Compliance

Whistleblowing: il Garante Privacy sanziona due aziende

Si tratta dell’Azienda ospedaliera di Perugia e ISWEB S.p.a., la società informatica che gestiva il servizio. È stato accertato che l’applicazione adoperata, registrava e conservava i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.

Pubblicato il 23 Mag 2022

Ugo Ettore Di Stefano

Avvocato, Partner Studio Legale Lexellent

privacy

Il Garante Privacy lancia un monito alle aziende perché prestino “la massima attenzione nell’impostazione e gestione dei sistemi di whisleblowing” (Newsletter del 11/05/2022 – Whistleblowing senza privacy: Garante… – Garante Privacy).

L’Autorità ha infatti recentemente sanzionato l’Azienda ospedaliera di Perugia e ISWEB S.p.a., la società informatica che gestiva il servizio di c.d. whistleblowing per l’Azienda ospedaliera per 40.000 euro ciascuna.

Le recentissime pronunce del Garante (Ordinanza ingiunzione nei confronti di Azienda ospedaliera di Perugia – 7… – Garante Privacy e Ordinanza ingiunzione nei confronti di ISWEB S.p.A. – 7 aprile 2022… – Garante Privacy) rappresentano pertanto un precedente e un monito per quelle aziende che utilizzano i medesimi (o analoghi) sistemi di gestione e software senza aver provveduto alla corretta configurazione, cosicchè da consentire l’identificazione di chi li utilizza e la conservazione dei relativi dati.

Il Garante ha infatti iniziato un ciclo di ispezioni (condotte a seguito dei programmi di attività ispettiva del Garante pubblicati con doc. web n. 9147297, doc. web n. 9269607, e doc. web n. 9468750) nella pubblica amministrazione e nelle aziende private, per verificare le procedure e i software generalmente impiegati dai datori di lavoro in materia di segnalazione di condotte illecite da parte di dipendenti e collaboratori.

Cos’è il whistleblowing

Il whistleblowing (letteralmente “suonare il fischietto”) consiste nel sistema di segnalazione di (taluni e specificati) illeciti o irregolarità che un individuo, detto segnalante o whistleblower, riscontra nell’azienda o ente pubblico per il quale presta la propria attività.

La materià è oggetto, tra l’altro, della legge n. 179 del 2017 (Legge 30 novembre 2017, n. 179 – Normattiva) e della Direttiva europea nr. 1937 del 2019 (al momento non ancora recepita dall’Italia) (Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (europa.eu). Importanti sono altresì le linee guida e le FAQ dell’Autorità Nazionale Anticorruzione (FAQ whistleblowing – www.anticorruzione.it), pubblicate lo scorso anno, che chiariscono le modalità di gestione delle segnalazioni e i connessi profili relativi al trattamento dei dati personali. Sono infatti previste specifiche garanzie a tutela dell’identità del segnalante.

Le procedure di segnalazione possono (a oggi) non considerare le denunce anonime pervenute, ma devono in ogni caso tutelare la riservatezza del soggetto segnalante e tutelare tutti i soggetti interessati (inclusi i segnalati, cioè le persone a cui i fatti illeciti sono attribuiti).

Gli accertamenti del Garante

Al contrario, il Garante, nel corso dell’ispezione, ha accertato che l’applicazione di whistleblowing adoperata, registrava e conservava i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.

Tra le motivazioni del Garante per l’irrogazione delle sanzioni è stato evidenziato che:

a) mancava l’informativa da fornire preventivamente ai lavoratori sui dati trattati per la finalità di segnalazione degli illeciti;

b) non era stata effettuata la c.d. valutazione di impatto

c) non risultava aggiornato il registro dei trattamenti.

Nel corso dei controlli sono poi emersi ulteriori illeciti imputabili alla società informatica che, in qualità di responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing (in particolare trattasi di versioni del software BlobalLeaks). In particolare la società si è avvalsa di un fornitore esterno senza dargli le specifiche istruzioni sul trattamento dei dati degli e senza informarne il cliente.

Un’interessante della difesa dei soggetti ispezionati, in particolare della società fornitrice del servizio informatico, ha riguardato il fatto che essa si sarebbe limitata a fornire la soluzione tecnologica (e il servizio di Hosting di server virtuali o fisici, fornito tramite altra società, Seeweb s.r.l.) al sistema senza operare trattamento di dati personali. In particolare evidenziando che i riferimenti ai numeri IP, sottoposti a cifratura con chiave non a disposizione della società informatica, rendono non conoscibili né identificabili gli utenti della piattaforma di whistleblowing per la medesima società informatica. Il Garante, non aderendo alle tesi difensive ha ritenuto che le operazioni dessero comunque luogo a un trattamento di dati personali ai sensi dell’art. 4, punto 2), del Regolamento c.d. GDPR in quanto rappresentano informazioni su persone fisiche identificabili (cfr. cons. 83, e artt. 4, punto 1), 25 e 32, par. 1, lett. a), del Regolamento).

L’Autorità, (richiamando il par. 2.1.4 delle Guidelines 07/2020 on the concepts of controller and processor in the GDPR | European Data Protection Board (europa.eu)) ha chiarito che il “fornitore del servizio di hosting (nel caso di specie, un servizio di hosting di server virtuali o fisici), pur non trattando gli indirizzi IP relativi agli interessati che utilizzano l’applicativo in questione e pur non accedendo direttamente ai dati personali trattati mediante tale applicativo, conserva questi ultimi sulla propria infrastruttura tecnologica e ne garantisce l’integrità e la disponibilità, adottando adeguate misure tecniche e organizzative, assicurando determinati livelli di servizio in termini di disponibilità dei sistemi e mettendo a disposizione dei propri clienti una serie di strumenti per gestire e monitorare il servizio”.

Nelle due ordinanze con le quali ha irrogato le sanzioni, l’Autorità ha poi richiamato i principali riferimenti utili per la corretta gestione di situazioni analoghe (si veda la segnalazione del Garante al Parlamento e al Governo reperibile in www.garanteprivacy.it, doc. web n. 1693019; e il Parere del Gruppo ex art. 29, relativo all’applicazione della normativa UE sulla protezione dei dati alle procedure interne per la denuncia delle irregolarità adottato il 1° febbraio 2006) nonché i precedenti provvedimenti del Garante in materia (cfr., provv. 4 dicembre 2019, n. 215, doc. web n. 9215763, sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro” di ANAC e provvedimenti 10 giugno 2021, n. 235, doc. web n. 9685922, e n. 236, doc. web n. 9685947; cfr. newsletter n. 480 del 2 agosto 2021, doc. web n. 9687860, ma già provv. 23 gennaio 2020, n. 17, doc. web n. 9269618; newsletter n. 462 del 18 febbraio 2020, doc. web n. 9266789);

Le implicazioni per il mercato

Molte aziende, soprattutto per ignoranza della normativa o inesperienza rispetto alle best practice aziendali, sono restie ad adottare un sistema di whistleblowing e ritengono che tali segnalazioni possano avere un effetto negativo sulla reputazione dell’azienda o che il sistema incoraggi l’invio di segnalazioni infondate.

Il timore di incorrere poi anche in sanzioni sotto il profilo privacy, come testimoniato dalle citate ordinanze del Garante, potrebbe accrescere la resistenza delle società.

A prescindere dalla obbligatorietà delle procedure di whistleblowing (già prevista per alcune tipologie di società e in corso di ulteriore estensione dalla ricordata direttiva europea) in realtà, se ben gestiti, i servizi di whistleblowing apportano grandi vantaggi alle aziende che li adottano.

La cosiddetta Speak Up Culture è un obiettivo di grande valore per la reputazione della società e l’accrescimento del senso di appartenenza di collaboratori e dipendenti.

L’adozione di corrette procedure, che prevengano gli abusi e favoriscano l’emergere di comportamenti scorretti (e dannosi per l’impresa), è un elemento di valore riconosciuto da stakeholder e dal mercato.

Ciò che è importante è però regolamentare, in maniera specifica e conforme alla normativa di diritto del lavoro e di tutela dei dati personali, i comportamenti e i processi aziendali, non limitandosi ad acquistare ed adottare soluzioni e software preconfezionati.

Suggerimenti operativi per una compliance GDPR dei servizi di whistleblowing

In ragione di quanto evidenziato dal Garante Privacy e in conformità alle disposizioni in materia, le aziende che intendono adottare un servizio di whistleblowing dovranno sempre premunirsi, tra l’altro, di:

  1. fornire a tutti gli interessati la corretta informativa sui trattamenti effettuati in ragione del servizio whistleblowing;
  2. tenere traccia documentale di tale informativa fornita;
  3. indicare nel registro delle attività di trattamento dei trattamenti per finalità di whistleblowing;
  4. adottare specifiche cautele al fine di non effettuare la registrazione delle operazioni di navigazione (log) sull’applicazione whistleblowing evitando altresì la tracciabilità degli utenti;
  5. garantire la sicurezza delle credenziali di autenticazione per l’accesso all’applicativo;
  6. effettuare la preliminare valutazione d’impatto per stabilire il grado di rischio del trattamento;
  7. contrattualizzare il servizio di hosting (previa autorizzazione scritta del Titolare del trattamento).

Da ultimo, come ancora ricorda il Garante, la piena collaborazione dei soggetti ispezionati nel corso dell’accertamento è elemento di valutazione importante per l’entità delle sanzioni economiche irrogate. Ne deriva la necessità di fornire sempre e tempestivamente, supporto, chiarimenti e risposte, complete e adeguate, alle richieste dell’Autorità.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Ugo Ettore Di Stefano
Avvocato, Partner Studio Legale Lexellent

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4