Sul sito del Garante Privacy è consultabile (a questo link) il provvedimento del 7 aprile 2022 (docweb n. 9768363) con il quale sono stati sanzionati un Ospedale ed una Società informatica (ciascuno per € 40.000,00) poiché il sistema di gestione delle segnalazioni di violazioni interne all’Organismo di Vigilanza predisposto ai sensi del D.Lgs. n. 231/2001 (cosiddetto Whistleblowing) non era stato strutturato per tutelare adeguatamente i dati personali e l’identità dei soggetti segnalanti.
Si tratta di un profilo dell’attività aziendale in cui gli aspetti legati alla costruzione dei modelli di organizzazione e gestione aziendale ai sensi del D.Lgs. n. 231/2001 e quelli della Privacy & GDPR Compliance sono strettamente collegati.
In particolare, l’art. 6, co. 2-bis del D.Lgs. n. 231/2001 prevede che:
“I modelli di cui alla lettera a) del comma 1 prevedono:
a) uno o più canali che consentano ai soggetti indicati nell’articolo 5, comma 1, lettere a) e b), di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del presente decreto e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell’identità del segnalante nelle attività di gestione della segnalazione; b) almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante; c) il divieto di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione; d) nel sistema disciplinare adottato ai sensi del comma 2, lettera e), sanzioni nei confronti di chi viola le misure di tutela del segnalante, nonché di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate”.
Nell’ambito della propria attività ispettiva, il Garante ha riscontrato diverse violazioni del Gdpr, di seguito succintamente descritte con la trascrizione di ampi stralci del comunicato stampa del Garante Privacy.
In particolare, l’accesso all’applicazione web di whistleblowing, era basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.
Inoltre, la struttura sanitaria non aveva provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto privacy e non aveva neppure inserito tali operazioni nel registro delle attività di trattamento, strumento utile per valutare i rischi per i diritti e le libertà degli interessati.
Infine, il Garante ha rilevato una non corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (Rpct), durante la fase di transizione con il suo successore.
Dal lato informatico, invece, la società informatica (che, in qualità di responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing) si era infatti avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria. Aveva poi utilizzato il medesimo servizio di hosting anche per proprie finalità, ad esempio per la gestione del rapporto di lavoro con i dipendenti o la gestione contabile e amministrativa, anche in questo caso senza regolare il rapporto e l’uso dei dati.
La sanzione di € 40.000,00 è stata comminata dal Garante, tenendo conto della piena collaborazione offerta nel corso dell’istruttoria anche per sanare i problemi rilevati
Avv. Emanuele Nati