Il trattamento dei dati svolto mediante la piattaforma per gestire le segnalazioni illecite violava il GDPR: il Garante privacy ha quindi sanzionato per 40.000 euro l’Azienda ospedaliera di Perugia e il provider Isweb Spa fornitore del software per il whistleblowing.
Il Garante nel corso della verifica infatti ha rilevato che il trattamento attuato tramite la piattaforma per il whistleblowing non rispettava i principi di correttezza, liceità e trasparenza, integrità e riservatezza previsti dal GDPR, violando anche i principi di privacy by design e by default e non informando gli interessati adeguatamente l’assenza di misure tecniche e organizzative in grado di assicurare protezione adeguata ai rischi del trattamento, inoltre nel registro dei trattamenti non erano state indicate l’acquisizione e la gestione delle attività di whistleblowing. Mancava anche la valutazione d’impatto sulla protezione dei dati.
LEGGI l’ingiunzione all’azienda ospedaliera
LEGGI l’ingiunzione alla società informatica
Reclamo di un interessato: ecco cosa deve sapere e può fare il titolare del trattamento
Whistleblowing, cosa dice il Garante privacy
Come spiega il Garante privacy in una nota ufficiale, “PA e imprese devono prestare la massima attenzione nell’impostazione e gestione dei sistemi di whistleblowing, garantendo la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite”. In particolare, la normativa attuale di riferimento fa capo alla legge 179 del 30 novembre 2017, n. 179 (in G.U. 14 dicembre 2017, n. 291) “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato” che ha modificato le già previste norme sulla tutela dei dipendenti pubblici che segnalano illeciti e ha introdotto nuove regole sul whistleblowing in ambito privato. La legge per esempio tutela il whistleblower prevedendo il reintegro in caso di licenziamento dopo la segnalazione effettuata, o l’annullamento di forme di ripercussione, è inoltre indispensabile tutelare del tutto l’identità del whistleblower, che non può essere rivelata.
Il caso dell’Azienda ospedaliera di Perugia
Il Garante privacy nell’ambito di una serie di attività ispettive proprio sui trattamenti dei dati acquisiti tramite le piattaforme di whistleblowing ha avviato un’istruttoria nei confronti dell’azienda ospedaliera di Perugia. Infatti, “sono emerse diverse violazioni del Gdpr. L’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti”, spiega il Garante in una nota.
L’azienda inoltre non aveva:
- informato i lavoratori in via preventiva sul trattamento dei dati personali per finalità di whistleblowing,
- non aveva svolto una valutazione di impatto privacy
- non aveva inserito questi processi nel registro delle attività di trattamento
- non aveva gestito in maniera corretta “le credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (Rpct), durante la fase di transizione con il suo successore”, spiega il Garante.
Le contestazioni a Isweb Spa
Durante la verifica è emerso inoltre che la società informatica fornitrice del software “si era avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria. Aveva poi utilizzato il medesimo servizio di hosting anche per proprie finalità, ad esempio per la gestione del rapporto di lavoro con i dipendenti o la gestione contabile e amministrativa, anche in questo caso senza regolare il rapporto e l’uso dei dati”.
La sanzione
Il Garante privacy considerando che l’organizzazione ha collaborato pienamente all’indagine anche per risolvere i problemi, ha multato per 40.000 euro sia l’azienda ospedaliera che il provider fornitore del software, concedendo a quest’ultimo trenta giorni di tempo per “adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali”.
