Whistleblowing: Garante, servono maggiori tutele per il segnalante

L’identità dei whistleblower è protetta da uno specifico regime di garanzia e riservatezza per la particolare delicatezza delle informazioni trattate e per gli elevati rischi di ritorsioni e discriminazioni nel contesto lavorativo. In tale quadro, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, assicurandone l’integrità e la sicurezza. Il Garante privacy ha perciò sanzionato – a seguito di attività ispettive sugli applicativi usati per le segnalazioni di illeciti – una società aereoportuale e il suo fornitore di software per violazioni delle regole poste a tutela dei dati personali trattati (Nota 02 agosto 2021, n. 480).


 


La disciplina in materia di tutela del dipendente che segnala illeciti e la disciplina in materia di protezione dei dati personali (c.d. whistleblowing) – originariamente prevista solo per i soggetti pubblici (cfr. art. 54-bis del D.Lgs. 30 marzo 2001, n. 165, introdotto dall’art. 1, comma 51, della L. n. 190/2012) – è stata integrata e modificata dalla L. 30 novembre 2017, n. 179 che ha introdotto una nuova disciplina in materia di whistleblowing riferita ai soggetti privati, integrando la normativa in materia di “responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica” (cfr. art. 2 della L n. 179/2017 che ha aggiunto il comma 2-bis all’art. 6 del D.Lgs. 8 giugno 2001, n. 231).
Il quadro normativo sopra richiamato prevede, più in generale, misure volte a proteggere la divulgazione dell’identità del segnalante, allo scopo di prevenire principalmente l’adozione di misure discriminatorie nei confronti dello stesso.
L’identità dei whistleblower è, infatti, protetta da uno specifico regime di garanzia per la particolare delicatezza delle informazioni trattate e per gli elevati rischi di ritorsioni e discriminazioni nel contesto lavorativo. Il titolare del trattamento è pertanto tenuto a rispettare i principi in materia di protezione dei dati, assicurandone l’integrità e la sicurezza.
Questo è quanto ribadito anche dal Garante privacy che, a seguito di attività ispettive sugli applicativi usati per le segnalazioni di illeciti (whistleblowing), ha sanzionato una società aereoportuale per 40.000 euro e il suo fornitore di software per 20.000 euro per violazioni delle regole poste a tutela dei dati personali trattati.
Nella specie, il Garante ha accertato il mancato utilizzo di tecniche di crittografia per la trasmissione e la conservazione dei dati e la violazione del principio della privacy by design da parte della società aereoportuale. Sebbene, nel corso dell’istruttoria, la Società abbia rappresentato di non aver, in un primo momento, ritenuto necessario adottare un protocollo di rete sicuro (quale il protocollo https) sulla base delle assicurazioni del Fornitore e in ragione del limitato numero di segnalazioni ricevute (“pochissime transazioni a bassissimo volume di traffico”), della “scarsa utilità”, per eventuali terzi, delle informazioni contenute nelle segnalazioni acquisite mediante l’applicativo e della “probabilità estremamente bassa di minacce quali phishing disinnescate dalla possibilità di verificare l’autenticità del sito”, il Garante ha osservato che, in ogni caso, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate tenuto conto dello stato dell’arte, dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto, delle finalità e dei rischi connessi al trattamento.
La società aereoportuale, titolare del trattamento, tracciava, poi, mediante i log generati dai firewall, l’accesso all’applicativo da parte dei dipendenti connessi alla rete aziendale. Ciò ha reso inefficaci le altre misure adottate per tutelare la riservatezza dell’identità dei segnalanti, considerato anche l’esiguo numero di connessioni all’applicativo in questione.
Il titolare del trattamento deve eseguire, infatti, una valutazione dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento. La mancata adozione delle necessarie misure a tutela degli interessati con riguardo al tracciamento degli accessi all’applicativo si pone pertanto in contrasto anche con i principi della “protezione dei dati fin dalla progettazione” e della “protezione dei dati per impostazione predefinita” di cui all’art. 25 del Regolamento. Per tali ragioni, il Grante ha ritenuto che la registrazione e la conservazione, all’interno dei log degli apparati firewall, di informazioni direttamente identificative degli utenti dell’applicativo “è stata posta in essere, fino al momento in cui la Società ha provveduto ad adottare specifiche misure a tutela degli interessati volte a non registrare più nei log dei sistemi firewall gli accessi all’applicativo in questione, in violazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento UE n. 2016/679.
Inoltre, tenuto conto della delicatezza delle informazioni trattate, dei rischi e della vulnerabilità degli interessati, la società avrebbe dovuto effettuare una valutazione di impatto.Nel prendere atto che, a seguito degli approfondimenti svolti dalla Società, la stessa ha effettuato, seppur tardivamente, una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del Regolamento si deve concludere che, comunque, fino alla data di predisposizione della stessa, il trattamento è stato effettuato in assenza di una valutazione d’impatto necessaria a individuare misure specifiche per attenuare i rischi derivanti dal trattamento, in violazione dell’art. 35 del Regolamento.
Nel comminare la sanzione il Garante ha quindi ribadito che il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare la conformità ai principi di protezione dati impartendo le necessarie istruzioni al fornitore del servizio (ad es. disattivando le funzioni in contrasto con le norme di settore) ed ha ha sanzionato con un secondo provvedimento anche il fornitore dell’applicativo, nella sua qualità di responsabile del trattamento, sia per la violazione degli obblighi in materia di sicurezza, sia per la mancata regolamentazione del rapporto con altre due società che trattavano i dati per suo conto.