Il fenomeno del whistleblowing è importantissimo all’interno dei sistemi pubblici e privati e di Pubblica Amministrazione. Ed è proprio in tale contesto che si è soffermato il Garante della privacy.
Nella Newsletter n. 488 dell’11 maggio 2022, si sono evidenziate le necessità per cui le imprese e le PA garantiscano la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite all’interno del proprio ufficio e/o amministrazione.
Le indicazioni del garante privacy: riservatezza per whistleblowing
PA e imprese devono prestare la massima attenzione nell’impostazione e gestione dei sistemi di whistleblowing. Lo ha ribadito il Garante della privacy, sottolineando l’importanza cruciale della riservatezza per quei dipendenti che denunciano un illecito di interesse generale di cui siano venuti a conoscenza in ragione del rapporto di lavoro.
L’istruttoria e le relative richieste del Garante nascono dopo una serie di controlli ispettivi e diverse violazioni al Gdpr di un’azienda ospedaliera e della società informatica che ne gestiva il servizio web di whistleblowing.
Sistema informatico non dotato di riservatezza: le violazioni al Gdpr
Nel caso preso in esame, le violazioni sono state riscontrate a livello di sistema informatico utilizzato dall’azienda ospedaliera. L’accesso all’applicazione web di whistleblowing utilizzata e basata su un software open source, avveniva attraverso sistemi che non erano correttamente configurati. E in questo modo venivano registrati e conservati i dati di navigazione degli utenti, consentendo di identificare colui che la utilizzava; tra l’altro anche i potenziali segnalatori dell’illecito. Motivo per cui alla società informatica, in quanto responsabile del trattamento, è imputabile l’illecito. Inoltre, si era avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria.
Da parte sua, la struttura sanitaria non aveva né avvisato i lavoratori di tali problematiche né tantomeno aveva effettuato una valutazione di impatto privacy.
Accertati i responsabili, il Garante ha stabilito sia per la struttura sanitaria sia per la società informatica una sanzione di 40.000 euro. Concedendo, inoltre, 30 giorni alla società informatica per adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali.
Sitografia
