Whistleblowing: violazioni della privacy
Nella Newsletter n. 488 dell’11 maggio 2022 il Garante per la protezione dei dati personali sottolinea l’importanza che PA e imprese prestino la massima attenzione nella gestione dei sistemi di whistleblowing, garantendo la massima riservatezza dei dipendenti e delle altre persone che effettuano segnalazioni di condotte illecite.
In particolare, sono state rilevate, da una serie di attività ispettive sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, violazioni del Gdpr.
La materia è stata disciplinata, inizialmente, nell’ambito del lavoro delle amministrazioni pubbliche (art. 54-bis del D.lgs. 30 marzo 2001, n. 165), e successivamente si è intervenuti disciplinando il whistleblowing riferito ai soggetti privati (L. n. 179/2017).
E’ stato previsto che i soggetti devono trattare i dati necessari all’acquisizione e gestione delle segnalazioni nel rispetto anche della disciplina in materia di protezione dei dati personali.
Il Regolamento in materia ha disciplinato gli obblighi e le altre forme di cooperazione cui è tenuto il responsabile del trattamento e l’ambito delle relative responsabilità.
Il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile anche sotto il profilo della sicurezza dei dati e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare e del responsabile.
Inoltre, il responsabile non può ricorrere a un altro responsabile “senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento”.
Violazioni emerse
Il provvedimento del Garante privacy fa presente che, nel corso dei controlli, è stato contestato il fatto che l’accesso all’applicazione web per il whistleblowing, basata su un software open source, avvenisse attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.
Inoltre, la Pa (un’azienda ospedaliera) aveva mancato di informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto privacy e non aveva inserito tali operazioni nel registro delle attività di trattamento, strumento utile per valutare i rischi per i diritti e le libertà degli interessati.
Errata anche la gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza durante la fase di transizione con il suo successore.
Altri illeciti hanno riguardato la società informatica che forniva all’azienda ospedaliera l’applicazione web di whistleblowing; la società si era avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria. Aveva, poi, utilizzato il medesimo servizio di hosting anche per proprie finalità.
Al termine del procedimento, sono state applicate sanzioni sia all’azienda ospedaliera che alla società di informatica; a questa sono stati dati 30 giorni per adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali.
