Categorie: Insights, Prassi

Tag: GDPR


27 Mag 2022

Il Garante sanziona i sistemi di whistleblowing che non garantiscono la riservatezza dei dati trattati

Il 7 aprile 2022, con una ordinanza di ingiunzione emessa nei confronti di una Azienda ospedaliera, l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha rilevato l’illiceità del trattamento di dati effettuato nell’ambito della gestione di un sistema di whistleblowing dalla stessa adottato.

Con il medesimo provvedimento, il Garante ha sanzionato la società informatica incaricata di gestire il servizio per denunciare le presunte attività corruttive o comportamenti illeciti all’interno dell’ente, la quale agiva in qualità di responsabile del trattamento dei dati personali.

L’attività istruttoria

Il Garante ha, innanzitutto, rilevato che l’Azienda ospedaliera, nella sua qualità di Titolare del trattamento, non aveva provveduto a rendere, ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (il “GDPR”), una specifica e preventiva informativa circa i trattamenti di dati personali effettuati a seguito di una segnalazione. Ciò, in violazione del principio di “liceità, correttezza e trasparenza” che impone al titolare del trattamento l’obbligo di fornire preventivamente ai soggetti interessati specifiche informazioni sul trattamento dei dati adottando “misure appropriate” per raggiungere tutti i destinatari.

È emerso, altresì, che l’Azienda sanitaria non aveva provveduto (i) a tracciare i trattamenti effettuati all’interno del Registro delle attività di trattamento in conformità con quanto disposto dall’articolo 30 del GDPR nonché ad effettuare una preliminare valutazione di impatto privacy.

Il Garante, con l’occasione, ha ricordato che il trattamento dei dati personali mediante i sistemi di acquisizione e gestione delle segnalazioni presenta dei rischi specifici per i diritti e le libertà degli interessati in virtù “della particolare delicatezza delle informazioni potenzialmente trattate, della “vulnerabilità” degli interessati nel contesto lavorativo, nonché dello specifico regime di riservatezza dell’identità del segnalante previsto dalla normativa di settore”.

È stato anche rilevato che:

  • durante la fase di sostituzione del soggetto Responsabile della prevenzione della corruzione e della trasparenza non era stata adottata una corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web in uso e
  • la società informatica incaricata dall’ente di gestire il sistema di whistleblowing si era a propria volta avvalsa di un (sub) fornitore per il servizio di hosting dei sistemi che ospitavano l’applicativo omettendo di fornire specifiche istruzioni sul trattamento dei dati nonché di darne notizia all’Azienda sanitaria (titolare del trattamento) ed aveva utilizzato il medesimo servizio di hosting anche per proprie e ulteriori finalità.

La decisione del Garante

Tutto ciò rilevato, il Garante ha comminato, all’Azienda sanitaria e alla società informatica, una sanzione di euro 40.000 concedendo all’ente ulteriori 30 giorni di tempo per adeguare il rapporto con il proprio fornitore alla normativa in materia.

◊◊◊◊

Come specificato nel comunicato condiviso dal Garante, l’attività istruttoria effettuata nel caso di specie si inserisce “nell’ambito di un ciclo di attività ispettive sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, in particolare quelli più utilizzati in Italia dai datori di lavoro”.

Altri insights correlati:

Iscriviti alla newsletter

Contattaci

Hai bisogno di informazioni? Scrivici e il nostro team di esperti ti risponderà il prima possibile.

Compila il form

Altre news e insights

8 Lug 2026

Trasparenza salariale: a un mese dall’entrata in vigore, sono due gli orientamenti sul mercato (The Platform, 8 luglio 2026 – Vittorio De Luca, Claudia Cerbone e Martina De Angeli)

Dal 7 giugno si devono applicare le regole Ue dirette a rafforzare il principio della parità di retribuzione tra uomini e donne per uno stesso lavoro o per…

2 Lug 2026

Lo sai che… dal 7 giugno 2026 è pienamente in vigore il Decreto Legislativo n. 96/2026?

Dal 7 giugno 2026 è pienamente in vigore il Decreto Legislativo n. 96/2026, che introduce anche nell’ordinamento italiano un sistema strutturato di trasparenza retributiva con l’obiettivo di rafforzare…

2 Lug 2026

Omessa contestazione dell’addebito disciplinare: la Cassazione esclude la nullità del licenziamento e la reintegra nelle piccole imprese

Massima Con la recentissima sentenza n. 17283 del 1° giugno 2026, la Corte di Cassazione ha affrontato il tema della omessa contestazione disciplinare e dei suoi effetti sul…

2 Lug 2026

AI e rapporto di lavoro: prime indicazioni dei decreti attuativi e riflessi in ambito data protection

Con l’approvazione in via preliminare, da parte del Consiglio dei Ministri il 10 giugno 2026, dei primi schemi di decreti legislativi attuativi della legge delega in materia di…

1 Lug 2026

Sostenibilità, responsabilità e futuro: il nostro impegno cresce nel tempo

In occasione del nostro 50° anniversario, abbiamo scelto di guardare al futuro con la stessa attenzione con cui custodiamo le nostre radici. Radici che affondano in Puglia, terra…

25 Giu 2026

Parità salariale e trasparenza retributiva: cosa cambierà in Italia (People are People, 25 giugno 2026 – Claudia Cerbone e Martina De Angeli)

Con il D.Lgs. 7 maggio 2026, n. 96, entrato in vigore il 7 giugno 2026, l'Italia ha recepito la Direttiva (UE) 2023/970 sulla trasparenza retributiva, collocandosi tra i…