Il 7 aprile 2022, con una ordinanza di ingiunzione emessa nei confronti di una Azienda ospedaliera, l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha rilevato l’illiceità del trattamento di dati effettuato nell’ambito della gestione di un sistema di whistleblowing dalla stessa adottato.
Con il medesimo provvedimento, il Garante ha sanzionato la società informatica incaricata di gestire il servizio per denunciare le presunte attività corruttive o comportamenti illeciti all’interno dell’ente, la quale agiva in qualità di responsabile del trattamento dei dati personali.
Il Garante ha, innanzitutto, rilevato che l’Azienda ospedaliera, nella sua qualità di Titolare del trattamento, non aveva provveduto a rendere, ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (il “GDPR”), una specifica e preventiva informativa circa i trattamenti di dati personali effettuati a seguito di una segnalazione. Ciò, in violazione del principio di “liceità, correttezza e trasparenza” che impone al titolare del trattamento l’obbligo di fornire preventivamente ai soggetti interessati specifiche informazioni sul trattamento dei dati adottando “misure appropriate” per raggiungere tutti i destinatari.
È emerso, altresì, che l’Azienda sanitaria non aveva provveduto (i) a tracciare i trattamenti effettuati all’interno del Registro delle attività di trattamento in conformità con quanto disposto dall’articolo 30 del GDPR nonché ad effettuare una preliminare valutazione di impatto privacy.
Il Garante, con l’occasione, ha ricordato che il trattamento dei dati personali mediante i sistemi di acquisizione e gestione delle segnalazioni presenta dei rischi specifici per i diritti e le libertà degli interessati in virtù “della particolare delicatezza delle informazioni potenzialmente trattate, della “vulnerabilità” degli interessati nel contesto lavorativo, nonché dello specifico regime di riservatezza dell’identità del segnalante previsto dalla normativa di settore”.
La decisione del Garante
Tutto ciò rilevato, il Garante ha comminato, all’Azienda sanitaria e alla società informatica, una sanzione di euro 40.000 concedendo all’ente ulteriori 30 giorni di tempo per adeguare il rapporto con il proprio fornitore alla normativa in materia.
◊◊◊◊
Come specificato nel comunicato condiviso dal Garante, l’attività istruttoria effettuata nel caso di specie si inserisce “nell’ambito di un ciclo di attività ispettive sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, in particolare quelli più utilizzati in Italia dai datori di lavoro”.
Altri insights correlati:
Negli ultimi giorni servizi on line e siti italiani, tra cui i siti web del Senato e del Ministero della Difesa, hanno subito un attacco informatico da parte di un gruppo di cyber criminali russi. Vittorio De Luca, dello Studio De Luca & Partners commenta:
“Quanto accaduto dimostra come gli attacchi informatici siano all’ordine del giorno e che nessuno può considerarsi esente da rischi. Gli attacchi alle istituzioni, infatti, fanno scalpore, ma ormai da anni, ogni giorno sono centinaia le aziende oggetto di attenzione da parte dei cybercrimers. Gli attacchi hanno notevoli ripercussioni sulla produttività, comportano furti di dati e interruzione di servizi, oltre a causare danni all’immagine. Una solida sicurezza informatica è essenziale per tutelare il patrimonio di conoscenze dell’azienda e la sua continuità operativa. Non solo, il GDPR in materia di privacy impone alle aziende – sia di piccole che di grandi dimensioni – di effettuare un censimento dei principali rischi informatici a cui sono esposte e gli impatti che questi rischi potrebbero avere sul proprio business. All’esito, occorre predisporre un piano di risposta agli “incidenti”, adottando specifiche politiche e misure di sicurezza, atte a proteggere il sistema informatico, ed eseguendo periodicamente degli audit. È fondamentale, altresì, sensibilizzare, mediante apposite sessioni formative, i propri dipendenti sul tema della cybersicurezza affinché possano riconoscere e fronteggiare le varie minacce. La protezione dagli attacchi informatici agisce, in sostanza, in due fasi: una fase di prevenzione ed una fase di protezione. È appena il caso di ricordare che, in caso di attacco riuscito, le imprese devono informare il garante della privacy, attivando la procedura del cosiddetto data breach entro 72 ore da quando ne sono venute a conoscenza”.
Alla luce dei principi contenuti della sentenza c.d Schrems II della Corte di Giustizia del 16 luglio 2020, la Commissione Europea, con la Decisione n. 2021/914 del 4 giugno 2021, ha approvato due nuove serie di Clausole Contrattuali Standard (“SCC” – Standard Contractual Clauses) che dal prossimo 27 settembre, dovranno essere inserite all’interno dei contratti per regolamentare un trasferimento di dati personali verso paesi extra UE o organizzazioni internazionali. Per tutti i contratti sottoscritti prima di tale data sarà, invece, previsto un periodo di transizione che terminerà il 27 dicembre 2022, purché i trattamenti oggetto dei contratti rimangano invariati e le “vecchie” clausole garantiscano che il trasferimento di dati personali sia soggetto a garanzie adeguate. Successivamente a tale scadenza, anche questi contratti dovranno essere aggiornati alla luce delle nuove SCC. Entrando nel dettaglio, le nuove SCC copriranno le ipotesi di trasferimento di dati personali verso paesi extra UE o organizzazioni internazionali che non offrono un sistema di protezione equivalente a quello assicurato dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “GDPR”). Le nuove SCC dovranno essere adottate in caso di trasferimenti di dati personali: (i) tra titolari del trattamento; (ii) tra un titolare del trattamento ed un suo responsabile del trattamento; (iii) tra un responsabile del trattamento ed un suo (sub) responsabile e (iv) tra un responsabile del trattamento ed un suo titolare qualora quest’ultimo non sia soggetto all’ambito di applicazione del GDPR.
Altri insight correlati:
Con Ordinanza di Ingiunzione del 15 aprile 2021, l’Autorità Garante per la protezione dei dati personali (il ”Garante”) ha sanzionato una società operante nel settore manifatturiero per non aver informato correttamente e puntualmente i lavoratori interessati circa le caratteristiche di un sistema informatico in uso presso la stessa. Così facendo, la società ha trattato illecitamente i dati dei lavoratori andando oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato del lavoro territorialmente competente e le finalità indicate nelle informative rilasciate.
Il Garante è intervenuto a seguito del reclamo presentato dalla FIOM CGIL, su mandato di alcuni lavoratori, con cui veniva richiesto di adottare un provvedimento di accertamento e prescrittivo nei confronti della società datrice di lavoro. In particolare, veniva denunciato che il sistema in uso in azienda prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare l’attività che permetteva di archiviare i dati dei singoli lavoratori relativamente ai fermi e alla produzione durante tutto l’arco della giornata lavorativa. Pertanto, stante la riferibilità dei dati raccolti all’attività dei singoli dipendenti a seguito dell’autenticazione con la password, attraverso tale sistema la società, a parere del sindacato, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle indicate nelle informative rilasciate.
All’esito dell’istruttoria svolta dal Garante è emerso, tra le altre, che il sistema informatico coesisteva con la precedente modalità di organizzazione delle attività di lavoro, basata sulla compilazione di moduli cartacei in cui il nominativo dei dipendenti era indicato in chiaro. I moduli venivano conservati e registrati sul software, ma senza alcuna forma di separazione, contravvenendo in questo modo a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione amministrativa, che avevano vietato espressamente l’utilizzo dei dati raccolti a fini disciplinari. Era, infatti, emerso che i dati raccolti attraverso tale strumento erano stati utilizzati per verificare la veridicità di quanto affermato da un dipendente nel corso di un procedimento disciplinare avviato nei suoi confronti.
E’ emersa, inoltre, la sussistenza di irregolarità nei tempi di conservazione dei dati così raccolti e trattati che, stando a quanto dichiarato dalla società, avrebbero dovuto essere commisurati con quanto necessario per “il monitoraggio/valutazione dei cicli produttivi”.
Alla luce delle informazioni raccolte, il Garante ha disposto la limitazione definitiva dei trattamenti effettuati mediante i dati raccolti attraverso il sistema in uso, ingiungendo la società (i) a conformare la propria organizzazione e i propri trattamenti al Regolamento (UE) 2016/679 anche aggiornando l’informativa da fornire ai dipendenti interessati, (ii) ad adottare adeguate misure di segregazione dei dati raccolti sia attraverso i form cartacei sia attraverso il software oltreché (iii) a pagare la somma di euro 40.000,00 a titolo di sanzione pecuniaria per le violazioni riscontrate.
Altri insights correlati:
Martina De Angeli, componente del Dipartimento Compliance del nostro Studio, è intervenuta come docente alle sessioni formative tenutesi lo scorso 10 e 11 ottobre nell’ambito del Modulo “Compliance Management. I Processi Di Compliance Aziendale” all’interno dell’”Executive Master in Data Protection Management (GDPR) & Cyber Security for Digital Transformation” organizzato da Sida Group S.r.l.
L’intervento ha avuto ad oggetto i principi, le disposizioni nonché gli adempimenti necessari per una corretta costruzione del Modello Organizzativo così come disciplinato dal D.lgs. 231/2001. E’ stato, altresì, approfondito il tema del rapporto tra la disciplina sulla responsabilità amministrativa degli enti ed il Regolamento (UE) in materia di protezione dei dati personali 2016/679 (c.d. GDPR) e vi sono stati momenti di analisi e condivisione di specifici Case Studies.
