Gestione dei sistemi di whistleblowing e tutela della privacy

Il Garante per la protezione dei dati personali – con Newsletter 11 maggio 2022, n. 488 – ha ribadito che PA e imprese devono prestare la massima attenzione nell’impostazione e gestione dei sistemi di whistleblowing, garantendo la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite.

Al riguardo, il Garante – nel sanzionare un’azienda ospedaliera e la società informatica che gestiva il servizio per denunciare presunte attività corruttive o altri comportamenti illeciti all’interno dell’ente – ha riscontrato le seguenti anomalie di sistema:

• l’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservavano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti;
• non erano stati informati preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti;
• non era stata effettuata una valutazione di impatto privacy;
• non erano state inserite tali operazioni nel registro delle attività di trattamento, strumento utile per valutare i rischi per i diritti e le libertà degli interessati;
• non c’era una corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (Rpct), durante la fase di transizione con il suo successore.