Il Garante privacy, con la newsletter n. 488 dell'11 maggio 2022, ha reso noto che le aziende possono adottare sistemi di whistleblowing, purchè garantiscano la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite.

L’intervento del Garante privacy nasce nell’ambito di un ciclo di attività ispettive sulle modalità di trattamento dei dati acquisiti da un’azienda tramite i sistemi di whistleblowing.

Dai controlli effettuati presso l’azienda sono emerse diverse violazioni del Gdpr.

Più precisamente l’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti delle violazioni.

Il Garante ha anche riscontrato che il datore di lavoro non aveva neppure provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto privacy e non aveva neanche inserito tali operazioni nel registro delle attività di trattamento: quest’ultimo strumento utile per valutare i rischi per i diritti e le libertà degli interessati.

È infine emersa una gestione irregolare delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (Rpct), durante la fase di transizione con il suo successore.

Ma non è tutto. Nel corso dei controlli effettuati dal Garante privacy sono emersi ulteriori illeciti imputabili alla società informatica che, in qualità di responsabile del trattamento, forniva all’azienda cliente l’applicazione web di whistleblowing. La società si era infatti avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria. Aveva poi utilizzato il medesimo servizio di hosting anche per proprie finalità, ad esempio per la gestione del rapporto di lavoro con i dipendenti o la gestione contabile e amministrativa, anche in questo caso senza regolare il rapporto e l’uso dei dati.

In conclusione il Garante, tenendo conto della piena collaborazione del datore offerta nel corso dell’istruttoria anche per sanare i problemi rilevati, ha comminato sia alla struttura sanitaria sia alla società informatica una sanzione di 40.000 euro. Ha inoltre concesso 30 giorni alla società informatica per adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali.