Whistleblower senza privacy: il Garante privacy sanziona un ospedale e la società informatica che fornisce il servizio.

Whistleblower: ciclo di attività ispettive del Garante Privacy

Nel 2020 il Garante ha effettuato un ciclo di attività ispettive sui sistemi di tutela dei whistleblower. In dettaglio, le ispezioni si sono concentrate sugli applicativi finalizzati ad acquisire e segnalare attività illecite sia nel pubblico che nel privato. La normativa sul whistleblowing prevede, per chi denuncia illeciti, specifiche garanzie a tutela della privacy e dell'anonimato del segnalante.

E' nell'ambito di tali verifiche che il Garante ha sanzionato l'Azienda ospedaliera di Perugia e la società informatica che gestisce il servizio.

Gli esiti dell'attività istruttoria del Garante Privacy: evidenze tecniche

Dai controlli e le verifiche effettuate sono emerse alcune violazioni del GDPR sia dal punto di vista tecnico che legale. L'Azienda ospedaliera di Perugia si avvale di una piattaforma web di whistleblowing che si basa su un software open source.

La piattaforma è infatti una web app in modalità cloud fornita da una azienda terza correttamente designata come responsabile del trattamento dei dati. Questa applicazione, anche se esposta su rete pubblica, può essere raggiunta esclusivamente da postazioni di lavoro entro la rete aziendale.

L'accesso avviene tramite "firewall di nuova generazione" che memorizzano in appositi file di log tutte le operazioni effettuate insieme ad una serie di dati che consentono di identificare l'utente. Al primo accesso infatti, la piattaforma prevede l'iscrizione nel sistema. Questa iscrizione richiede una serie di dati identificativi e di contatto del segnalante, insieme alla qualifica e alla sede di servizio. Solo dopo questa iscrizione è possibile inviare segnalazioni. Al momento della registrazione, la piattaforma invia una email di conferma al soggetto "con il ruolo di “incaricato della gestione dell’anagrafica degli iscritti”. Ad esempio è emerso come, nei log generati tramite i firewall, siano presenti dati come l'indirizzo IP della postazione di lavoro usata per connettersi all'applicativo e la username dell'utente.

E' emerso inoltre l'omessa valutazione di impatto (DPIA).

Gli esiti dell'attività istruttoria del Garante Privacy: evidenze legali

L'istruttoria accertava anche che la struttura sanitaria non ha informato preventivamente i lavoratori rispetto al trattamento dati effettuato al fine di segnalare illeciti. Non solo: tutte le operazioni di trattamento dati in ambito di whistleblwoing non sono state neppure inserite nel registro delle attività di trattamento dei dati. Tutte mancanze che rendono difficili valutazioni sui rischi e le libertà/ diritti degli interessati.

Alcune responsabilità gravano anche sull'azienda informatica che ha fornito il servizio. A partire dal fatto che l'azienda informatica nominata responsabile del trattamento dei dati si è avvalsa di una società terza per il servizio di hosting dei sistemi. Nel farlo però non ha dato specifiche istruzioni sul trattamento dei dati degli interessati e non ne ha neppure dato comunicazione all'azienda sanitaria. Criticità che si manifestano anche in altro campo. La stessa azienda informatica infatti utilizza lo stesso servizio di hosting anche a scopi propri. Vi gestisce i rapporti coi dipendenti e la contabilità, anche in questo caso senza formalizzare e regolarizzare l'uso dei dati e il rapporto tra azienda e fornitore del servizio di hosting.

E' emerso, infine, anche un problema relativo alle credenziali di accesso all'app di whistleblowing nella fase di passaggio tra il Responsabile della prevenzione della corruzione e della trasparenza (Rpct) dimissionari e il suo successore.

Whistleblower: cosa prevede il Garante a loro tutela?

Il Garante Privacy ha emanato sul punto una nota ufficiale nel quale spiega che

"PA e imprese devono prestare la massima attenzione nell’impostazione e gestione dei sistemi di whistleblowing, garantendo la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite”.

La normativa attuale discende dalla legge 179 del 30 Novembre 2017 e ha modificato quanto già previsto a tutela di chi segnala illeciti o corruzione, aggiungendo ulteriori livelli di protezione. Ad esempi0 è stato previsto il reintegro del segnalante in caso di licenziamento ritorsivo, l'annullamento di ogni forma di ripercussione e, sopratutto, ulteriori livelli di protezione dell'identità del segnalante.

Il Garante privacy opta per la sanzione: 40.000 euro

Nonostante la piena collaborazione offerta dalla struttura sanitaria nel corso dell'Istruttoria, sia fornendo documentazione sia fornendo soluzioni per sanare i problemi, il Garante ha optato per la sanzione. Sono emerse infatti violazioni non solo della legge a tutela del Whistleblower ma anche di alcune previsioni del GDPR. Il Garante ha infatti accertato il mancato rispetto dei principi di correttezza, liceità, trasparenza, integrità e riservatezza dei dati nonché violazioni dei principi cardine di privacy by design e privacy by default.

Tenuto conto anche:

• dell'assenza di adeguate misure tecniche e organizzative a protezione dei dati
• del registro del trattamenti incompleto
• della mancata comunicazione agli interessati
• della mancata valutazione d'impatto

il Garante ha stimato in 40.000 una congrua sanzione amministrativa e in 30 giorni il periodo massimo concesso alla società informatica per adeguare il rapporto con la società terza fornitrice del servizio di hosting.

Il provvedimento completo è disponibile qui.