Whistleblowing: il Garante privacy sanziona un’azienda ospedaliera ed il suo fornitore informatico

La materia del whistleblowing, come correttamente citato dal Garante nel proprio provvedimento, è stata disciplinata in Italia, in un primo momento, nel quadro delle norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche e successivamente con la l. 30 novembre 2017, n. 179 che ha introdotto una nuova disciplina riferita ai soggetti privati, integrando la normativa in materia di “responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”. 

Non sono mancati, negli anni, gli interventi dell’autorità di controllo di carattere generale in materia e le decisioni su singoli casi. In particolare, stante l’art. 54-bis, comma 5, che prevede l’adozione da parte dell’ANAC (“Autorità Nazionale Anticorruzione”) di apposite linee guida relative alle procedure per la presentazione e la gestione delle segnalazioni, il Garante, con provvedimento del 4 dicembre 2019, ha reso il proprio parere sullo schema di linee guida, confermando che la disciplina di settore in materia di whistleblowing debba essere coordinata con la normativa in materia di protezione dei dati personali, con tutto ciò che ne deriva e concerne dai principi generali al caso specifico. Ad oggi si attende ancora in Italia il decreto di recepimento della  Direttiva UE 2019/1937, approvata definitivamente dal Parlamento Europeo il 16 aprile 2019 e pubblicata il 26 novembre 2019.

Nel caso di cui al provvedimento in parola, l’azienda ospedaliera, nella predisposizione della propria procedura whistleblowing, aveva previsto, tra i differenti canali di segnalazione, una applicazione web, gestita e fornita in modalità cloud da una società terza, opportunamente nominata responsabile del trattamento. Tuttavia, in sede ispettiva, l’autorità di controllo rilevava molteplici inadempimenti del titolare del trattamento, ossia l’omissione di opportuna mappatura del trattamento presso il registro dei trattamenti, informativa agli interessati sulle specifiche finalità perseguite e valutazione d’impatto.

In particolare, il Garante non ha ritenuto sufficiente la predisposizione dell’informativa dipendenti e la sola previsione di una sezione dell’app di una parte introduttiva in cui veniva specificata la funzione della segnalazione e l'anonimato garantito del segnalante: tali iniziative, afferma il Garante, non possono sostituire l’informativa che il titolare deve rendere, prima di iniziare il trattamento, agli interessati in merito alle caratteristiche essenziali dello stesso. 

Segnalata la carente descrizione del registro dei trattamenti, l’autorità ha avuto modo di ribadire come il trattamento dei dati personali mediante i sistemi di acquisizione e gestione delle segnalazioni presenti rischi specifici per i diritti e le libertà degli interessati, considerata anche la particolare delicatezza delle informazioni potenzialmente trattate, la “vulnerabilità” degli interessati nel contesto lavorativo, nonché lo specifico regime di riservatezza dell’identità del segnalante previsto dalla normativa di settore, ragion per cui tali casistiche richiedono lo svolgimento di una valutazione d’impatto.

Carente, inoltre, risultava il titolare con riferimento all’adozione di misure tecniche ed organizzative a tutela dei dati: la registrazione e la conservazione, nei log degli apparati firewall, delle informazioni relative alle connessioni all’applicativo in questione consentivano la tracciabilità dei soggetti che utilizzano tale applicativo, tra i quali i segnalanti, rendendo inefficaci le altre misure adottate per tutelare la riservatezza dell’identità degli stessi; le modalità di gestione delle credenziali di autenticazione per l’accesso all’applicativo in questione non risultavano adeguate sotto il profilo della sicurezza.

La sanzione non ha riguardato esclusivamente il titolare del trattamento ma anche il fornitore della piattaforma: in sede ispettiva emergeva come il fornitore si fosse a sua volta avvalso di un provider esterno per il servizio di hosting dei sistemi, senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria, ma anche impiegando tale servizio di hosting anche per proprie finalità, senza regolare il rapporto e l’uso dei dati.

Il Garante ha dunque ammonito il titolare del trattamento, affermando che, anche quando i prodotti o servizi appartengono a terzi fornitori, in ogni caso questi è tenuto ad eseguire, anche avvalendosi del supporto del DPO, una valutazione dei rischi sul trattamento e ad accertarsi che siano disattivate le funzioni del prodotto o servizio non compatibili con le finalità del trattamento, a maggior ragione se in contrasto con specifiche norme di settore previste dall’ordinamento, come la disciplina in materia di whistleblowing.