Con particolare riferimento alla disciplina portata dal Decreto Legislativo 231/2001 in materia di responsabilità da reato degli enti, il Garante privacy è intervenuto sul trattamento dei dati relativi a segnalazione di illeciti da parte di datori di lavoro.
Alla luce di una "incertezza normativa", il Garante ha segnalato al Parlamento e al Governo l'opportunità che sia valutata, in relazione all'utilizzo di sistemi di segnalazione di presunti illeciti commessi da soggetti operanti a vario titolo nell'ambito di un'organizzazione aziendale, l'adozione di apposite disposizioni legislative volte a:
• individuare i presupposti di liceità del trattamento effettuato per il tramite dei citati sistemi di segnalazione, in particolare delineando una base normativa che definisca, innanzi tutto, l'ambito soggettivo di applicazione della disciplina e le finalità che si intendono perseguire;
• valutare in particolare, nel processo di perimetrazione sul piano soggettivo della disciplina, se estenderla a ogni tipo di organizzazione aziendale ovvero, per esempio, riferirla alle sole società ammesse alle negoziazioni su mercati regolamentati;
• individuare nell'ambito dei soggetti operanti a vario titolo all'interno delle società coloro che possono assumere la qualità di soggetti "segnalati";
• individuare in modo puntuale le finalità che si intendono perseguire e le fattispecie oggetto di possibile "denuncia" da parte dei segnalanti;
• definire la portata del diritto di accesso previsto dall'art. 7 del Codice da parte del soggetto al quale si riferisce la segnalazione (interessato), con riguardo ai dati identificativi dell'autore della segnalazione (denunciante);
• stabilire l'eventuale ammissibilità dei trattamenti derivanti da segnalazioni anonime.
Secondo il Garante, "Non potendo sostenersi che la segnalazione avverrebbe per la necessità di adempiere ad un obbligo legale (di cui, come detto, non vi è chiara enunciazione nell'ordinamento), un trattamento di dati personali di questo tipo, da attuare evidentemente in assenza del consenso degli interessati, potrebbe in astratto essere lecito sulla base di un provvedimento di "bilanciamento di interessi" da parte di questa Autorità (ai sensi dell'art. 24, comma 1 lett. g), del Codice in materia di protezione dei dati personali). Bilanciamento che potrebbe basarsi unicamente sulla finalità di "perseguire un legittimo interesse del titolare del trattamento o di un terzo" (quale potrebbe essere, nel caso di specie, la garanzia della stabilità dei mercati finanziari, il contrasto a fenomeni di corruzione ecc.). E' evidente che in questo caso l'intervento del Garante avverrebbe comunque in un quadro di riferimento incerto e generico e comporterebbe delicate scelte volte a "perimetrare" l'ambito di applicazione della nuova disciplina. Scelte che, peraltro, sarebbero comunque condizionate dallo stesso Codice, dal momento che la citata norma di riferimento (art. 24) non consente di ricomprendere, nell'ambito di un eventuale provvedimento di bilanciamento di interessi, talune specifiche tipologie di trattamento. Ulteriori criticità sono poi ravvisabili in relazione all'estensione del diritto di accesso da parte del soggetto "segnalato" (con particolare riferimento al diritto di conoscere l'origine dei dati e, segnatamente, quelli identificativi dell'autore della segnalazione), nonché all'eventuale idoneità delle segnalazioni anonime ad attivare procedure interne di controllo.
(Garante per la protezione dei dati personali, Segnalazione 10 dicembre 2009: Segnalazione al Parlamento e al Governo sull'individuazione, mediante sistemi di segnalazione, degli illeciti commessi da soggetti operanti a vario titolo nell'organizzazione aziendale (art. 154, comma 1, lett. f), d.lg. 30 giugno 2003, n. 196)).

fonte http://www.filodiritto.com/index.php?azione=archivionews&idnotizia=2334