Il datore di lavoro, che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti (whistleblowing), deve verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce. Lo ha ribadito il Garante per la protezione dei dati personali nel sanzionare un’università per aver reso accessibili on line i dati identificativi di due persone che avevano segnalato all’ateneo possibili illeciti.
Il caso
L’università aveva dichiarato che, a causa di un aggiornamento della piattaforma software utilizzata, si era verificata la sovrascrittura accidentale dei permessi di accesso ad alcune pagine web interne dell’applicativo usato per il whistleblowing. Questo aveva reso possibile a chiunque di consultare i nomi e altri dati di coloro che avevano inviato segnalazioni riservate. Di conseguenza alcuni motori di ricerca avevano indicizzato le informazioni.
La “pubblicazione sul web dell’elenco dei soggetti che hanno aperto segnalazioni riservate contenute nell’applicativo” di condotte illecite ha dato luogo anche alla indicizzazione delle pagine web, fino a che l’università dopo essere venuta a conoscenza del problema, era intervenuta per farli deindicizzare e cancellare le relative copie cache.
L’istruttoria
Nel corso dell’istruttoria è stato rilevato che la violazione dei dati personali (data breach) era riconducibile all’assenza di adeguate misure tecniche per il controllo degli accessi. Le misure di sicurezza avrebbero consentito di limitare la consultazione al solo personale autorizzato.
In base al Regolamento spetta in primo luogo proprio al titolare del trattamento (in questo caso l’ateneo) mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. Tra queste rientra anche una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure adottate.
Nel caso di specie invece l’università si è limitata a recepire le scelte progettuali del fornitore dell’applicativo che non prevedeva la cifratura dei dati personali (identità del segnalante, informazioni relative alla segnalazione, eventuale documentazione allegata), né l’adozione di un protocollo di trasmissione che garantisse una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, sia di autenticità del sito web visualizzato da chi invia le segnalazioni.
Nel provvedimento viene precisato che, come emerge chiaramente dalla documentazione acquisita nel corso dell’istruttoria, l’Ateneo si è limitato a recepire le scelte progettuali dell’azienda che ha fornito l’applicativo whistleblowing che non prevedevano la cifratura dei dati personali (dati identificativi del segnalante, informazioni relative alla segnalazione nonché eventuale documentazione allegata) conservati nel database utilizzato dal medesimo applicativo, non adottando misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante l’ausilio dell’applicativo whistleblowing, in violazione dell’art. 32 del Regolamento.
La sanzione
La gravità della violazione risulta acuita dal particolare regime di riservatezza stabilito dalle norme in materia di whistleblowing, proprio a maggior tutela degli interessati.
Il Garante, quindi, dopo aver accertato l’illecito trattamento dei dati e l’omesso adempimento degli obblighi di sicurezza imposti dal Gdpr ha inflitto all’ateneo una sanzione amministrativa di 30.000 euro
(Fonte Garante Privacy)
Potrebbe interessarti: