Ordinanza ingiunzione nei confronti di Azienda ospedaliera di Perugia – 7… – Garante Privacy
Il Garante per la privacy interviene nell’ambito dei sistemi whistleblowing, di segnalazione degli illeciti, nei confronti di un’azienda ospedaliera nonché della società informatica terza che gestiva il servizio.
1. Il caso.
L’Autorità chiarisce come tale intervento sanzionatorio sia nato nell’ambito di un ciclo di attività ispettive condotte dal Garante sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, in particolare quelli più utilizzati in Italia dai datori di lavoro.
In particolare, secondo il Garante, dai controlli effettuati presso l’ente interessato, un’azienda ospedaliera, sono emerse diverse violazioni del GDPR (Regolamento UE 2016/679). In particolare, l’accesso all’applicazione di whistleblowing avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.
2. L’istruttoria e la motivazione del Garante.
In base all’istruttoria condotta dall’Autorità, la struttura sanitaria non avrebbe poi provveduto a:
- informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti;
- effettuare una valutazione di impatto privacy;
- inserire tali operazioni nel registro delle attività di trattamento, quale strumento utile per valutare i rischi per i diritti e le libertà degli interessati.
È infine emersa una non corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (RPCT), durante la fase di transizione con il suo successore.
Infine, come anticipato, il Garante ha condotto ulteriori controlli che hanno fatto emergere ulteriori illeciti imputabili alla società informatica che, in qualità di responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing.
La società, in particolare. si era avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria. Aveva poi utilizzato il medesimo servizio di hosting anche per proprie finalità, ad esempio per la gestione del rapporto di lavoro con i dipendenti o la gestione contabile e amministrativa, anche in questo caso senza regolare il rapporto e l’uso dei dati.
3. Conclusioni.
Conseguentemente, l’Autorità ha comminato sia alla sia alla struttura sanitaria sia alla società informatica una sanzione di 40.000 euro, ai sensi dell’art. 166 comma 8 del Codice per la protezione dei dati personali, in quanto ha tenuto conto della piena collaborazione offerta nel corso dell’istruttoria anche per sanare i problemi rilevati. È stato inoltre concesso un termine di 30 giorni alla società informatica per adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali, ai sensi dell’art. 27 della l. n. 689/1981.
Avv. Adamo Brunetti