La disciplina in materia di tutela del dipendente che segnala illeciti e la disciplina in materia di protezione dei dati personali (c.d. whistleblowing) – originariamente prevista solo per i soggetti pubblici (cfr. art. 54-bis del d.lgs. 30 marzo 2001, n. 165, introdotto dall’art. 1, comma 51, della l. n. 190/2012) – è stata integrata e modificata dalla l. 30 novembre 2017, n. 179 (“Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”), che ha introdotto una nuova disciplina in materia di whistleblowing riferita ai soggetti privati, integrando la normativa in materia di “responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”.
L’identità dei whistleblower è protetta da uno specifico regime di garanzia e riservatezza previsto dalla normativa di settore per la particolare delicatezza delle informazioni trattate e per gli elevati rischi di ritorsioni e discriminazioni nel contesto lavorativo.
In tale quadro, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, assicurandone l’integrità e la sicurezza; è quanto ribadito dal Garante privacy che, a seguito di attività ispettive sugli applicativi usati per le segnalazioni di illeciti (whistleblowing), ha sanzionato un società di Bologna per 40.000 euro e il suo fornitore di software per 20.000 euro per violazioni delle regole poste a tutela dei dati personali trattati.
Il Garante ha accertato il mancato utilizzo di tecniche di crittografia per la trasmissione e la conservazione dei dati e la violazione del principio della privacy by design. Nel corso dell’istruttoria è emerso infatti che l’accesso all’applicativo per l’acquisizione e la gestione delle segnalazioni di illeciti avveniva senza l’uso di un protocollo di rete sicuro (quale il protocollo https) e che l’applicativo stesso non prevedeva la cifratura dei dati identificativi del segnalante, delle informazioni relative alla segnalazione e dell’eventuale documentazione allegata.
Il Garante ha precisato che il mancato utilizzo di strumenti di crittografia per il trasporto e la conservazione dei dati non risulta conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32 del Regolamento che, al suo par. 1, lett. a), individua espressamente la cifratura come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio (v. anche cons. 83 del Regolamento nella parte in cui prevede che “il titolare del trattamento […] dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura”).
Inoltre, si è osservato che, in base al principio della “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento), il titolare del trattamento deve adottare misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati (art. 5 del Regolamento) e deve integrare nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati. Tale obbligo si estende anche ai trattamenti svolti per mezzo di un responsabile del trattamento. Infatti, le operazioni di trattamento effettuate da un responsabile dovrebbero essere regolarmente esaminate e valutate dal titolare per garantire che continuino a rispettare i principi e permettano al titolare di adempiere gli obblighi previsti dal Regolamento (cfr. “Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate il 20 ottobre 2020 dal Comitato europeo per la protezione dei dati, spec. punti 7 e 39).
Pertanto, la mancata adozione delle predette misure – volte ad attuare i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento – si pone anche in contrasto con il principio della “protezione dei dati fin dalla progettazione” di cui all’art. 25, par. 1, del Regolamento.
La società titolare del trattamento, tracciava poi, mediante i log generati dai firewall, l’accesso all’applicativo da parte dei dipendenti connessi alla rete aziendale. Ciò rendeva inefficaci le altre misure adottate per tutelare la riservatezza dell’identità dei segnalanti, considerato anche l’esiguo numero di connessioni all’applicativo in questione. Inoltre, tenuto conto della delicatezza delle informazioni trattate, dei rischi e della vulnerabilità degli interessati, la società avrebbe dovuto effettuare una valutazione di impatto.
Nel comminare la sanzione il Garante ha ribadito che il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare la conformità ai principi di protezione dati impartendo le necessarie istruzioni al fornitore del servizio (ad es. disattivando le funzioni in contrasto con le norme di settore) specificando che il titolare, nell’ambito della necessaria individuazione delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti in esame (artt. 24, 25 e 32 del Regolamento), può ricorrere a un responsabile per lo svolgimento di alcune attività di trattamento cui impartisce specifiche istruzioni (cons. 81, artt. 4, punto 8), e 28 del Regolamento) e deve definire il proprio modello di gestione delle segnalazioni in conformità ai principi della “protezione dei dati fin dalla progettazione” e della “protezione per impostazione predefinita”, tenuto conto anche delle osservazioni presentate al riguardo dal responsabile della protezione dei dati (RPD).
L’Autorità ha sanzionato con un secondo provvedimento anche il fornitore dell’applicativo, nella sua qualità di responsabile del trattamento, sia per la violazione degli obblighi in materia di sicurezza, sia per la mancata regolamentazione del rapporto con altre due società che trattavano i dati per suo conto.
