I due provvedimenti, rispettivamente doc web 9768363 e 9768387, offrono lo spunto per ripercorrere gli adempimenti privacy in capo ai Titolari ed ai Responsabili del trattamento per quanto riguarda il whistleblowing.
Con decreto legislativo 10 marzo 2023, n. 24 è stata recepita in Italia la Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione.
Il Garante privacy, ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento europeo 679/2016, si è pronunciato sulle menzionate Linee guida, esprimendo parere favorevole.
Numerosi sono stati, in questi anni, gli interventi anche di carattere generale in materia (cfr., provv. 4 dicembre 2019, n. 215, doc. web n. 9215763, parere del Garante sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)” di ANAC) e decisioni su singoli casi (provv.ti 10 giugno 2021, n. 235, doc. web n. 9685922, e n. 236, doc. web n. 9685947; cfr. newsletter n. 480 del 2 agosto 2021, doc. web n. 9687860, ma già provv. 23 gennaio 2020, n. 17, doc. web n. 9269618; newsletter n. 462 del 18 febbraio 2020, doc. web n. 9266789).
Nell’ambito di un ciclo di attività ispettive nel quadro della disciplina in materia di segnalazione di condotte illecite (c.d. whistleblowing), sono stati effettuati specifici accertamenti nei confronti dell’Azienda ospedaliera di Perugia e di Isweb S.p.A., che fornisce e gestisce per suo conto l’applicativo utilizzato per l’acquisizione e la gestione delle segnalazioni di condotte illecite e, a tal fine, è individuata quale responsabile del trattamento ai sensi dell’art. 28 del Regolamento europeo 679/2016.
Numerose le mancanze rilevate in fase di accertamento.
Contestazioni sollevate dal Garante privacy nei confronti dell’azienda ospedaliera di Perugia
Mancanza della informativa sul trattamento dei dati effettuati in relazione ai trattamenti derivanti dall’acquisizione di segnalazioni di presunti illeciti
Con riguardo al principio di “liceità, correttezza e trasparenza” il Titolare ha l’obbligo di fornire preventivamente a tutta la platea dei possibili soggetti interessati specifiche informazioni sul trattamento dei dati personali e deve adottare “misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 […]”.
Tuttavia, nel corso dell’attività istruttoria, l’Azienda ha dichiarato di non aver reso una specifica informativa preventiva in relazione ai trattamenti derivanti dall’acquisizione di segnalazioni di presunti illeciti, né le informazioni sul trattamento richieste dagli artt. 13 e 14 GDPR risultano altrimenti rese dall’Azienda, non essendo, ad esempio, incluse nell’atto organizzativo adottato dal titolare per la gestione delle segnalazioni (regolamento), o pubblicate in un’apposita sezione dell’applicativo informatico utilizzato per l’acquisizione e gestione delle segnalazioni, o, ancora, nei contratti individuali di lavoro.
A tale adempimento il Titolare ha ottemperato nel corso dell’attività ispettiva.
Mancata indicazione dei trattamenti per finalità di whistleblowing nel registro delle attività di trattamento
L’art. 30 GDPR prevede tra gli adempimenti principali del Titolare quello della tenuta del registro delle attività di trattamento, che deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante privacy. La tenuta del registro, che deve contenere le principali informazioni relative alle operazioni di trattamento svolte, è funzionale al rispetto del principio di “responsabilizzazione” del titolare, in quanto costituisce uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione del titolare. Ciò risulta particolarmente rilevante con riguardo alle attività di valutazione e di analisi del rischio, costituendo, pertanto, un adempimento preliminare rispetto a tali attività.
Nel caso specifico, nel Registro delle attività del trattamento del Titolare i trattamenti di dati personali effettuati per finalità di acquisizione e gestione di segnalazioni di condotte illecite (c.d. whistleblowing) non risultavano censiti nel registro delle attività di trattamento.
Anche in questo caso l’Azienda provvedeva ad ottemperare nel corso dell’istruttoria.
Tracciamento degli accessi all’applicativo
Nel corso dell’istruttoria è stato constatato che l’applicativo per l’acquisizione e la gestione delle segnalazioni di condotte illecite era accessibile esclusivamente da postazioni di lavoro attestate alla rete aziendale e che l’accesso alla rete pubblica da tali postazioni di lavoro avveniva mediante sistemi firewall che memorizzavano in appositi file di log le operazioni di navigazione effettuate, unitamente a dati che consentivano di risalire anche indirettamente ai dipendenti o ad altri soggetti che le hanno effettuate.
È emerso che non sono state previste specifiche cautele al fine di non effettuare la registrazione delle operazioni di navigazione sull’applicazione web per l’acquisizione e la gestione di segnalazioni di condotte illecite.
I log generati dai predetti apparati firewall contenevano, tra gli altri, l’indirizzo IP della postazione di lavoro utilizzata per la connessione all’applicativo in questione e la username del soggetto ha effettuato tale connessione e venivano conservati fino a tre mesi.
Rilevava sul punto il Garante privacy che la registrazione e la conservazione, nei log degli apparati firewall, delle informazioni relative alle connessioni all’applicativo in questione consente la tracciabilità dei soggetti che utilizzano tale applicativo, tra i quali i segnalanti.
Ciò, considerato anche l’esiguo numero di connessioni all’applicativo in questione, rende inefficaci le altre misure adottate per tutelare la riservatezza dell’identità dei segnalanti.
Per tali ragioni, la registrazione e la conservazione, all’interno dei log degli apparati firewall, di informazioni direttamente identificative degli utenti dell’applicativo in questione non risulta conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32 GDPR che stabilisce che il Titolare del trattamento debba mettere in atto misure per “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (par. 1, lett. b)) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).
Il Titolare del trattamento non deve raccogliere dati personali che non siano necessari per la specifica finalità del trattamento (cfr. “Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate il 20 ottobre 2020 dal Comitato europeo per la protezione dei dati, spec. punti 42, 44 e 49) ciò anche quando utilizza prodotti o servizi realizzati da terzi, deve eseguire, anche avvalendosi del supporto del responsabile della protezione dei dati ove nominato, una valutazione dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, in particolare, la disciplina in materia di whistleblowing (v. provv. 10 giugno 2021, n. 235, doc. web n. 9685922, spec. par. 3.2, e provv.ti ivi richiamati), ma anche le norme nazionali che disciplinano le condizioni per l’impiego degli strumenti tecnologici sul posto di lavoro (sotto tale ultimo profilo, con riguardo a operazioni di tracciamento delle connessioni a siti Internet da parte di dipendenti, v. da ultimo provv. 13 maggio 2021, n. 190, doc. web n. 9669974).
Per tali ragioni, ritiene il Garante che la registrazione e la conservazione, all’interno dei log degli apparati firewall, di informazioni relative alle connessioni all’applicativo in questione da parte degli utenti – anche solo relative al mero accesso e consultazione delle pagine web dell’applicativo – è stata posta in essere, fino al momento in cui il titolare ha provveduto ad adottare le richiamate misure a tutela degli interessati, in violazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento.
Inidoneità delle modalità di gestione delle credenziali di autenticazione in uso al RPCT
L’istruttoria evidenziava anche modalità di gestione delle credenziali di autenticazione per l’accesso all’applicativo in questione non conformi alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32 GDPR.
L’avvicendamento nel ruolo di RPCT avrebbe causato una lacuna nel sistema di gestione delle credenziali che, non ancora assegnate al nuovo RPCT, sarebbero rimaste attive.
Nel corso dell’istruttoria l’Azienda ha, dapprima, richiesto alla Società di sospendere l’invio di e-mail di notifica da parte dell’applicativo in questione e, successivamente, ha chiesto di configurare l’indirizzo di posta elettronica del nuovo RPCT come destinatario delle e-mail di notifica relative agli eventi di iscrizione di un segnalante e di ricezione di una segnalazione.
Non manca di sottolineare il Garante come la mancata disattivazione delle predette credenziali di autenticazione (username e password) – a seguito della perdita delle qualità che consentivano al RPCT dimissionario, a cui tali credenziali erano attribuite, di accedere ai dati personali trattati nell’ambito dell’applicativo – abbia comportato un elevato e ingiustificato rischio per i diritti e le libertà degli interessati, in considerazione delle gravi conseguenze che sarebbero derivate da eventuali accessi non autorizzati ai dati contenuti in segnalazioni di condotte illecite che potevano pervenire nel periodo intercorso tra le dimissioni del RPCT e il momento in cui l’Azienda, con il supporto della Società, ha provveduto a riconfigurare l’applicativo per consentirne l’utilizzo da parte del nuovo RPCT.
Mancata esecuzione di una valutazione d’impatto sulla protezione dei dati
Come chiarito di recente dal Garante proprio con riferimento ai trattamenti effettuati mediante applicativi per l’acquisizione e gestione delle segnalazioni illecite (v. provv. 10 giugno 2021, n. 235, doc. web n. 9685922, spec. par. 3.3), il trattamento dei dati personali effettuati in tale ambito – in ragione della particolare delicatezza delle informazioni trattate, nonché degli elevati rischi, in termini di possibili effetti ritorsivi e discriminatori, anche indiretti, per il segnalante, la cui identità è protetta da uno specifico regime di garanzia e riservatezza previsto dalla normativa di settore (tanto a livello nazionale quanto a livello europeo, cfr., da ultimo, la direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione) – presenta rischi specifici per i diritti e le libertà degli interessati.
Ciò, anche considerata, la “vulnerabilità” degli interessati (soggetti segnalanti e segnalati) nel contesto lavorativo.
Anche in questo caso l’Azienda, nel corso dell’istruttoria ha provveduto alla redazione di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR.
Contestazioni sollevate dal Garante privacy nei confronti di Isweb S.p.a.
I trattamenti effettuati dalla Isweb S.p.a. per conto dell’Azienda sanitaria di Perugia: mancata regolamentazione del rapporto con il fornitore di servizi di hosting
Nel corso dell’attività ispettiva è emerso che Isweb S.p.a. ha affidato alla società Seeweb S.r.l. il servizio di hosting dei sistemi informatici che ospitano, tra gli altri, l’applicativo whistleblowing.
Le informazioni presenti all’interno delle segnalazioni di condotte illecite acquisite mediante l’applicativo “whistleblowing” in questione, seppur sottoposti a cifratura – che costituisce un’efficace misura che il titolare e il responsabile, anche in base ai principi della protezione dei dati fin dalla progettazione e per impostazione predefinita, possono adottare per rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, garantendo la sicurezza del trattamento e tutelando i diritti e le libertà degli interessati – devono essere considerati come dati personali in quanto rappresentano informazioni su persone fisiche identificabili (cfr. cons. 83, e artt. 4, punto 1), 25 e 32, par. 1, lett. a), GDPR).
Dall’esame della documentazione in atti, non risulta infatti essere stato disciplinato il rapporto con Seeweb S.r.l. a cui la Società ha fatto ricorso sia per i trattamenti posti in essere in qualità di titolare, sia per quelli effettuati in qualità di responsabile per conto di propri clienti, tra i quali l’Azienda ospedaliera di Perugia (cfr. art. 28, parr. 2 e 4, GDPR).
Nel prendere atto del fatto che il ricorso a Seeweb S.r.l. come fornitore del servizio di hosting fosse stato indicato nella documentazione tecnica messa a disposizione, prima della conclusione del contratto, dell’Azienda ospedaliera di Perugia, la quale quindi non poteva ritenersi del tutto ignara del coinvolgimento di un altro soggetto nel complessivo trattamento, occorre comunque richiamare l’attenzione su quanto previsto dall’art. 28, par. 2, del Regolamento, che richiede espressamente che il responsabile non ricorra a un altro responsabile “senza previa autorizzazione scritta, specifica o generale, del titolare”, autorizzazione che, nel caso di specie, non è stata invece acquisita.
Sebbene nel corso dell’istruttoria Isweb S.p.a. abbia regolamentato il rapporto con Seeweb S.r.l., designandola responsabile del trattamento, il Garante rilevava, tuttavia, che l’atto trasmesso non teneva conto del ruolo di sub-responsabile assunto da Seeweb S.r.l. con riguardo ai trattamenti effettuati per conto dei clienti della Società, ivi incluso quello relativo all’acquisizione e la gestione delle condotte illecite mediante l’applicativo in uso all’Azienda ospedaliera di Perugia.
Per tali ragioni, si ritiene che il ricorso da parte della Società ai servizi offerti da Seeweb S.r.l. – in assenza di un contratto o altro atto giuridico che disciplini il trattamento di dati personali, da parte di quest’ultima, in qualità di sub-responsabile, e senza specifica autorizzazione da parte dell’Azienda in merito al coinvolgimento di tale soggetto – risulta avvenuto in violazione dell’art. 28, parr. 2 e 4, GDPR.
I trattamenti posti in essere dalla società in qualità di titolare del trattamento: mancata regolamentazione del rapporto con il fornitore di servizi di hosting
Con riguardo al caso di specie, il rapporto tra la Società, in qualità di titolare del trattamento (Isweb S.p.a.), e il fornitore del servizio di hosting è stato regolato sotto il profilo della protezione dei dati solo a seguito dell’attività ispettiva condotta dal Garante privacy.
Al contrario, la disciplina in materia di protezione dei dati richiede che il rapporto tra il titolare e il fornitore del servizio di hosting sia regolato da un contratto o da altro atto giuridico a sensi dell’art. 28 gdpr (v. anche considerando 81 e art. 4, punto 8, del Regolamento), anche al fine di evitare trattamenti (comunicazione a terzi) in assenza di idoneo presupposto di liceità (stante la nozione di “terzo” di cui all’art. 4, punto 10 GDPR; cfr. art. 2-ter, commi 1 e 4, lett. a), del Codice, con riguardo alla definizione di “comunicazione”).
Osservazioni relative al provvedimento nei confronti dell’azienda ospedaliera
L’Azienda ospedaliera, alla luce delle irregolarità come sopra evidenziate, la maggior parte delle quali è stata sanata nel corso dell’istruttoria, veniva condannata al pagamento della sanzione pecuniaria di € 40.000,00 avuto conto, per la determinazione della norma applicabile, sotto il profilo temporale, del principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati.
Dalla lettura del provvedimento n. 9768363 si confermano i seguenti obblighi in capo al Titolare del trattamento:
- fornire idonea informativa sul trattamento dei dati relativi alle segnalazioni di cui alla disciplina del whistleblowing ai sensi dell’art. 13 GDPR, avendo cura di pubblicarla sul sito;
- aggiornare con i relativi trattamenti il registro delle attività di trattamento ai sensi dell’art. 30 GDPR;
- adottare specifiche cautele al fine di impedire la registrazione e la conservazione, all’interno dei log degli apparati firewall, di informazioni direttamente identificative degli utenti dell’applicativo per l’invio delle segnalazioni;
- garantire la sicurezza delle credenziali di autenticazione per l’accesso all’applicativo;
- predisporre la preliminare valutazione di impatto(ai sensi dell’art. 35 GDPR).
Per quanto concerne il rapporto tra Azienda ospedaliera di Perugia e Isweb, il Garante privacy ha correttamente verificato l’esistenza di un atto scritto di nomina ai sensi dell’art. 28 GDPR ma, pur avendo accertato che il Titolare era a conoscenza che il proprio fornitore utilizzasse dei sub fornitori (Seeweb srl) per l’hosting dell’applicativo whistleblowing, in assenza di un accordo di sub fornitura, non ha ritenuto questo un elemento da imputare al Titolare del trattamento.
Osservazioni relative al provvedimento nei confronti di Isweb S.p.a.
Dall’esame del provvedimento nr. 9768387 emerge come non sia stato disciplinato il rapporto con Seeweb S.r.l. a cui la Società ha fatto ricorso sia per i trattamenti posti in essere in qualità di Titolare, sia per quelli effettuati in qualità di responsabile per conto di propri clienti, tra i quali l’Azienda ospedaliera di Perugia.
L’assenza di un atto di nomina a responsabile del trattamento tra Isweb S.p.a. e Seeweb srl (fornitore del servizio di hosting) è stato, infatti, un primo elemento di addebito di responsabilità che il Garante ha ritenuto di elevare nei confronti del Titolare del trattamento.
Un secondo elemento è la non menzione del rapporto con Seeweb srl nei contratti con i propri clienti.
Anche in questo caso Isweb S.p.a. si è conformata alle indicazioni del Garante privacy in corso di causa ma, applicando il principio ratione temporis, ha quantificato in € 40.000,00 la sanzione in capo a Isweb S.p.a.
