Come è noto, con il termine whistleblowing s’intende la rivelazione spontanea da parte di un individuo, detto “segnalante” (“whistleblower“) di un illecito o di un’irregolarità commessa all’interno dell’ente, del quale lo stesso sia stato testimone nell’esercizio delle proprie funzioni.

Spesso il segnalante è un dipendente, ma può anche essere una terza parte, per esempio un fornitore o un cliente.

Come recentemente ricordato dall’Autorità Garante per la protezione dei dati personali in occasione della pubblicazione di alcuni provvedimenti, le pubbliche amministrazioni e le imprese devono prestare la massima attenzione nell’impostazione e gestione dei sistemi di whistleblowing, garantendo la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite.

Con il provvedimento n. 134 del 7 aprile 2022 il Garante per la protezione dei dati personali ha comminato una sanzione di 40.000 euro sia alla struttura sanitaria sia alla società informatica che gestiva il servizio per denunciare presunte attività corruttive o altri comportamenti illeciti all’interno della struttura stessa.

L’istruttoria dell’Autorità nasceva nell’ambito di un ciclo di attività ispettive sui sistemi di whistleblowing più utilizzati in Italia dai datori di lavoro.

Nel provvedimento in esame il Garante ha rilevato l’illegittimità del sistema di accesso all’applicazione web di whistleblowing, basata su un software open source. L’accesso avveniva, in particolare, attraverso sistemi che, non essendo stati correttamente configurati, registrano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.

La struttura sanitaria non aveva poi provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto ai sensi dell’art. 35 del Regolamento UE 679/2016 e non aveva neppure inserito tali operazioni nel registro delle attività di trattamento.

L’Autorità Garante inoltre rilevava ulteriori illeciti imputabili alla società informatica che, in qualità di responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing. La società si era infatti avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria. Aveva poi utilizzato il medesimo servizio di hosting anche per proprie finalità, ad esempio per la gestione del rapporto di lavoro con i dipendenti o la gestione contabile e amministrativa, anche in questo caso senza regolare il rapporto e l’uso dei dati.

Il provvedimento è di particolare interesse, poiché, nella descrizione degli illeciti accertati, ripercorre al contempo le attività di compliance che il titolare del trattamento e il responsabile del trattamento avrebbero dovuto porre in essere.