di Fabrizio Vedana

L’accesso ai dati personali contenuti o connessi a segnalazioni di operazioni sospette di riciclaggio o di illeciti (whistleblowing) può avvenire solo se vengono garantite specifiche misure di sicurezza ovvero con l’autorizzazione del Garante Privacy. Lo prevede l’articolo 2-undecies del decreto legislativo 101 del 10 agosto 2018, pubblicato il 4 settembre scorso sulla Gazzetta Ufficiale (si veda ItaliaOggi di ieri), con il quale vengono dettate disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
Tra le novità di maggior rilievo si evidenziano quelle contenute nel citato articolo 2-undecies il quale prevede, appunto, la limitazione all’esercizio dei diritti dell’interessato qualora ne possa derivare un pregiudizio effettivo e concreto:
– agli interessati tutelati in base alle disposizioni in materia di riciclaggio;
– agli interessati tutelati in base alle disposizioni in materia di sostegno alle vittime di richieste estorsive;
– alle attività svolte da un soggetto pubblico diverso dagli enti pubblici economici, in base ad espressa disposizione di legge per esclusive finalità inerenti la politica monetaria e valutaria, al sistema dei pagamenti al controllo degli intermediari e dei mercati creditizi e finanziari;
– alla riservatezza dell’identità del dipendente che segnala ai sensi della legge 30 novembre 2017, n. 179, l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio (Whistleblowing).

Il comma 3 della citata disposizione, nel disciplinare più in dettaglio le modalità con le quali i diritti di cui agli articoli da 15 a 22 del Regolamento Ue 2016/679 (ovvero il diritto di accesso, di rettifica, di cancellazione o oblio, di limitazione, di portabilità e di opposizione al trattamento del dato) potranno essere esercitati dal soggetto interessato, richiede il rispetto delle misure di tutela della riservatezza specificamente previste dalle rispettive normative (dlgs 231/07 per quanto riguarda l’antiriciclaggio e dlgs 179/17 per quanto riguarda il whisltleblowing). L’esercizio dei diritti citati può, in ogni caso, essere ritardato, limitato o anche escluso con comunicazione motivata e resa senza ritardo all’interessato a meno che la comunicazione possa compromettere la finalità della limitazione per il tempo e nei limiti in cui ciò costituisca una misura necessaria e proporzionata. In tali casi i diritti dell’interessato possono essere esercitati anche tramite il Garante Privacy con le modalità previste dall’articolo 160 del dlgs 196/03.

Tra le altre norme si segnala anche l’articolo 2-terdecies il quale prevede, tra l’altro, che l’esercizio dei diritti di accesso di ai dati personali concernenti le persone decedute spetta a chi ha un interesse proprio o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione. La volontà dell’interessato, sino a che risulti essere in vita, di vietare l’esercizio dei diritti deve risultare in modo non equivoco e deve essere specifica, libera e informata. Si evidenzia inoltre che il predetto divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché dal diritto di difendere in giudizio i propri interessi.

Fonte: