[doc. web n. 1607645]

Parere 1/2006 relativo all´applicazione della normativa UE sulla protezione dei dati alle procedure interne per la denuncia delle irregolarità riguardanti la tenuta della contabilità, i controlli contabili interni, la revisione contabile, la lotta contro la corruzione, la criminalità bancaria e finanziaria
1 febbraio 2006 - WP 117

Il Gruppo si è soffermato, nella sua analisi, sulle procedure di denuncia delle irregolarità (whistleblowing) riguardanti la tenuta della contabilità, i controlli interni, la revisione dei conti, la lotta contro la corruzione e la criminalità bancaria e finanziaria, e ha fornito linee-guida per le imprese che intendano introdurle. Procedure del genere, che possono aiutare un´impresa ad attuare correttamente i principi di governo societario e ad individuare fatti passibili di comprometterne la posizione, devono essere infatti attuate nel rispetto della direttiva n. 95/46/Ce, con particolare riferimento al diritto fondamentale alla protezione dei dati personali sia del denunciante, sia del denunciato.

Il Gruppo ha ribadito che i principi della direttiva devono essere applicati integralmente alle procedure di denuncia. In particolare, i sistemi di segnalazione devono essere finalizzati all´adempimento di un obbligo legale, imposto dal diritto comunitario o dal diritto degli Stati membri, diretto a istituire procedure di controllo interno in settori specifici, ovvero ritenuti necessari per il perseguimento dell´interesse legittimo del responsabile del trattamento. Tale interesse legittimo va però valutato e bilanciato con l´interesse o i diritti e le libertà fondamentali della persona.

Altri aspetti analizzati in dettaglio riguardano l´applicazione dei principi relativi alla qualità e alla proporzionalità dei dati trattati (limitazione del numero di soggetti autorizzati a denunciare presunte irregolarità, limitazione del numero dei soggetti denunciabili, promozione delle denunce nominative riservate rispetto a quelle anonime), l´obbligo di informativa, le misure di sicurezza da adottare nei trattamenti posti in essere, l´osservanza dei termini di conservazione dei dati, il diritto del denunciato di accedere ai dati che lo riguardano, di chiederne la rettifica o la cancellazione.

Vengono anche forniti suggerimenti riguardo alla gestione delle procedure di denuncia e, in particolare, è indicata l´opportunità per l´impresa di istituire un organo specifico preposto alla gestione delle denunce e all´attività di verifica, composto da personale in possesso di un´apposita formazione e vincolato da precisi obblighi di riservatezza.

Il Gruppo ha ritenuto che, se l´impresa è una multinazionale, in applicazione del principio di proporzionalità la valutazione delle denunce dovrebbe svolgersi a livello locale, ossia in un Paese dell´Unione europea, senza una condivisione automatica da parte di tutto il gruppo di imprese. Qualora, poi, le procedure comportino la possibilità di un trasferimento di dati verso Paesi terzi che non presentano un livello adeguato di protezione dei dati, le informazioni trattate potranno essere effettivamente trasferite solo in presenza del necessario presupposto giuridico, e cioè se il destinatario ha aderito al Safe Harbor (nel caso in cui abbia sede negli Usa), ha sottoscritto le clausole contrattuali standard, ovvero ha adottato Bcr.

Documento    (100 Kb)