osservatorio Cybersecurity di Exprivia sulle minacce informatiche in Italia, inoltre, il numero di incidenti (ovvero gli attacchi andati a buon fine) supera quello degli attacchi.
 
Data: 12 Febbraio 2023
Fonte
 

DOMANDE E RISPOSTE

Cosa si intende per Soft Spam?
La normativa UE sul marketing elettronico, risalente al lontano 2002, ammette l'invio di proposte commerciali, senza consenso, a chi è già cliente, limitatamente a prodotti analoghi, ma solo se si usa la posta elettronica. Per tutti gli altri mezzi di comunicazione elettronica, ci vuole il consenso preventivo. La regola, introdotta oltre venti anni fa, continua ad essere vigente così come è stata varata.

Come compilare un data breach?
Con apposito provvedimento n. 209 del 27 maggio 2021 [doc. web n. 9667201], l’Autorità Garante per la protezione dei dati personali ha reso operativi una serie di strumenti a supporto dei titolari del trattamento, al fine di facilitare le operazioni di notifica di data breach in via telematica: 

È possibile mantenere una casella di posta del dipendente dimesso?
È una violazione del trattamento dei dati personali mantenere in attività una casella di posta intestata a un ex lavoratore o collaboratore, pur se per un tempo limitato.
È altresì una violazione leggere le e-mail ricevute su tale casella e rispondere da quest’ultima per segnalare una diversa casella della medesima azienda. Lo stabilisce il Garante per la protezione dei dati personali con un'Ordinanza-ingiunzione dell'11 gennaio 2023.