Il Parlamento europeo, riunito a Strasburgo il 16 aprile 2019, ha approvato in via definitiva, con 591 voti favorevoli, 29 contrari e 33 astensioni, la Direttiva contenente le nuove norme poste dall’UE in materia di “whistleblowing”.

Le norme in questione garantiscono maggiori tutele a chi segnala illeciti sul posto di lavoro (cd “whistleblower”) in settori quali “appalti pubblici”, “servizi finanziari”, “riciclaggio di denaro”, “sicurezza dei prodotti e dei trasporti”, “sicurezza nucleare”, “salute pubblica”, “protezione dei consumatori e dei dati”.

Questa importante iniziativa di politica legislativa comunitaria si è resa necessaria alla luce delle risultanze di uno studio effettuato nel 2017, per conto della Commissione UE. Nello specifico è emerso come la mancanza di tutela degli informatori abbia comportato, nell’ambito degli appalti pubblici, quasi 10 miliardi di euro di perdite all’anno.

Tutele

Per garantire la sicurezza dei potenziali informatori nonché la riservatezza delle informazioni divulgate, le nuove norme consentiranno di comunicare le segnalazioni:

• all’interno dell’ente o azienda presso cui si lavora;
• direttamente alle autorità nazionali competenti;
• agli organi e le agenzie competenti della UE.

L’informatore sarà protetto anche qualora decidesse di divulgare pubblicamente le informazioni, in caso di pericolo imminente per l’interesse pubblico o rischio di ritorsione. Restano esentate dalle tutele le piccole aziende e i piccoli municipi.

La Direttiva, inoltre, vieta espressamente qualsivoglia tipo di rappresaglia nei confronti del segnalatore e vengono introdotte delle salvaguardie per evitare che lo stesso sia sospeso, demansionato e intimidito o subisca altre forme di ritorsione.

Garanzie

Saranno tutelati anche i soggetti che assistono gli informatori in qualità di facilitatori, colleghi e parenti.

Agli informatori dovranno essere, in ogni caso, garantiti:

• l’accesso gratuito a informazioni e consulenze complete e indipendenti sulle procedure e sui mezzi di ricorso disponibili;
• l’assistenza legale nel corso del procedimento;
• il sostegno finanziario e psicologico.

Iter d’approvazione del testo della Direttiva

Dopo l’approvazione definitiva del testo di legge da parte dei ministri UE, gli Stati membri dovranno adeguare le normative nazionali entro due anni. Attualmente, infatti, sono solo 10 i Paesi (Francia, Ungheria, Irlanda, Italia, Lituania, Malta, Paesi Bassi, Slovacchia, Svezia e Regno Unito) che offrono tutele complete a tutti settori o categorie di lavoratori.

Notizie correlate:

Whistleblowing: in arrivo la Direttiva

La Data Protection Board (Edpb) ha reso noto sul proprio sito istituzionale che l’autorità polacca per la protezione dei dati personali (UODO), nel mese di marzo 2019, ha inflitto ad una società svedese la prima sanzione ai sensi del Regolamento UE 2016/679 in materia di protezione dei dati personali (il “GDPR”). Nello specifico, la società è stata condannata al pagamento di una sanzione pari ad Euro 220.000, poiché ha elaborato i dati personali di taluni soggetti senza che quest’ultimi ne fossero consapevoli. È stato, infatti, accertato che la stessa non aveva rilasciato ad essi, in aperta violazione dell’art. 14 del GDPR, idonea informativa sul trattamento dei loro dati.

Normativa di riferimento

Nel caso in cui i dati raccolti non siano stati forniti direttamente dall’interessato, l’art. 14 del GDPR prevede che il titolare del trattamento gli fornisca le seguenti informazioni:

1. identità e dati di contatto propri e, ove applicabile, del suo rappresentante;
2. i dati di contatto del responsabile della protezione dei dati personali, ove applicabile;
3. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
4. le categorie di dati personali in questione;
5. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
6. ove applicabile, l’intenzione del titolare di trasferire dati personali al di fuori dell’Unione Europea;
7. il periodo di conservazione dei dati personali o, se non è possibile, i criteri utilizzati per determinare tale periodo;
8. gli eventuali legittimi interessi perseguiti dal titolare del trattamento o da terzi;
9. l’esistenza del diritto di chiedere al titolare di accedere ai propri dati, rettificarli o cancellarli, limitarne il trattamento ed opporsi ad esso nonché la loro portabilità;
10. qualora il trattamento si basi sul consenso prestato, l’esistenza del diritto di revocarlo in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
11. il diritto di proporre reclamo all’autorità di controllo;
12. la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;
13. l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno, in tali casi, informazioni significative sulla logica utilizzata nonché l’importanza e le conseguenze previste per l’interessato.

Il Titolare deve fornire all’interessato dette informazioni entro un termine ragionevole e, comunque, entro un mese dalla raccolta oppure al momento della comunicazione dei dati ad esso o a terzi.

Il caso

Nel caso in esame la società sanzionata – che offre supporto decisionale sotto forma di business digitale, marketing e informazioni creditizie – ha elaborato i dati molte persone fisiche (imprenditori), a loro insaputa.

Gli interessati non sono stati informati del trattamento dei loro dati e, quindi, sono stati privati della possibilità di esercitare i propri diritti ai sensi del GDPR. Gli stessi non hanno avuto la possibilità di opporsi all’ulteriore elaborazione dei loro dati, per chiederne la cancellazione o la rettifica.

In particolare, la società ha fornito le informazioni di cui all’art. 14 del GDPR solo alle persone di cui aveva un indirizzo e-mail. Nei confronti delle altre, invece, non ha rispettato l’obbligo informativo, a causa (per sua stessa ammissione) degli “elevati costi operativi” che avrebbe dovuto sopportare nell’inviare loro l’informativa per raccomandata, limitandosi a pubblicare l’informativa privacy sul suo sito web.

Secondo il presidente dell’UODO la società, disponendo sia degli indirizzi postali che dei numeri di telefono di dette persone, ben avrebbe dovuto adempiere in tal modo all’obbligo informativo nei loro confronti. Le disposizioni del GDPR, infatti, non impongono al titolare del trattamento di inviare l’informativa “per raccomandata”.

Il presidente dell’UODO, dunque, ha ritenuto la violazione della società intenzionale, proprio perché la stessa era consapevole dell’obbligo di fornire informazioni pertinenti nonché della necessità di informare direttamente le persone.

Nell’infliggere la sanzione, l’UODO ha anche tenuto conto del fatto che la società non avesse intrapreso alcuna azione (correttiva) per porre fine all’infrazione, né avesse dichiarato la propria intenzione di farlo.

In conclusione, l’UODO ha considerato tale violazione molto grave poiché “riguarda i diritti e le libertà fondamentali delle persone, i cui dati sono trattati dalla società e si riferiscono alla questione di base: le informazioni da fornire all’interessato riguardanti il trattamento dei suoi dati personali. Imporre la multa è necessario, perché il controllore non è conforme alla legge”.

Considerazioni

Si tratta di una importante pronuncia atteso che (i) la sanzione deriva dalla violazione di una normativa Europea (applicabile come noto anche nel nostro ordinamento) in materia di protezione dei dati personali e non nazionale e (ii) evidenzia un errore in termini di compliance aziendale. Ciò in quanto la società non aveva adempiuto all’onere sulla stessa gravante, omettendo di informare gli interessati in merito al trattamento dei loro dati.

Notizie correlate:

Licenziamento collettivo e criteri di scelta

Linee Guida del Comitato Europeo per la Protezione dei Dati sull’applicazione territoriale del GDPR

La l. 3/19 ha introdotto rilevanti novità in materia di responsabilità amministrativa degli enti. Il provvedimento legislativo in esame, tra le altre, ha inserito nel decalogo dei reati presupposto di cui al D.Lgs. 231/01 il reato di traffico di influenze illecite. La disposizione punisce chiunque, sfruttando o comunque vantando la sussistenza di relazioni esistenti o asserite con taluno, abbia fatto dare promettere a sé o a terzi denaro od altre utilità. Ciò o come prezzo della propria mediazione illecita ovvero per remunerare un pubblico ufficiale o un incaricato di pubblico servizio in relazione all’esercizio delle sue funzioni e dei suoi poteri. Questa fattispecie normativa ha lo scopo di reprimere qualsiasi tipo di condotta che possa essere volta a determinare un atto corruttivo. In tal senso, la parte speciale relativa alla repressione dei delitti contro la Pubblica Amministrazione dei modelli 231 dovrà essere strutturata e/o aggiornata in modo tale da prevenire l’integrarsi di fenomeni corruttivi, che potrebbero in astratto essere integrati da amministratori, dirigenti e, in generale, da qualsiasi dipendente degli enti. In caso di integrazione del reato in oggetto, all’ente si applica la sanzione pecuniaria da un minimo di 51.646 Euro ad un massimo di 309.874 Euro.

Alberto De Luca sarà relatore al convegno “Le operazioni di distressed M&A: novità normative e best practice” organizzato da Convenia il prossimo 21 e 22 maggio a Milano.

Location e orari

Il convegno si terrà presso l’NH Milano Machiavelli in Via Lazzaretto, 5 – 20124 Milano.

I lavori inizieranno alle h 9.00 e termineranno alle h 17.00.

Focus

Scenari di mercato e nuovo quadro normativo Distressed M&A nell’ambito di operazioni di NPL/UTP, acquisizioni di asset nelle procedure concorsuali e di target quotate, Distressed M&A e responsabilità penale, aspetti giuslavoristici, problematiche fiscali valutazione di società in crisi, ruolo del liquidatore/temporary manager, intervento di un investitore istituzionale: questi gli argomenti che verranno trattati dagli esperti del settore.

In particolare, l’intervento di Alberto De Luca “Distressed M&A: opportunità e rischi nella gestione dei rapporti di lavoro in continuità e in esubero” verterà nello specifico sulle seguenti tematiche:

– disciplina particolare per le aziende in crisi: derogabilità    dei diritti quesiti dei lavoratori per previsione di legge e fenomeni di cherry picking

– ruolo delle relazioni sindacali

– diritto di recesso nel rapporto di lavoro dirigenziale e non

Antonella Iacobellis è intervenuta durante una lezione tenutasi lo scorso 8 e 9 aprile inerente al modulo Diritto del Lavoro del master “Diritto e Impresa” (Roma) organizzato da Il Sole 24 ORE Business School.

8 aprile 2019

La docenza ha avuto ad oggetto le fonti del diritto del lavoro, l’instaurazione del rapporto di lavoro, elementi tipizzanti del rapporto di lavoro subordinato e del rapporto di lavoro autonomo, art. 2103 c.c. “Jus variandi” con focus particolare sul demansionamento.

Esercitazione: redazione di un contratto di lavoro subordinato e di un patto di non concorrenza.

9 aprile 2019

La docenza avrà ad oggetto la cessazione del rapporto di lavoro: tutela reale e tutela obbligatorio, licenziamenti individuali e collettivi, dimissioni. Focus sull’intervento della Corte Costituzionale con riferimento alle tutele crescenti e successive pronunce sul tema.

Esercitazione: redazione di una lettera di licenziamento per giustificato motivo oggettivo.