Benvenuti nel sito dello Studio Bertassi Giovanni

Whistleblowing: il Garante della privacy sanziona un Ateneo


Il datore di lavoro, che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti (whistleblowing), deve verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce (Garante privacy nota n. 426/2020).


L’università aveva dichiarato che, a causa di un aggiornamento della piattaforma software utilizzata, si era verificata la sovrascrittura accidentale dei permessi di accesso ad alcune pagine web interne dell’applicativo usato per il whistleblowing, rendendo così possibile a chiunque di consultare nomi e dati di coloro che avevano inviato segnalazioni riservate. Tali informazioni erano di conseguenza state indicizzate da alcuni motori di ricerca fino a che l’università era intervenuta per farli deindicizzare e cancellare le relative copie cache.
Secondo il Regolamento Ue n. 679/2016, i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f), del Regolamento).


L’art. 32 del Regolamento stabilisce infatti che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” e che “nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare […] dalla divulgazione non autorizzata [… di] dati personali trasmessi, conservati o comunque trattati”. Nel caso di specie invece l’università si è limitata a recepire le scelte progettuali del fornitore dell’applicativo.
Nel dettaglio, nel corso dell’istruttoria è emerso come l’applicativo whistleblowing utilizzato fosse un prodotto software disponibile sul mercato e che lo stesso non consentisse al titolare del trattamento di effettuare “personalizzazioni”. Sulla base della documentazione in atti, i dati identificativi dei segnalanti presenti in alcune delle pagine web dell’applicativo whistleblowing, erano indicizzati e liberamente rintracciabili in rete con l’ausilio di comuni motori di ricerca web da chiunque. Ciò ha consentito di ritenere che, contrariamente a quanto rappresentato dall’Ateneo, non solo l’RPCT o i segnalanti medesimi erano in possesso delle informazioni per poter risalire al dato, ma anche da chiunque mediante ricerche libere in Internet.
L’asserita riduzione dell’efficacia delle misure tecniche per il controllo accessi, che, stando a quanto dichiarato dall’Ateneo, sarebbe derivata dall’aggiornamento della piattaforma Microsoft Sharepoint, resta comunque riconducibile alla sfera di responsabilità del titolare del trattamento.
Nel corso dell’istruttoria è altresì emerso che il protocollo di rete “http” utilizzato per il trasporto dei dati non garantisce una comunicazione sicura sia in termini di riservatezza e integrità dei dati scambiati che di autenticità del sito web visualizzato.Il mancato utilizzo di strumenti di crittografia per il trasporto dei dati si pone quindi in contrasto con l’art. 32 del Regolamento, che peraltro al par. 1, lett. a), individua espressamente la cifratura dei dati come una delle possibili misure di sicurezza idonea a garantire un livello di sicurezza adeguato al rischio.
Come emerge chiaramente dalla documentazione acquisita nel corso dell’istruttoria, l’Ateneo si è limitato a recepire le scelte progettuali dell’azienda che ha fornito l’applicativo whistleblowing che non prevedevano la cifratura dei dati personali conservati nel database utilizzato dal medesimo applicativo, non adottando misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante l’ausilio dell’applicativo whistleblowing, in violazione dell’art. 32 del Regolamento.
Pertanto, il Garante – tenendo conto che la violazione ha riguardato solo due persone e che l’Ente ha attivamente cooperato nel corso dell’istruttoria – ha inflitto all’ateneo una sanzione amministrativa di 30.000 euro.