Garante privacy: protezione dati e gestione whistleblowing
PA e imprese devono prestare attenzione nell’impostazione e gestione dei sistemi di whistleblowing, garantendo massima tutela dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite.
Con provvedimento dello scorso 7 aprile 2022, il Garante ha sanzionato l’Azienda ospedaliera di Perugia con il pagamento di una somma pari ad euro 40.000,00, nell’ambito di un’attività istruttoria avviata sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing.
Sanzione anche per la società informatica deputata alla gestione del relativo servizio, alla quale ha concesso tremta giorni per adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali.
Dai controlli effettuati sono emerse diverse violazioni del GDPR. L’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi non correttamente configurati che registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.
La struttura sanitaria non aveva poi provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto privacy e non aveva neppure inserito tali operazioni nel registro delle attività di trattamento, strumento utile per valutare i rischi per i diritti e le libertà degli interessati.
È infine emersa una non corretta gestione delle credenziali di autenticazione per l’accesso all’applicazioneweb di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza.
Nel corso dei controlli sono emersi ulteriori illeciti imputabili alla società informatica che, in qualità di responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing. La società si era infatti avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria. Aveva poi utilizzato il medesimo servizio di hosting anche per proprie finalità, ad esempio per la gestione del rapporto di lavoro con i dipendenti o la gestione contabile e amministrativa, anche in questo caso senza regolare il rapporto e l’uso dei dati.
A cura dell'Avv. Vincenzo Colarocco e del dipartimento Compliance, media e tecnologia di Studio Previti