Whistleblowing senza privacy: Garante sanziona ospedale e società informatica

martedì 17 Maggio, 2022

PA e imprese devono prestare la massima attenzione nell’impostazione e gestione dei sistemi di whistleblowing, garantendo la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite. Lo ha ribadito il Garante per la privacy che ha sanzionato un’azienda ospedaliera e la società informatica che gestiva il servizio per denunciare presunte attività corruttive o altri comportamenti illeciti all’interno dell’ente.

L’istruttoria dell’Autorità nasce nell’ambito di un ciclo di attività ispettive sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, in particolare quelli più utilizzati in Italia dai datori di lavoro.

Dai controlli effettuati presso un’azienda ospedaliera sono emerse diverse violazioni del Gdpr. L’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.

La struttura sanitaria non aveva poi provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto privacy e non aveva neppure inserito tali operazioni nel registro delle attività di trattamento, strumento utile per valutare i rischi per i diritti e le libertà degli interessati. È infine emersa una non corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (Rpct), durante la fase di transizione con il suo successore.

Nel corso dei controlli sono emersi ulteriori illeciti imputabili alla società informatica che, in qualità di responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing. La società si era infatti avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria. Aveva poi utilizzato il medesimo servizio di hosting anche per proprie finalità, ad esempio per la gestione del rapporto di lavoro con i dipendenti o la gestione contabile e amministrativa, anche in questo caso senza regolare il rapporto e l’uso dei dati.

Il Garante, tenendo conto della piena collaborazione offerta nel corso dell’istruttoria anche per sanare i problemi rilevati, ha comminato sia alla struttura sanitaria sia alla società informatica una sanzione di 40.000 euro. Ha inoltre concesso 30 giorni alla società informatica per adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali.

Fonte: GPDP Garante per la protezione dei dati personali

Ultimi Articoli

ARXivar – Aggiornamenti sulla Conservazione Elettronica – 6 – 2022

giovedì 1 Settembre, 2022

Nel documento allegato sono trattati i seguenti argomenti:

– Nuova versione delle specifiche tecniche fatturazione elettronica – Digitalizzazione delle dichiarazioni …

Approfondisci

Eli-net: chiusura aziendale | 8 – 19 agosto 2022

martedì 2 Agosto, 2022

Gentili Clienti, vi comunichiamo che i nostri uffici rimarranno chiusi al pubblico dall’8 al 19 agosto e riapriranno regolarmente lunedì …

Approfondisci

ARXivar – Aggiornamenti sulla Conservazione Elettronica – 5 – 2022

venerdì 22 Luglio, 2022

Nel documento allegato sono trattati i seguenti argomenti:

– Esterometro: chiarimenti forniti dalla circolare 26/E dell’Agenzia delle Entrate – Aggiornamento …

Approfondisci

Censimento dei canali abituali di trasmissione delle fatture elettroniche sul sito AdE

martedì 19 Luglio, 2022

Allo scopo di contrastare il fenomeno delle false fatturazioni, sul sito Fatture e Corrispettivi è disponibile il servizio per il …

Approfondisci

ARXivar – Aggiornamenti sulla Conservazione Elettronica – 4 – 2022

venerdì 24 Giugno, 2022

Nel documento allegato sono trattati i seguenti argomenti:

– Conservazione digitale obbligatoria per gli intermediari – Obbligo fatturazione elettronica per …

Approfondisci

Chiusura aziendale | 3 giugno 2022

martedì 31 Maggio, 2022

Gentili Clienti,

Vi comunichiamo che nelle giornate di giovedì 2 e venerdì 3 giugno 2022 i nostri uffici rimarranno chiusi …

Approfondisci