Il Garante privacy, con la newsletter n.462 del 18 febbraio 2020, ha precisato che il datore di lavoro, che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti (whistleblowing), deve verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce.

Nel caso preso in esame dal Garante privacy, un’università aveva dichiarato che, a causa di un aggiornamento della piattaforma software utilizzata, si era verificata la sovrascrittura accidentale dei permessi di accesso ad alcune pagine web interne dell’applicativo usato per il whistleblowing, rendendo così possibile a chiunque consultare i nomi e altri dati di coloro che avevano inviato segnalazioni riservate. Tali informazioni erano di conseguenza state indicizzate da alcuni motori di ricerca fino a che l’università, dopo essere venuta a conoscenza del problema, era intervenuta per farli deindicizzare e cancellare le relative copie cache.

Nel corso dell’istruttoria è stato rilevato che la violazione dei dati personali (data breach) era riconducibile all’assenza di adeguate misure tecniche per il controllo degli accessi, che avrebbero consentito di limitare la consultazione al solo personale autorizzato.

In base al Regolamento UE 679/2016 spetta in primo luogo proprio al titolare del trattamento (in questo caso l’ateneo) - tenendo conto della natura, dell'oggetto, del contesto e delle finalità del trattamento - mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. Tra queste rientra anche una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure adottate.

Nel caso di specie invece l’università si è limitata a recepire le scelte progettuali del fornitore dell’applicativo che non prevedeva la cifratura dei dati personali (identità del segnalante, informazioni relative alla segnalazione, eventuale documentazione allegata), né l’adozione di un protocollo di trasmissione che garantisse una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, sia di autenticità del sito web visualizzato da chi invia le segnalazioni.

La gravità della violazione risulta acuita dal particolare regime di riservatezza stabilito dalle norme in materia di whistleblowing, proprio a maggior tutela degli interessati.

Il Garante, quindi, dopo aver accertato l’illecito trattamento dei dati e l’omesso adempimento degli obblighi di sicurezza imposti dal Gdpr del 2016, tenendo comunque conto che la violazione ha riguardato solo due persone e che l’Ente ha attivamente cooperato nel corso dell’istruttoria, ha inflitto all’ateneo una sanzione amministrativa di 30.000 euro.