Whistleblowing senza privacy: Garante sanziona ospedale e società informatica
Nell’ambito di un ciclo di attività ispettive sulle modalità di trattamento dei dati acquisiti mediante i sistemi di whistleblowing, il Garante ha ribadito la necessità di prestare la massima attenzione nella impostazione e nella gestione di questi sistemi. È necessario infatti, garantire la massima riservatezza ai dipendenti e alle altre persone che presentano segnalazioni di condotte illecite.
In particolare, dai controlli effettuati presso un’azienda ospedaliera sono emerse diverse violazioni del Gdpr. L’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.
La struttura sanitaria non aveva poi provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto privacy e non aveva neppure inserito tali operazioni nel registro delle attività di trattamento, strumento utile per valutare i rischi per i diritti e le libertà degli interessati. È infine emersa una non corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (Rpct), durante la fase di transizione con il suo successore.