Privacy, Garante sanziona Asl e società informatica per le credenziali web non protette del whistleblower

Il whistleblowing all'interno di un ente pubblico o privato va gestito con mezzi anche informatici che non consentano però l'identificazione da parte di terzi del dipendente che denuncia un illecito "interno".
Pubblica amministrazione e imprese - soprattutto se affidano a terzi il servizio di whistleblowing - devono verificare l'impostazione e la gestione dei sistemi implementati per gestire le denunce di fatti corruttivi e accertarsi che essi garantiscano la "massima riservatezza" dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite.
L'allerta del Garante Privacy (ordinanza 134/2022) è contenuta nella propria decisione con cui ha sanzionato un'azienda ospedaliera e il gestore informatico del servizio dedicato alla raccolta di denunce su presunte attività corruttive o altri comportamenti illeciti all'interno dell'ospedale.
La vicenda prende le mosse da un ciclo di attività ispettive curate dall'Authority finalizzate a verificare quali fossero le modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing. Con particolare attenzione a quelli più utilizzati in Italia dai datori di lavoro.

Il sistema informatico bocciato
Dai controlli era emerso che in un'azienda ospedaliera si verificavano molteplici violazioni del regolamento europeo " Gdpr". Infatti, l'accesso all'applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non erano stati configurati in maniera corretta poiché consentivano la registrazione e la conservazione dei dati di navigazione degli utenti. Fino al punto di consentire l'identificazione di chi la utilizzava o di chi registrandosi risultava potenziale segnalante.

Mancati adempimenti
La struttura sanitaria non aveva fornito alcuna informazione preventiva ai lavoratori sull'effettivo trattamento dei dati personali che veniva effettuato per le finalità di segnalazione degli illeciti. Era inoltre mancata una specifica valutazione del cosiddetto "impatto privacy" del meccanismo di whistleblowing e non aveva annoverato le relative attività tra quelle di trattamento dei dati personali adempimento necessario a determinare una valutazione ad hoc dei rischi per i diritti e le libertà degli interessati.

Il servizio di hosting
La società responsabile del trattamento dei dati si avvaleva di un fornitore esterno per il servizio di hosting dei sistemi, che ospitavano l'applicativo web del whistleblowing. Senza però dare all'host specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria. Inoltre, aveva anche utilizzato il medesimo servizio di hosting per proprie finalità (gestione dei rapporti di lavoro, contabilità e amministrazione) sempre senza regole sull'uso dei dati personali.

Decisione
Il Garante, tenendo conto della piena collaborazione offerta nel corso dell'istruttoria anche per sanare i problemi rilevati, ha comminato sia alla struttura sanitaria sia alla società informatica una sanzione di 40mila euro. E ha ingiunto alla società informatica di adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali entro 30 giorni.

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più