L’Autorità Garante per la protezione dei dati personali con il Provvedimento n. 17 del 23 gennaio 2020, nel sanzionare un Ateneo italiano per non aver adeguatamente tutelato la riservatezza dei dati identificativi di due soggetti – i whistleblowers – che avevano segnalato possibili comportamenti illeciti, ha ribadito la sussistenza dell’obbligo in capo al datore di lavoro “Titolare del trattamento” (ai sensi dell’articolo 4, del Regolamento UE 2016/679, il “GDPR”) di porre in essere misure tecniche ed organizzative adeguate a garantire la protezione dei dati personali trattati (cfr. Newsletter del Garante n. 462 del 18 febbraio 2020).
Nello specifico, all’epoca dei fatti, l’Ateneo nell’adeguarsi agli obblighi di adeguata tutela del dipendente che segnala condotte illecite dall’interno dell’ambiente di lavoro (il c.d. “whistleblowing” introdotto nell’ordinamento italiano con il decreto legislativo n. 165 del 30 marzo 2001), aveva scelto di utilizzare una soluzione tecnologica. In questo caso, per garantire la protezione dell’acquisizione e della gestione delle segnalazioni degli illeciti, l’Ateneo era ricorso all’utilizzo di una piattaforma software fornitagli da un soggetto terzo esterno rispetto all’organizzazione dell’Ateneo stesso.
Durante una modifica con contestuale aggiornamento della piattaforma software, si verificava una c.d. sovrascrittura dei permessi di accesso che aveva comportato l’esposizione dei dati personali dei due whistleblowers, su alcuni motori di ricerca accessibili e visualizzabili da chiunque effettuasse una ricerca tramite Internet.
A fronte di quanto sopra, l’Ateneo notificava all’Autorità Garante per la protezione dei dati personali una violazione – c.d. data breach – con la quale si denunciava la dispersione dei dati personali comuni dei due whistleblowers sulla rete pubblica, resi in tal modo potenzialmente consultabili da chiunque.
L’attività istruttoria, posta in essere dall’Autorità Garante per la protezione dei dati personali, ha rilevato che l’Ateneo non aveva adottato adeguati accorgimenti tecnici ed organizzativi finalizzati a garantire “le esigenze di sicurezza e riservatezza proprie della gestione dei dati nell’ambito delle procedure di whistleblowing”, non impostando, peraltro, una corretta procedura per il controllo degli accessi che avrebbe dovuto limitare il trattamento dei dati al personale autorizzato.
L’Ateneo, infatti, si era limitato a fare proprie le misure di sicurezza scelte dal fornitore del software. Tuttavia, predette misure di sicurezza non erano adeguate e idonee, non prevedendo accorgimenti quali la cifratura o l’adozione di un protocollo di comunicazione sicura delle informazioni e consentendo in tal modo la violazione della riservatezza e dell’integrità dei dati personali trattati e la non corretta conservazione e accessibilità degli stessi.
In particolare, l’Autorità Garante per la protezione dei dati personali sosteneva che “Con riguardo all’applicativo in questione, tenuto conto della natura, dell’oggetto e della finalità del trattamento nonché dell’elevato rischio per i diritti e le libertà dei segnalanti, la soluzione adottata dall’Ateneo non può essere considerata una misura tecnica adeguata a garantire la riservatezza e l’integrità dei dati trattati nonché l’autenticità del sito web visualizzato da parte dei soggetti che lo utilizzano sia come canale di invio delle segnalazioni (dipendenti, studenti, ecc.) che come strumento di gestione delle stesse (RPCT ed eventuali suoi collaboratori”.
Clicca qui per continuare a leggere l’articolo.
