Skip to main content
News

Whistleblowing - Recenti provvedimenti del Garante

Locations

Italia

In data 11 maggio 2022 il Garante per la Protezione dei dati Personali ha reso noto di aver sanzionato, lo scorso 07 aprile 2022, sia un’azienda ospedaliera che la società informatica, di cui la prima si avvaleva, nell’ambito dell’utilizzo dell’applicativo impiegato per l’acquisizione e la gestione delle segnalazioni whistleblowing all’interno dell’ente.
 
L’istruttoria è nata nell’ambito di un ciclo di attività ispettive sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, in particolare quelli più utilizzati in Italia dai datori di lavoro pubblici e privati.
 
Dai controlli effettuati sono emerse diverse violazioni del GDPR. L’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti. La struttura sanitaria non aveva altresì provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto privacy e non aveva neppure inserito tali operazioni nel registro delle attività di trattamento. È, infine, emersa una non corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza, durante la fase di transizione con il suo successore.
 
Le due ordinanze ingiunzione sono reperibili ai seguenti link:

Sign up to our email digest

Click to subscribe or manage your email preferences.

SUBSCRIBE