È ormai corrente la espressione anglosassone “whistleblowers”, vale a dire suonatori di fischietto, per fare riferimento a dipendenti o soggetti, per lo più interni all’azienda, che segnalano anomalie e illegalità che avvengono all’interno dell’azienda stessa. Il caso clamoroso di Edgard Snowden, che ha segnalato e diffuso attività di intercettazione su larga scala, condotte dalla central intelligence agency, ne rappresentano un esempio clamoroso.

Tuttavia esistono anche casi meno vistosi, ma altrettanto significativi, come ad esempio il caso che vide coinvolti tre dipendenti delle ferrovie dello Stato, che avevano segnalato problemi di manutenzione sulla rete ferroviaria. I tre dipendenti decisero di rivolgersi alla trasmissione Report perché le loro segnalazioni, utilizzando i canali interni della società, non avevano avuto alcun riscontro.

Appare evidente che nella raccolta e nella gestione di questo tipo di segnalazioni possono essere coinvolti dati personali, anche sensibili, che rientrano senz’altro nel campo di protezione offerta dal nuovo regolamento dell’unione europea 2016/679. È in questo contesto che diventa preziosa una recentissima pubblicazione del supervisore europeo per la protezione dati personali, Giovanni Buttarelli, che ha dato indicazioni sulle modalità con cui è possibile proteggere e trattare i dati personali, acquisiti in questo specifico contesto.

Ad esempio, deve essere garantita la protezione dei dati del segnalatore, per evitare che egli rifugga dall’avanzare preziose segnalazioni, per timore di essere sottoposto a rappresaglie o comunque essere pubblicamente svillaneggiato dai colleghi, che non ci metterebbero più di un minuto a classificarlo come una spia!

Parimenti, i dati delle persone coinvolte nella segnalazione debbono essere protetti con grande attenzione, per il semplice fatto che, almeno finché l’esame della segnalazione non è stato portato a termine, potrebbe anche darsi che non si ravvisino elementi che possano portare all’avvio di una procedura disciplinare o addirittura ad una denuncia alla magistratura inquirente.

Ecco perché, nell’elaborare un codice etico ed in particolare nell’elaborare le procedure che permettono di ricevere segnalazioni di comportamenti potenzialmente illeciti, occorre prestare estrema attenzione alle modalità con cui vengono raccolti e trattati i dati personali di tutti i soggetti coinvolti.

La autorevolezza di chi ha emesso questo documento, che per la verità è indirizzato specificamente alle istituzioni europee, ma che indubbiamente dà preziose indicazioni a chiunque si occupi di dati personali, fa sì che esso possa essere ritenuto una sorta di “norma europea” nel settore, assumendo così la statura di un documento che indica prescrizioni conformi alla regola d’arte.

Adalberto Biasiotti

Allegato testo completo in PDF.

Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

Direttiva (Ue) 2016/680 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio

Segnala questa news ad un amico

Questa news è stata letta 1087 volte.