Maggiori tutele per il segnalante – whistleblower
L’identità dei whistleblower (lavoratore che segnala un’irregolarità o un reato di cui egli venga a conoscenza durante la propria attività lavorativa) è protetta da uno specifico regime di garanzia e riservatezza previsto dalla normativa di settore per la particolare delicatezza delle informazioni trattate e per gli elevati rischi di ritorsioni e discriminazioni nel contesto lavorativo. In tale quadro, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, assicurandone l’integrità e la sicurezza.
E’ quanto ribadito dal Garante privacy che, a seguito di attività ispettive sugli applicativi usati per le segnalazioni di illeciti (whistleblowing), ha sanzionato la società Aeroporto Guglielmo Marconi di Bologna per 40.000 euro e il suo fornitore di software per 20.000 euro per violazioni delle regole poste a tutela dei dati personali trattati.
Il caso
Nel caso della Società aereoportuale il Garante ha accertato il mancato utilizzo di tecniche di crittografia per la trasmissione e la conservazione dei dati e la violazione del principio della privacy by design.
Nel corso dell’istruttoria è emerso infatti che l’accesso all’applicativo per l’acquisizione e la gestione delle segnalazioni di illeciti avveniva senza l’uso di un protocollo di rete sicuro (quale il protocollo https) e che l’applicativo stesso non prevedeva la cifratura dei dati identificativi del segnalante, delle informazioni relative alla segnalazione e della eventuale documentazione allegata.
La società aereoportuale, titolare del trattamento, tracciava poi, mediante i log generati dai firewall, l’accesso all’applicativo da parte dei dipendenti connessi alla rete aziendale. Ciò rendeva inefficaci le altre misure adottate per tutelare la riservatezza dell’identità dei segnalanti, considerato anche l’esiguo numero di connessioni all’applicativo in questione. Inoltre, tenuto conto della delicatezza delle informazioni trattate, dei rischi e della vulnerabilità degli interessati, la società avrebbe dovuto effettuare una valutazione di impatto.
Il Garante ha ribadito, che quando si utilizzano prodotti o servizi realizzati da terzi, bisogna verificare la conformità ai principi di protezione dati. Inoltre, dovrà il titolare deve impartire le necessarie istruzioni al fornitore del servizio (ad es. disattivando le funzioni in contrasto con le norme di settore).
Responsabile del trattamento
L’Autorità ha sanzionato con un secondo provvedimento anche il fornitore dell’applicativo, nella sua qualità di responsabile del trattamento. Sanzione sia per la violazione degli obblighi in materia di sicurezza, sia per la mancata regolamentazione del rapporto con altre due società che trattavano i dati per suo conto.
Si legge nell’ordinanza: l’illiceità del trattamento di dati personali effettuato dalla Società in quanto esso è avvenuto in assenza di un contratto o altro atto giuridico che disciplinasse il trattamento di dati personali da parte di altre due società (mancata designazione dei sub-responsabili del trattamento).
(Fonte Garante Privacy)