Compliance

Whistleblowing: il Garante Privacy sanziona due aziende

Si tratta dell’Azienda ospedaliera di Perugia e ISWEB S.p.a., la società informatica che gestiva il servizio. È stato accertato che l’applicazione adoperata, registrava e conservava i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.

Pubblicato il 23 Mag 2022

Ugo Ettore Di Stefano

Avvocato, Partner Studio Legale Lexellent

Il Garante Privacy lancia un monito alle aziende perché prestino “la massima attenzione nell’impostazione e gestione dei sistemi di whisleblowing” (Newsletter del 11/05/2022 – Whistleblowing senza privacy: Garante… – Garante Privacy).

L’Autorità ha infatti recentemente sanzionato l’Azienda ospedaliera di Perugia e ISWEB S.p.a., la società informatica che gestiva il servizio di c.d. whistleblowing per l’Azienda ospedaliera per 40.000 euro ciascuna.

Le recentissime pronunce del Garante (Ordinanza ingiunzione nei confronti di Azienda ospedaliera di Perugia – 7… – Garante Privacy e Ordinanza ingiunzione nei confronti di ISWEB S.p.A. – 7 aprile 2022… – Garante Privacy) rappresentano pertanto un precedente e un monito per quelle aziende che utilizzano i medesimi (o analoghi) sistemi di gestione e software senza aver provveduto alla corretta configurazione, cosicchè da consentire l’identificazione di chi li utilizza e la conservazione dei relativi dati.

Il Garante ha infatti iniziato un ciclo di ispezioni (condotte a seguito dei programmi di attività ispettiva del Garante pubblicati con doc. web n. 9147297, doc. web n. 9269607, e doc. web n. 9468750) nella pubblica amministrazione e nelle aziende private, per verificare le procedure e i software generalmente impiegati dai datori di lavoro in materia di segnalazione di condotte illecite da parte di dipendenti e collaboratori.

Cos’è il whistleblowing

Il whistleblowing (letteralmente “suonare il fischietto”) consiste nel sistema di segnalazione di (taluni e specificati) illeciti o irregolarità che un individuo, detto segnalante o whistleblower, riscontra nell’azienda o ente pubblico per il quale presta la propria attività.

WHITEPAPER
È il Momento di Pianificare la Resilienza del tuo business
Datacenter Infrastructure Management
Disaster recovery

La materià è oggetto, tra l’altro, della legge n. 179 del 2017 (Legge 30 novembre 2017, n. 179 – Normattiva) e della Direttiva europea nr. 1937 del 2019 (al momento non ancora recepita dall’Italia) (Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (europa.eu). Importanti sono altresì le linee guida e le FAQ dell’Autorità Nazionale Anticorruzione (FAQ whistleblowing – www.anticorruzione.it), pubblicate lo scorso anno, che chiariscono le modalità di gestione delle segnalazioni e i connessi profili relativi al trattamento dei dati personali. Sono infatti previste specifiche garanzie a tutela dell’identità del segnalante.

Le procedure di segnalazione possono (a oggi) non considerare le denunce anonime pervenute, ma devono in ogni caso tutelare la riservatezza del soggetto segnalante e tutelare tutti i soggetti interessati (inclusi i segnalati, cioè le persone a cui i fatti illeciti sono attribuiti).

Gli accertamenti del Garante

Al contrario, il Garante, nel corso dell’ispezione, ha accertato che l’applicazione di whistleblowing adoperata, registrava e conservava i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.

Tra le motivazioni del Garante per l’irrogazione delle sanzioni è stato evidenziato che:

a) mancava l’informativa da fornire preventivamente ai lavoratori sui dati trattati per la finalità di segnalazione degli illeciti;

b) non era stata effettuata la c.d. valutazione di impatto

c) non risultava aggiornato il registro dei trattamenti.

Nel corso dei controlli sono poi emersi ulteriori illeciti imputabili alla società informatica che, in qualità di responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing (in particolare trattasi di versioni del software BlobalLeaks). In particolare la società si è avvalsa di un fornitore esterno senza dargli le specifiche istruzioni sul trattamento dei dati degli e senza informarne il cliente.

Un’interessante della difesa dei soggetti ispezionati, in particolare della società fornitrice del servizio informatico, ha riguardato il fatto che essa si sarebbe limitata a fornire la soluzione tecnologica (e il servizio di Hosting di server virtuali o fisici, fornito tramite altra società, Seeweb s.r.l.) al sistema senza operare trattamento di dati personali. In particolare evidenziando che i riferimenti ai numeri IP, sottoposti a cifratura con chiave non a disposizione della società informatica, rendono non conoscibili né identificabili gli utenti della piattaforma di whistleblowing per la medesima società informatica. Il Garante, non aderendo alle tesi difensive ha ritenuto che le operazioni dessero comunque luogo a un trattamento di dati personali ai sensi dell’art. 4, punto 2), del Regolamento c.d. GDPR in quanto rappresentano informazioni su persone fisiche identificabili (cfr. cons. 83, e artt. 4, punto 1), 25 e 32, par. 1, lett. a), del Regolamento).

L’Autorità, (richiamando il par. 2.1.4 delle Guidelines 07/2020 on the concepts of controller and processor in the GDPR | European Data Protection Board (europa.eu)) ha chiarito che il “fornitore del servizio di hosting (nel caso di specie, un servizio di hosting di server virtuali o fisici), pur non trattando gli indirizzi IP relativi agli interessati che utilizzano l’applicativo in questione e pur non accedendo direttamente ai dati personali trattati mediante tale applicativo, conserva questi ultimi sulla propria infrastruttura tecnologica e ne garantisce l’integrità e la disponibilità, adottando adeguate misure tecniche e organizzative, assicurando determinati livelli di servizio in termini di disponibilità dei sistemi e mettendo a disposizione dei propri clienti una serie di strumenti per gestire e monitorare il servizio”.

Nelle due ordinanze con le quali ha irrogato le sanzioni, l’Autorità ha poi richiamato i principali riferimenti utili per la corretta gestione di situazioni analoghe (si veda la segnalazione del Garante al Parlamento e al Governo reperibile in www.garanteprivacy.it, doc. web n. 1693019; e il Parere del Gruppo ex art. 29, relativo all’applicazione della normativa UE sulla protezione dei dati alle procedure interne per la denuncia delle irregolarità adottato il 1° febbraio 2006) nonché i precedenti provvedimenti del Garante in materia (cfr., provv. 4 dicembre 2019, n. 215, doc. web n. 9215763, sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro” di ANAC e provvedimenti 10 giugno 2021, n. 235, doc. web n. 9685922, e n. 236, doc. web n. 9685947; cfr. newsletter n. 480 del 2 agosto 2021, doc. web n. 9687860, ma già provv. 23 gennaio 2020, n. 17, doc. web n. 9269618; newsletter n. 462 del 18 febbraio 2020, doc. web n. 9266789);

Le implicazioni per il mercato

Molte aziende, soprattutto per ignoranza della normativa o inesperienza rispetto alle best practice aziendali, sono restie ad adottare un sistema di whistleblowing e ritengono che tali segnalazioni possano avere un effetto negativo sulla reputazione dell’azienda o che il sistema incoraggi l’invio di segnalazioni infondate.

Il timore di incorrere poi anche in sanzioni sotto il profilo privacy, come testimoniato dalle citate ordinanze del Garante, potrebbe accrescere la resistenza delle società.

A prescindere dalla obbligatorietà delle procedure di whistleblowing (già prevista per alcune tipologie di società e in corso di ulteriore estensione dalla ricordata direttiva europea) in realtà, se ben gestiti, i servizi di whistleblowing apportano grandi vantaggi alle aziende che li adottano.

La cosiddetta Speak Up Culture è un obiettivo di grande valore per la reputazione della società e l’accrescimento del senso di appartenenza di collaboratori e dipendenti.

L’adozione di corrette procedure, che prevengano gli abusi e favoriscano l’emergere di comportamenti scorretti (e dannosi per l’impresa), è un elemento di valore riconosciuto da stakeholder e dal mercato.

Ciò che è importante è però regolamentare, in maniera specifica e conforme alla normativa di diritto del lavoro e di tutela dei dati personali, i comportamenti e i processi aziendali, non limitandosi ad acquistare ed adottare soluzioni e software preconfezionati.

Suggerimenti operativi per una compliance GDPR dei servizi di whistleblowing

In ragione di quanto evidenziato dal Garante Privacy e in conformità alle disposizioni in materia, le aziende che intendono adottare un servizio di whistleblowing dovranno sempre premunirsi, tra l’altro, di:

  1. fornire a tutti gli interessati la corretta informativa sui trattamenti effettuati in ragione del servizio whistleblowing;
  2. tenere traccia documentale di tale informativa fornita;
  3. indicare nel registro delle attività di trattamento dei trattamenti per finalità di whistleblowing;
  4. adottare specifiche cautele al fine di non effettuare la registrazione delle operazioni di navigazione (log) sull’applicazione whistleblowing evitando altresì la tracciabilità degli utenti;
  5. garantire la sicurezza delle credenziali di autenticazione per l’accesso all’applicativo;
  6. effettuare la preliminare valutazione d’impatto per stabilire il grado di rischio del trattamento;
  7. contrattualizzare il servizio di hosting (previa autorizzazione scritta del Titolare del trattamento).

Da ultimo, come ancora ricorda il Garante, la piena collaborazione dei soggetti ispezionati nel corso dell’accertamento è elemento di valutazione importante per l’entità delle sanzioni economiche irrogate. Ne deriva la necessità di fornire sempre e tempestivamente, supporto, chiarimenti e risposte, complete e adeguate, alle richieste dell’Autorità.

WHITEPAPER
Nuova Direttiva Whistleblowing: la guida a obblighi, tutele e sanzioni
Privacy/Compliance
LegalTech
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Ugo Ettore Di Stefano
Avvocato, Partner Studio Legale Lexellent
Argomenti trattati

Approfondimenti

D
data privacy
D
data protection
G
GDPR

I commenti sono chiusi.

LinkedIn

Twitter

Whatsapp

Facebook

Link