Rapporti di lavoro

Cifratura e protocollo di comunicazione sicura per tutelare i whistleblower

di Vittorio De Luca, Antonella Iacobellis e Martina De Angeli

L'Autorità garante per la protezione dei dati personali con il provvedimento 17 del 23 gennaio 2020, nel sanzionare un ateneo italiano per non aver adeguatamente tutelato la riservatezza dei dati identificativi di due soggetti – i whistleblower - che avevano segnalato possibili comportamenti illeciti, ha ribadito la sussistenza dell'obbligo in capo al datore di lavoro "Titolare del trattamento" (in base all'articolo 4 del regolamento Ue 2016/679, il Gdpr) di porre in essere misure tecniche e organizzative adeguate a garantire la protezione dei dati personali trattati (si veda la newsletter del Garante numero 462 del 18 febbraio 2020).

Nello specifico, all'epoca dei fatti, l'ateneo nell'adeguarsi agli obblighi di tutela del dipendente che segnala condotte illecite dall'interno dell'ambiente di lavoro, aveva scelto di utilizzare una soluzione tecnologica. In questo caso, per garantire la protezione dell'acquisizione e della gestione delle segnalazioni degli illeciti, l'ateneo era ricorso a una piattaforma software fornitagli da un soggetto terzo esterno.

Durante una modifica con contestuale aggiornamento della piattaforma software, si è verificata una sovrascrittura dei permessi di accesso che ha comportato l'esposizione dei dati personali dei due whistleblower su alcuni motori di ricerca accessibili e visualizzabili da chiunque effettuasse una ricerca tramite internet.

A fronte di quanto sopra, l'ateneo ha notificato all'Autorità garante per la protezione dei dati personali una violazione (data breach) con la quale si è denunciata la dispersione dei dati personali comuni dei due whistleblower sulla rete pubblica, resi in tal modo potenzialmente consultabili da chiunque.

L'attività istruttoria, posta in essere dal Garante, ha rilevato che l'ateneo non aveva adottato adeguati accorgimenti tecnici e organizzativi finalizzati a garantire «le esigenze di sicurezza e riservatezza proprie della gestione dei dati nell'ambito delle procedure di whistleblowing», non impostando, peraltro, una corretta procedura per il controllo degli accessi che avrebbe dovuto limitare il trattamento dei dati al personale autorizzato.

L'ateneo, infatti, si è limitato a fare proprie le misure di sicurezza scelte dal fornitore del software. Tuttavia queste non erano adeguate e idonee, non prevedendo accorgimenti quali la cifratura o l'adozione di un protocollo di comunicazione sicura delle informazioni e consentendo in tal modo la violazione della riservatezza e dell'integrità dei dati personali trattati e la non corretta conservazione e accessibilità degli stessi.

In particolare, l'Autorità ha sostenuto che «con riguardo all'applicativo in questione, tenuto conto della natura, dell'oggetto e della finalità del trattamento nonché dell'elevato rischio per i diritti e le libertà dei segnalanti, la soluzione adottata dall'ateneo non può essere considerata una misura tecnica adeguata a garantire la riservatezza e l'integrità dei dati trattati nonché l'autenticità del sito web visualizzato da parte dei soggetti che lo utilizzano sia come canale di invio delle segnalazioni (dipendenti, studenti, ecc.) che come strumento di gestione delle stesse (Rpct ed eventuali suoi collaboratori)».

Sulla base degli accertamenti svolti,il Garante ha dichiarato l'illiceità del trattamento dei dati svolto ed erogato una sanzione amministrativa pecuniaria di 30.000,00 euro per la violazione dell'articolo 32, commi 1 e 2, del Gdpr.

Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Nel dettaglio, nella definizione del quantum della sanzione inflitta, si è considerato:
- l'esiguo numero degli interessati coinvolti;
- la tempestiva adozione di misure correttive da parte dell'ateneo;
- la notifica di data breach effettuata dall'ateneo stesso e la successiva collaborazione dimostrata durante la fase istruttoria e il procedimento;
- l'assenza di segnalazioni o reclami da parte degli interessati rispetto ai fatti in esame;
-l'assenza di precedenti violazioni commesse dallo stesso titolare ovvero l'assenza di precedenti provvedimenti a suo carico.

La decisione del Garante è da considerare come ulteriore incoraggiamento a effettuare eventuali denunce da parte dei whistleblower, che si vedono in questo modo doppiamente tutelati direttamente dal soggetto che riceve predette denunce obbligato secondo la normativa di settore e indirettamente dal Garante che si assicura che la tutela sia garantita, sanzionando il soggetto obbligato in caso di mancanza.

Per saperne di piùRiproduzione riservata ©