Nella newsletter 18 febbraio 2020, il Garante per la protezione dei dati personali informa di avere multato una Amministrazione pubblica per non avere questa garantito la dovuta riservatezza al dipendente segnalante possibili illeciti.
Il Garante ha sottolineato che il datore di lavoro, che adotti procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti (whistleblowing), è tenuto a verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la privacy di chi invia le denunce.
Nel caso in questione, la violazione dei dati personali (data breach) era riconducibile all’assenza di valide misure tecniche per il controllo degli accessi, che avrebbero consentito di limitare la consultazione al solo personale autorizzato.
Il regolamento UE 279/2016 impone infatti al titolare del trattamento di mettere in atto accorgimenti tecnici e organizzativi per garantire un livello di sicurezza adeguato al rischio, tra i quali si annoverano anche le procedure per testare, verificare e valutare l’efficacia delle misure stesse.
Di contro, l’amministrazione sanzionata risultava essersi limitata a recepire le scelte del fornitore dell’applicativo senza prevedere la cifratura dei dati personali (identità del segnalante, informazioni relative alla segnalazione, eventuale documentazione allegata), né l’adozione di protocolli di trasmissione che garantissero una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, sia di autenticità del sito web visualizzato da chi invia le segnalazioni.
Da qui l’irrogazione della sanzione pecuniaria tenuto conto della gravità della violazione, che risulta acuita dal particolare regime di riservatezza stabilito dalle norme in materia di whistleblowing, a maggior tutela degli interessati.
Garante per la protezione dei dati personali – provvedimento n. 17 del 23 gennaio 2020