Blog Regolamento europeo 2016/679

Whistleblowing senza privacy: controlli e sanzioni del Garante privacy

read

Le pubbliche amministrazioni e le imprese devono prestare massima attenzione nell’impostazione e gestione dei sistemi di whistleblowing, osservando gli adempimenti richiesti dalla normativa privacy per il trattamento dei dati di coloro che presentano segnalazioni di condotte illecite, di cui occorre garantire la massima riservatezza.

Tale aspetto è stato ribadito anche recentemente dal Garante privacy che, nell’ambito di un ciclo di attività ispettive sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, ha sanzionato, con due provvedimenti del 7 aprile 2022,  un’azienda ospedaliera e la società informatica fornitrice del sistema di segnalazione di illeciti per diverse violazioni della normativa in materia di protezione dei dati personali.

Il provvedimento nei confronti della struttura sanitaria  

Dai controlli effettuati presso la struttura sanitaria sulle modalità di trattamento dei dati acquisiti tramite il sistema di whistleblowing è emerso che la stessa:

  • non aveva provveduto a fornire agli interessati le specifiche informazioni sul trattamento dei dati personali effettuato per finalità di gestione delle segnalazioni degli illeciti;
  • non aveva effettuato una preliminare valutazione di impatto sulla protezione dei dati;
  • non aveva inserito le indicazioni sul trattamento relativo alla segnalazione degli illeciti nel registro delle attività di trattamento;
  • impiegava un’applicazione web di whistleblowing, basata su un software open source, il cui accesso avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti;
  • non aveva gestito correttamente le credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (Rpct), durante la fase di transizione con il suo successore.

A fronte delle violazioni accertate, il Garante privacy ha comminato alla struttura sanitaria una sanzione di 40.000 euro.

Il provvedimento nei confronti della società informatica fornitrice del sistema di whistleblowing

Nel corso dei controlli effettuati presso la struttura sanitaria sulle modalità di trattamento dei dati acquisiti tramite il sistema di whistleblowing, sono emerse alcune violazioni imputabili alla società informatica fornitrice dell’applicazione web di segnalazione di illeciti.

Più precisamente, la società informatica:

  • si era avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicazione di whistleblowing senza regolamentare il rapporto con tale fornitore;
  • aveva utilizzato il servizio di hosting impiegato per l’applicazione di whistleblowing anche per proprie finalità senza regolare il rapporto e l’uso dei dati.

A fronte delle violazioni accertate, il Garante privacy ha comminato alla società informatica fornitrice del sistema di whistleblowing una sanzione di 40.000 euro, concedendo un termine 30 giorni per adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali.