|
PRIVACY E CONFLITTO DI INTERESSI
MERCATO GLOBALE E NORME APPLICABILI
Le imprese devono confrontarsi
con diversi modelli di tutela
 Riccardo
Imperiali
Studio Legale Imperiali
riccardo.imperiali@imperiali.com
La tutela della privacy segue due diverse direttrici
di marcia negli Stati Uniti e nell'Unione Europea. Nel vecchio
continente, il data protection viene regolato dalla legge
con una serie di adempimenti standard e modelli comportamentali
uniformi. In caso di violazioni, è apprestata la garanzia
del ricorso all'Autorità Giudiziaria o a un'Autorità amministrativa
indipendente: in Italia, il Garante per la protezione dei
dati personali, in Francia, la Commission nationale de l'informatique
et des libertès (CNIL), e così via per tutti
gli Stati membri dell'UE. Il data privacy americano persegue
il medesimo obiettivo di tutela delle informazioni personali,
sulla base di un diverso approccio regolatorio: la legge
non definisce, in maniera uniforme, la rete di standard comportamentali
privacy, ma ne rimette la regolamentazione - settore per
settore - all'autonomia privata, in funzione di un valore
economico fondamentale: la fiducia dei consumatori nel mercato.
Non a caso, l'Authority americana competente in materia è la
Federal Trade Commission, un'istituzione di vigilanza sul
corretto andamento dei mercati. Solo in casi particolari,
circoscritto a quei settori dove il meccanismo autodisciplinare
non ha sortito il consolidamento fiduciario auspicato, interviene
il legislatore USA. Pertanto, se il data protection è orientato
verso il consumatore, sarà inevitabilmente impattato
da tutte quelle norme che mirano a consolidare la fiducia
dei consumatori nel business aziendale: una di queste è il
Sarbanes-Oxley Act.
Il Sarbanes-Oxley Act
Nel 2002, dopo l'ondata di scandali legati al mondo della
revisione dei bilanci, gli Stati Uniti hanno varato una normativa
sulla trasparenza gestionale delle imprese: il Sarbanes-Oxley
Act, presentato come "un atto destinato a proteggere
gli investitori". Ne emerge una disciplina concentrata
sulla revisione contabile e sulla trasparenza dei bilanci,
con un reticolo di norme tese a impedire pratiche scorrette
e conflitti di interesse, soprattutto da parte di revisori
contabili e analisti finanziari, ma non solo. In chiave di
prevenzione, è richiesta l'istituzione di un'apposita
funzione di controllo interno (audit committee) abilitata
a ricevere segnalazioni di condotte moralmente sospette e
potenzialmente rivelatrici degli illeciti paventati. I fatti
denunciati possono coinvolgere, oltre ai vertici aziendali,
anche dirigenti non amministratori, funzionari e semplici
dipendenti.
Il contesto europeo
In virtù del principio di punibilità di comportamenti
illeciti riconducibili ad azioni rientranti sotto il controllo
della casa-madre americana, diverse holding d'oltreoceano
hanno esteso i dispositivi di "allarme etico" presso
le proprie filiali europee, ben oltre la finalità di
trasparenza gestionale. Segnalazioni anonime estese ai vincoli
di parentela, amicizie e rapporti sentimentali di colleghi
o superiori, rischiano di innescare veri e propri sistemi
di delazione transfrontaliera - tra filiale e capogruppo
- a scapito della dignità e riservatezza delle persone "segnalate".
Alcune Privacy Authorities del vecchio Continente sono già insorte,
bloccando i trasferimenti di dati oltreoceano a causa dei
profili di illegittimità che una rigida applicazione
dell'atto normativo statunitense può comportare rispetto
agli standard europei di tutela della privacy.
Il contesto italiano
Lo Statuto dei lavoratori e la recente disciplina di attuazione
della riforma Biagi delineano un quadro normativo in cui è vietata
al datore di lavoro l'attività di indagine su fatti
non rilevanti ai fini della valutazione dell'attitudine professionale
del lavoratore, sia all'atto dell'assunzione che nel corso
di svolgimento del rapporto.
Nel Codice privacy, il divieto di indagine sui fatti non
rilevanti ai fini della valutazione professionale si giustifica
alla luce dei principi fondamentali di tutela dei dati personali:
necessità, pertinenza e non eccedenza dei dati personali
utilizzati.
Il principio di necessità
Alle società con sede in Italia - ma il principio
si applica all'intero Spazio Comune Europeo - siano esse
nazionali o filiali di holding americane, non è consentito
immagazzinare tutte le informazioni personali che potrebbero
tornare "utili" per la tutela dei propri interessi.
L'impresa deve farsi carico di organizzarsi in modo tale
che l'uso dei dati personali sia effettivamente ed efficacemente
ridotto al minimo. Ad esempio, configurando adeguatamente
i propri sistemi informativi e i programmi informatici. Ciò sta
a significare che è preciso obbligo dell'imprenditore
escludere il trattamento quando le finalità perseguite
possono essere realizzate - in maniera meno invasiva - attraverso
dati anonimi o modalità che permettano di identificare
l'interessato solo in caso di necessità; ad esempio,
tramite l'uso di codici identificativi.
I principi di pertinenza e non eccedenza
In aggiunta al principio di necessità, anche quelli
di pertinenza e non eccedenza sono bastioni a difesa della
riservatezza dei singoli che non consentono attuazioni del
Sarbanes-Oxley Act tanto intraprendenti da risultare insensibili
ai profili di tutela della dignità individuale. Il
Titolare del trattamento deve sempre essere certo che i dati
personali raccolti e utilizzati siano strettamente inerenti
a una determinata finalità dichiarata e legittima
- come può essere il perseguimento di trasparenza
gestionale e la prevenzione di conflitti di interesse - e
che essi non eccedano tale finalità: non siano, cioè,
uno strumento sproporzionato al fine.
Conseguenze e possibili soluzioni
La prassi - seguita anche da diverse filiali italiane di
majors statunitensi - di raccogliere delicate informazioni
personali su dirigenti e funzionari con poteri di scelta
dei fornitori e/o consulenti, spesso non rispetta i limiti
accennati e invade la sfera di riserbo delle persone, traducendosi
in una vera attività di delazione organizzata. Il
che costituisce violazione del codice privacy e dello statuto
dei lavoratori. La finalità di trasparenza gestionale
e di prevenzione di conflitti di interesse è legittima,
ma deve essere perseguita mediante un accorto dosaggio delle
assunzioni di informazioni, evitando un approccio che possa
alterare delicati equilibri previsti dal legislatore nel
disciplinare la "zona grigia" fra vita professionale
e sfera dell'intimità individuale. Ciò significa,
in concreto, che gli obiettivi del "Sarbanes" dovranno
essere perseguiti con strumenti diversi dalla delazione sistematica,
ad esempio:
- adottando un codice etico aziendale che prescriva ai diretti
interessati - a fronte di sanzioni disciplinari - di segnalare
preventivamente situazioni di potenziale conflitto di interesse
che li riguardino, con l'obbligo di astenersi dal compiere
operazioni in tale contesto. In tal modo, si estenderebbe
ai quadri aziendali intermedi - dirigenti, funzionari o dipendenti
con potere di firma - la portata morale di un obbligo che
- sul piano giuridico - vincola, in Italia, i soli amministratori
di società di capitali;
- riducendo al minimo il ricorso ai dati identificativi di
dirigenti e quadri intermedi, a carico dei quali la legge
non prevede alcun obbligo di segnalazione preventiva che
implichi il rilascio di informazioni personali. Anche perchè,
il fatto che un dirigente d'azienda sia legato da rapporti
extralavorativi con un professionista non significa che si
profili necessariamente un conflitto di interesse qualora,
ad esempio, presso la società di consulenza il professionista
in questione segua attività e lavori differenti da
quelli oggetto di consulenza;
- vincolando contrattualmente i professionisti iscritti ad
albi, alla segnalazione di possibili profili di conflitto
e a rinunciare al mandato in caso di incompatibilità,
come prescritto in molti codici deontologici di categoria.
|
