Con la nuova legge si compie certamente un passo in avanti rispetto alle problematiche giuridiche connesse alla predisposizione ed implementazione di procedure di “whistleblowing”, con cui le aziende (nello specifico controllate con sede nell’UE delle imprese statunitensi) hanno dovuto confrontarsi sin dal lontano 2002 in ragione degli adempimenti richiesti dal Sarbanes-Oxley Act. Articolati sistemi di denuncia interni la cui necessità deriva, evidentemente, dalla difficoltà di assicurare l’osservanza delle disposizioni normative e di buon governo societario.
Nuove regole vengono dunque imposte per controllare l’osservanza di altre regole. Nello specifico, l’adozione dei sistemi di whistleblowing interni comporta, in primo luogo, un problema di tutela di dati personali: raccolta, registrazione, conservazione, comunicazione e distruzione di dati relativi alle persone denunciate e ai denuncianti. Rispetto a questi aspetti, nonostante il lungo processo di discussione e approvazione, la prima impressione è che la nuova normativa lasci ancora aperti molti dubbi interpretativi e dunque notevole incertezza laddove si intenda predisporre una procedura interna di denuncia le cui modalità risultino conformi alle disposizioni vigenti in materia di protezione dei dati personali.
Tra questi, aspetti già individuati a livello europeo dal “Gruppo di lavoro sulla protezione dei dati personali ex art. 29”nel febbraio 2006 con il Parere 1/2006 e segnalati nel 2009 dalla stessa Autorità Garante per la Protezione dei Dati Personali (il “Garante”) al Parlamento e al Governo. In particolare, la necessità di individuare i presupposti di liceità del trattamento effettuato per il tramite dei citati sistemi di segnalazione, da attuarsi evidentemente in assenza del consenso degli interessati. Al riguardo, per il settore privato, la nuova norma non prevede un obbligo di legge di segnalare illeciti ma, nel novellare l’ art. 6 del Dlgs 231/2001, si dispone solamente che, laddove venga adottato – per volontà dell’ente/datore di lavoro – un modello di organizzazione, gestione e controllo, esso debba individuare canali per effettuare segnalazioni di condotte illecite.
Quanto meno in alcuni casi diverrà pertanto difficile poter sostenere che il trattamento connesso alla segnalazione avvenga per la necessità di adempiere ad un obbligo legale. Un tale trattamento potrebbe in astratto essere lecito sulla base di un provvedimento di “bilanciamento di interessi” da parte del Garante connesso alla finalità di perseguire un “legittimo interesse” del titolare, rispetto al quale però già nel 2009 il Garante aveva espresso perplessità.
Probabilmente tutte questi interrogativi dovranno essere risolti direttamente dalle medesime aziende – soprattutto dal prossimo maggio 2018 con il nuovo Regolamento – adottando un approccio diverso verso il tema data protection ovvero quello di “responsabilizzarsi” (“accountability”) e configurare i trattamenti effettuati prevedendo fin dall’inizio le garanzie indispensabili al fine di soddisfare i requisiti di legge e tutelare i diritti degli interessati. Ampio spazio dunque agli interpreti.
