L’identità dei whistleblower è protetta da uno specifico regime di garanzia e riservatezza previsto dalla normativa di settore per la particolare delicatezza delle informazioni trattate e per gli elevati rischi di ritorsioni e discriminazioni nel contesto lavorativo. In tale quadro, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, assicurandone l’integrità e la sicurezza. È quanto ribadito dal Garante della privacy che ha sanzionato un datore di lavoro (per 4° mila euro) e il fornitore dell’applicativo (per 20 mila euro) per la violazione delle regole sulla protezione dei dati personali, a seguito di attività ispettive svolte sugli applicativi usati per le segnalazioni di illeciti (whistleblowing).
Ma chi è il whistleblower?
Con la Legge 179 del 2017 è stato introdotto nel nostro ordinamento il c.d. whistleblowing, ossia la segnalazione all’autorità, da parte di un dipendente (whistleblower) di un illecito avvenuto nella Pubblica Amministrazione o nell’azienda in cui lavora (es. casi di corruzione o atti illeciti compiuti dai colleghi). In tali ipotesi la legge 179/2017 prevede una tutela speciale nei confronti del whistleblower.
Nel caso da ultimo analizzato dal Garante, e che ha portato alle sanzioni di cui si diceva nei confronti di una società aeroportuale e del fornitore dell’applicativo, è stato accertato il mancato utilizzo di tecniche di crittografia per la trasmissione e la conservazione dei dati e la violazione del principio della privacy by design.
Nel corso dell’istruttoria è emerso infatti che l’accesso all’applicativo per l’acquisizione e la gestione delle segnalazioni di illeciti avveniva senza l’uso di un protocollo di rete sicuro (quale il protocollo https) e che l’applicativo stesso non prevedeva la cifratura dei dati identificativi del segnalante (whistleblower), delle informazioni relative alla segnalazione e della eventuale documentazione allegata.
Si legge nel comunicato stampa del Garante che la società aeroportuale, titolare del trattamento, tracciava poi, mediante i log generati dai firewall, l’accesso all’applicativo da parte dei dipendenti connessi alla rete aziendale. Ciò rendeva inefficaci le altre misure adottate per tutelare la riservatezza dell’identità dei segnalanti, considerato anche l’esiguo numero di connessioni all’applicativo in questione. Inoltre, tenuto conto della delicatezza delle informazioni trattate, dei rischi e della vulnerabilità degli interessati, la società avrebbe dovuto effettuare una valutazione di impatto.
Nel comminare la sanzione il Garante ha ribadito che il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare la conformità ai principi di protezione dati impartendo le necessarie istruzioni al fornitore del servizio (ad es. disattivando le funzioni in contrasto con le norme di settore). L’Autorità ha sanzionato con un secondo provvedimento anche il fornitore dell’applicativo, nella sua qualità di responsabile del trattamento, sia per la violazione degli obblighi in materia di sicurezza, sia per la mancata regolamentazione del rapporto con altre due società che trattavano i dati per suo conto.
(Fonte: Garante privacy)
