Dati acquisiti tramite whistleblowing in violazione del GDPR: sanzione del Garante della Privacy alla Azienda Ospedaliera di Perugia e alla Società Informatica Isweb

di Claudia Ruggiero Perrino -

 

L’Authority, a seguito di ispezioni sulle modalità di trattamento dei dati acquisiti dai datori di lavoro in materia di segnalazione di condotte illecite tramite i sistemi dell’applicazione web whistleblowing, con Ordinanza ingiunzione del 7 aprile 2022, ha sanzionato l’Azienda Ospedaliera di Perugia. Le informazioni acquisite mediante la predetta applicazione, seppur sottoposte a cifratura, devono essere considerate come dati personali in quanto rappresentano informazioni su persone fisiche identificabili. Ebbene, nella fattispecie è emerso che il trattamento dei dati personali da parte della struttura sanitaria avveniva in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, in spregio a quanto disposto dal GDPR. L’accesso alla predetta applicazione, nello specifico, consentiva che i dati di navigazione degli utenti registrati e conservati potessero essere identificati da chi la utilizzava, tra cui i potenziali segnalanti, in maniera non conforme ai principi di riservatezza. Non solo. L’Azienda non aveva reso ai propri lavoratori una specifica informativa preventiva in relazione ai trattamenti derivanti dall’acquisizione di segnalazioni di presunti illeciti, non aveva effettuato una valutazione di impatto sulla protezione dei dati e, in ultimo, non aveva inserito tali operazioni nel registro delle attività di trattamento. Occorre poi evidenziare che ai fini del rispetto della normativa in materia di protezione dei dati personali è necessario identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali. Il Garante ha, quindi, sanzionato anche la società informatica Isweb, fornitrice all’Azienda Ospedaliera di tale applicazione web, in quanto, senza ricevere autorizzazione dalla struttura sanitaria e in assenza di istruzioni sul trattamento dei dati, si era avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo e, perché, aveva utilizzato tale servizio anche per proprio esclusivo interesse. Alla società è stato ingiunto, in ultimo, di conformare i trattamenti alle disposizioni in materia di protezione dei dati personali.

Ordinanza di ingiunzione nei confronti della Azienda Ospedaliera di Perugia

Ordinanza di ingiunzione nei confronti di Isweb Spa