La regolamentazione del whistleblowing
In Italia la regolamentazione del whistleblowing ha avuto origine con la Legge 90/2012 che prevedeva l’obbligo per le pubbliche amministrazioni, di dotarsi di sistemi di prevenzione alla corruzione, tra cui un meccanismo di whistleblowing; detto obbligo è stato esteso al settore privato con la Legge 179/2017; a fronte di ciò entro il 31/12/2021 le aziende con 250 hanno e i Comuni oltre i 10.000 abitanti avrebbero dovuto introdurre sistemi informatici e procedure assolutamente sicure per gestire il whistleblowing, mentre le aziende con più di 50 dipendenti avranno tempo due anni per adempiere a tale obbligo fino al 17 dicembre 2023.
Si rammenta, inoltre, che tutte le aziende che adottano un modello 231/2001 devono per legge adottare un canale specifico per la segnalazione di illeciti all’Organismo di Vigilanza.
Ciò significa la necessità di effettuare un trattamento assolutamente consono e rispettoso a quanto previsto dal GDPR.
A tal proposito si segnala che nella newsletter del 11/5/2022 il Garante informa di aver proceduto a sanzionare un ospedale (quale Titolare) e una società di informatica (quale Responsabile) in quanto non hanno prestato la necessaria attenzione nell’impostazione e gestione dei sistemi di whistleblowing, non avendo garantito la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite.
La decisione del Garante
Dai controlli effettuati presso un’azienda ospedaliera sono emerse diverse violazioni del GDPR, nel caso specifico l’accesso all’applicazione web di whistleblowing avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.
Oltre a ciò il Titolare del trattamento non aveva adempiuto a tutta una serie di obblighi previsti dal GDPR, per la precisione:
non aveva provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti;
non aveva effettuato una valutazione di impatto;
non aveva inserito tali operazioni nel registro delle attività di trattamento;
non c’era una corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza, durante la fase di transizione con il successore.
Nel corso dei controlli sono emersi ulteriori illeciti imputabili alla società informatica che, in qualità di responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing.
La società si era, infatti, avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria.
Queste contestazioni mosse dal Garante risultano essere una specie di check-list che può aiutare a controllare la conformità dell’organizzazione aziendale a quanto previsto dal GDPR in relazione al whistleblowing.