Garante privacy: no a whistleblowing senza protezione dei dati personali

Il Garante privacy, coi provvedimenti n. 134 e n. 135 del 7 aprile 2022, ha sanzionato, rispettivamente, un’azienda ospedaliera e la società informatica che gestiva il sistema di whistleblowing, per denunciare presunte attività corruttive o altri comportamenti illeciti all’interno dell’ente. Infatti, l’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione dei potenziali segnalanti. La struttura sanitaria, inoltre, non aveva provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto privacy e non aveva neppure inserito tali operazioni nel registro delle attività di trattamento, strumento utile per valutare i rischi per i diritti e le libertà degli interessati. È, infine, emersa una non corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (Rpct), durante la fase di transizione con il suo successore.

Pertanto, il Garante ha comminato sia alla struttura sanitaria sia alla società informatica una sanzione di 40.000 euro e ha concesso 30 giorni alla società informatica per adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali.