Whistleblowing & Privacy: Le nuove sanzioni del Garante Privacy

Il Garante Privacy ha sanzionato un'azienda ospedaliera e una società informatica per la mancata tutela della privacy nel sistema di whistleblowing. Scoprite in dettaglio come è andata e quali sono le conseguenze...
Alessandra Cadicamo
In sintesi

Recentemente, con l’Ordinanza Ingiunzione del 7 aprile 2022 l’Autorità Garante per la Protezione dei Dati Personali (GPDP) ha sanzionato un’Azienda Ospedaliera, titolare del trattamento, e la società informatica che forniva il servizio per la segnalazione degli illeciti secondo quanto previsto dalla normativa in materia di whistleblowing, che prevede specifiche garanzie a tutela dell’identità del segnalante.
L’azienda è stata sanzionata in quanto in primo luogo, l’accesso all’applicazione web di whistleblowing, avveniva attraverso sistemi che, non essendo stati correttamente configurati, consentivano l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.

Fines

Sistemi di segnalazione & adempimenti privacy

Per adeguarsi alla Direttiva UE 2019/1937 le aziende che hanno più di 250 dipendenti devono dotarsi di un software whistleblowing per gestire le segnalazioni di illeciti e su tale aspetto, denso di implicazioni privacy, si è concentrata l’attività ispettiva del GPDP con riguardo appunto alle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing.

In conformità al principio di accountability (responsabilizzazione), che permea il Regolamento UE n. 2016/679 (GDPR), le aziende, in quanto titolari del trattamento, sono tenute a scegliere uno strumento efficace, che consenta di garantire la riservatezza e la protezione dei dati del segnalante e del segnalato, dovendo essere anche in grado di motivare tale scelta e di dimostrare che essa risponde altresì agli obblighi di cui agli artt. 24 e 32 del GDPR. 

Le aziende sono tenute a mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. 

Per adempiere a tale obbligo è quindi necessario effettuare una valutazione dei rischi e una valutazione di impatto ai sensi dell’art. 35 GDPR, al fine di valutare altresì il rispetto di altri due principi fondamentali in materia di protezione dei dati: i principi di privacy by design -protezione dei dati fin dalla progettazione- e di privacy by default – protezione dei dati per impostazione predefinita (art. 25 GDPR).

Tali principi impongono alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali.

Innanzitutto, è necessario che fin dall’origine vengano rispettati i principi generali in materia di trattamento dei dati personali di cui all’art. 5 GDPR, in particolare il principio di “liceità, correttezza e trasparenza” per il quale il titolare ha l’obbligo di fornire preventivamente, a tutti i possibili soggetti interessati, specifiche informazioni sul trattamento dei dati personali.

 

Il caso

Nel caso in questione, non era stata preventivamente resa ai dipendenti alcuna informativa specifica in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti e tale trattamento non era stato neppure inserito  nel registro delle attività di trattamento.

In base al principio di privacy by design, il titolare del trattamento deve adottare misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati e deve integrare nel trattamento le necessarie garanzie per soddisfare i requisiti del GDPR e tutelare i diritti e le libertà degli interessati. 

Inoltre, l’Azienda Ospedaliera avrebbe dovuto effettuare le proprie scelte in modo tale da garantire che fossero trattati, per impostazione predefinita, solo i dati strettamente necessari per conseguire la specifica e lecita finalità di effettuare le segnalazioni degli illeciti, proteggendo l’identità del segnalante.

Lo strumento utilizzato dall’Azienda Ospedaliera per le segnalazioni di illeciti accedeva alla rete pubblica tramite sistemi firewall che memorizzavano in appositi file di log le operazioni di navigazione effettuate e i dati che consentivano di risalire anche indirettamente agli utenti, in assenza di  misure adeguate per tutelare la riservatezza dell’identità dei segnalanti e, di conseguenza, in palese violazione dell’art. 32 GDPR.

Gli obblighi di cui sopra si estendono anche ai trattamenti svolti per mezzo di un responsabile del trattamento, quale è appunto il fornitore dello strumento utilizzato per la segnalazione degli illeciti.

La sentenza del Garante

Infatti il Garante ha precisato che il titolare del trattamento, quando utilizza prodotti o servizi realizzati da terzi, deve eseguire una valutazione dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento.

In questo caso dovrà essere presa in considerazione, in particolare, non solo la disciplina in materia di whistleblowing, ma anche le norme che disciplinano l’impiego degli strumenti tecnologici sul posto di lavoro, con riguardo a operazioni di tracciamento delle connessioni a siti Internet da parte dei dipendenti.

A tal proposito, giova sottolineare che il Garante ha ritenuto non rilevante, ai fini della valutazione complessiva del rispetto degli obblighi di sicurezza del trattamento, la circostanza secondo cui, nonostante l’apparato firewall registrasse l’indirizzo IP e le credenziali dell’utente, l’accesso alla consultazione dei log potesse essere effettuato esclusivamente dall’Amministratore di Sistema.

Conclusioni

In conclusione, si osserva che le aziende sono tenute a porre in essere policy e procedure in grado di assicurare l’adempimento degli obblighi non solo in materia di whistleblowing ma anche in materia di  protezione dei dati personali, nonché l’adempimento degli obblighi che incombono al datore di lavoro relativamente ai controlli  sui dipendenti mediante l’impiego di strumenti tecnologici.

Guida all’implementazione di un sistema di whistleblowing

Come implementare un efficace sistema di whistleblowing nella tua azienda.

Condividi questo articolo con:

Alessandra Cadicamo
in2law
In in2law Alessandra si occupa di contratti e di protezione dei dati personali: principali contratti IP, IT, appalto, fornitura, e-commerce, outsourcing IT; audit di privacy assessment e di verifica, valutazione dei rischi, valutazioni di impatto, redazione di privacy policy, formazione del personale, definizione del modello organizzativo privacy. Formazione anche in ambito cybersecurity. Ha una Laurea Magistrale in Giurisprudenza (Università Cattolica del Sacro Cuore di Milano), è iscritta all’Albo Avvocati di Milano (2006), dal 2020 è DPO (settore assicurativo) ed è entrata in in2law dal 2022.