>>>Leggi qui l’ordinanza completa<<<
1. I fatti
Durante l’attività ispettiva svolta dal Garante sugli applicativi utilizzati per acquisire e gestire le segnalazioni di condotte illecite che sono utilizzati dai datori di lavoro, secondo quanto previsto dalla normativa in materia di c.d. whistleblowing, gli accertatori hanno esaminato l’applicativo utilizzato dall’Azienda Ospedaliera di Perugia.
Dall’attività svolta è emerso che l’azienda sanitaria aveva adotta adottato un Regolamento aziendale per la tutela del dipendente che segnala condotte illecite (appunto il c.d. whistleblower) e che l’invio della segnalazione poteva essere effettuato anche in modalità informativa, mediante un’applicazione web appositamente dedicata. Detta applicazione era fornita e gestita in modalità cloud da una società privata e collocata sulla rete web pubblica, anche se raggiungibile soltanto da computer collegate alla rete aziendale. Inoltre, è emerso che la azienda sanitaria aveva reso disponibile un manuale operativo con le modalità di invio di una segnalazione attraverso detto applicativo web, che prevedeva una registrazione al sistema attraverso l’inserimento di alcuni dati identificativi e di contatto del whistleblower, oltre alla sua qualifica e alla sede di servizio nonché le modalità per il successivo invio delle segnalazioni al responsabile aziendale.
Infine, sempre a seguito dell’attività ispettiva, il Garante ha accertato che la società che gestiva l’applicazione di cui sopra, che era stata nominata responsabile del trattamento da parte dell’Azienda sanitaria, aveva affidato ad una società terza il servizio di hosting dei sistemi informatici dove era ospitato l’applicativo di whistleblowing usato dall’azienda sanitaria.
In considerazione degli esiti dell’ispezione, quindi, il Garante notificava alla società gestrice dell’applicazione la comunicazione di avvio del procedimento, rilevando che il trattamento dei dati di cui sopra (cioè quelli dei segnalanti le condotte illecite) era stato effettuato in assenza di una idonea disciplina del rapporto tra la stessa società gestrice dell’applicativo e la società terza cui era stato affidato il servizio di hosting.
2. Le difese della società
A fronte degli addebiti mossi dall’Autorità, la società si difendeva rilevando, in primo luogo, che la violazione contestata dal Garante riguardava un elemento puramente formale (cioè la mancata regolamentazione scritta dei rapporti tra le due società con riferimento ai dati), ma che non vi era stato alcun evento comportante la perdita o la l’accesso da parte di terzi dei dati in questione e che l’infrastruttura informatica usata dalla società fornitrice del servizio di hosting rispondeva a rigorosi criteri di sicurezza.
In secondo luogo, la società evidenziava come l’applicazione in esame, “ospitata” sui server della società di hosting, era accessibile solo tramite IP pubblici della struttura sanitaria titolare dei dati. Pertanto, la società hosting provider poteva vedere soltanto gli IP pubblici riferibili alla persona giuridica (appunto la azienda sanitaria), senza poterli associare alle reti interne e dunque senza poter identificare gli utenti che accedevano all’applicazione (ciò anche perché detta società non trattava altri dati di tali soggetti da poter utilizzare per identificarli).
Secondo la responsabile del trattamento, dunque, né la medesima società né la società hosting trattava dati personali: ciò anche in considerazione del fatto che i numeri IP sono esclusi dalla definizione di dato personale, poiché non permettono – neanche tramite l’incrocio con altri dati – di identificare o rendere identificabile una persona fisica.
Potrebbero interessarti anche:
- Ok del Garante privacy a Regolamento per l’uso dell’intelligenza artificiale per la gestione degli esposti
- Il Garante sanziona la società americana che gestisce il software per il riconoscimento facciale attraverso l’uso dell’intelligenza artificiale
- Trattamento illecito di dati biometrici: Garante sanziona Clearview
3. La decisione del Garante
Preliminarmente, il Garante ha ricordato che i soggetti che adempiono agli obblighi imposti dalla normativa in materia di whistleblowing devono comunque trattare i dati che servono per raccogliere e gestire le segnalazioni delle condotte illecite anche nel rispetto della normativa in materia di privacy.
A tal proposito, il Regolamento europeo (GDPR) ha previsto degli specifici obblighi a carico del responsabile del trattamento dei dati personali, anche quando egli si affidi a soggetti terzi per il trattamento. In particolare, il responsabile del trattamento è legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” e il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile anche sotto il profilo della sicurezza dei dati e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare e del responsabile.
Secondo il GDPR, il responsabile non può ricorrere ad un altro soggetto terzo (sub-responsabile) senza aver prima acquisito un’autorizzazione scritta, specifica o generale, da parte del titolare del trattamento.
Ebbene, secondo il Garante il fatto che la responsabile del trattamento abbia affidato alla società terza il servizio di hosting dell’applicazione sostanzia un trattamento di dati personali, in quanto le informazioni presenti all’interno delle segnalazioni di condotte illecite acquisite mediante l’applicazione stessa anche se gli stessi erano cifrate: detti dati rappresentano informazioni su persone fisiche che sono comunque identificabili.
Infatti, il fornitore del servizio di hosting, anche se non può accedere direttamente ai dati personali trattati mediante l’applicazione, comunque conserva questi dati all’interno della propria infrastruttura informatica e garantisce la disponibilità e la sicurezza della medesima mediante apposite misure organizzative e tecniche. Ciò sostanzia un evidente trattamento di dati personali.
In considerazione di quanto sopra, il Garante ha ritenuto che la mancata acquisizione, da parte del responsabile, di una autorizzazione scritta del titolare del trattamento a ricorrere a soggetti terzi per il trattamento dei dati (cioè ad un sub-responsabile), sostanzia una violazione della normativa in materia di trattamento dei dati personali.
Per quanto concerne la quantificazione della ordinanza ingiunzione comminata alla società responsabile del trattamento, il Garante – tenuto conto di tutti gli elementi del caso di specie – ha condannato detta società al pagamento dell’importo di €. 40.000.
Scrivi un commento
Accedi per poter inserire un commento