COCUZZA & ASSOCIATI

COCUZZA & ASSOCIATI

Il trattamento dei dati personali nell’ambito del Whistleblowing

di Marta Margiocco

La segnalazione di condotte illecite e irregolarità da parte dei dipendenti del settore pubblico e privato (c.d. whistleblowing), materia che ha trovato una disciplina specifica con legge approvata dalla Camera il 15 novembre scorso, implica ovviamente il trattamento di dati personali e cioè la raccolta, registrazione, conservazione, comunicazione e cancellazione di dati personali (del segnalante, del segnalato, di eventuali terze persone fisiche).

Nell’adozione di un tale sistema di segnalazione occorre quindi non perdere di vista i principi della disciplina in materia di protezione di dati personali e le garanzie riconosciute dalla stessa agli interessati in materia, ad esempio, di individuazione dei ruoli e relative nomine, informative, misure di sicurezza.

La legge in commento lascia però aperti alcuni interrogativi circa il coordinamento di tale disciplina con quella relativa alla protezione dei dati personali, emersi peraltro ancor prima che il sistema di segnalazione, seppur adottato in diverse realtà lavorative, avesse una specifica disciplina in Italia, e che sono stati oggetto a livello europeo di un parere del Gruppo di lavoro ex articolo 29 (organo consultivo europeo indipendente) e a livello nazionale di una Segnalazione al Parlamento e al Governo del Garante per la protezione dei dati personali, entrambi del 2009.

Un primo punto critico è quello del presupposto di liceità del trattamento dei dati personali del segnalato. È infatti evidente che tale trattamento non potrà basarsi sul consenso dello stesso (che mai lo presterebbe) e pertanto per legittimarlo si dovrà fare riferimento a uno dei casi, specificamente previsti dalla disciplina in materia di protezione dei dati personali, in cui il trattamento dei dati personali è lecito anche senza il consenso dell’interessato. Il trattamento potrebbe ad esempio in astratto essere considerato lecito perché necessario per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, ritenendosi prevalente l’interesse del titolare al contrasto di condotte illecite sugli interessi e i diritti dell’interessato.

Un altro punto dibattuto è quello dell’esercizio del diritto di accesso ai dati personali da parte del soggetto segnalato. La nuova disciplina impone infatti al datore di lavoro, sia nel settore pubblico sia in quello privato, di garantire la riservatezza dell’identità del segnalante nelle attività di gestione della segnalazione: si tratta ovviamente di una necessaria tutela del soggetto lavoratore, volta a favorire la funzionalità del sistema di segnalazione e quindi l’emersione di fatti illeciti.

Questa tutela si scontra però con uno dei diritti fondamentali che la disciplina in materia di protezione dei dati personali riconosce all’interessato (e cioè al segnalato, in questo caso), ovvero quello di avere accesso ai propri dati personali e in particolare di conoscerne l’origine. Chiaro è che se questo diritto fosse riconosciuto al segnalato anche nell’ambito del sistema di segnalazioni, non sarebbe possibile garantire la riservatezza dell’identità del segnalante e si avrebbe un effetto dissuasivo sulle segnalazioni.

Share this post

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *