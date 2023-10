2. Contestazioni sollevate dal Garante privacy nei confronti dell’azienda ospedaliera di Perugia



– Mancanza della informativa sul trattamento dei dati effettuati in relazione ai trattamenti derivanti dall’acquisizione di segnalazioni di presunti illeciti

Con riguardo al principio di “liceità, correttezza e trasparenza” il Titolare ha l’obbligo di fornire preventivamente a tutta la platea dei possibili soggetti interessati specifiche informazioni sul trattamento dei dati personali e deve adottare “misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 […]” (art. 12 gdpr).

Tuttavia, nel corso dell’attività istruttoria, l’Azienda ha dichiarato di non aver reso una specifica informativa preventiva in relazione ai trattamenti derivanti dall’acquisizione di segnalazioni di presunti illeciti, né le informazioni sul trattamento richieste dagli artt. 13 e 14 gdpr risultano altrimenti rese dall’Azienda, non essendo, ad esempio, incluse nell’atto organizzativo adottato dal titolare per la gestione delle segnalazioni (regolamento), o pubblicate in un’apposita sezione dell’applicativo informatico utilizzato per l’acquisizione e gestione delle segnalazioni, o, ancora, nei contratti individuali di lavoro.

A tale adempimento il Titolare ha ottemperato nel corso dell’attività ispettiva.

– Mancata indicazione dei trattamenti per finalità di whistleblowing nel registro delle attività di trattamento.

L’art. 30 gdpr prevede tra gli adempimenti principali del Titolare quello della tenuta del registro delle attività di trattamento, che deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante privacy. La tenuta del registro, che deve contenere le principali informazioni relative alle operazioni di trattamento svolte, è funzionale al rispetto del principio di “responsabilizzazione” del titolare (art. 5, par. 2, gdpr), in quanto costituisce uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione del titolare. Ciò risulta particolarmente rilevante con riguardo alle attività di valutazione e di analisi del rischio, costituendo, pertanto, un adempimento preliminare rispetto a tali attività.

Nel caso specifico, nel Registro delle attività del trattamento del Titolare i trattamenti di dati personali effettuati per finalità di acquisizione e gestione di segnalazioni di condotte illecite (c.d. whistleblowing) non risultavano censiti nel registro delle attività di trattamento.

Anche in questo caso l’Azienda provvedeva ad ottemperare nel corso dell’istruttoria.

– Tracciamento degli accessi all’applicativo.

Nel corso dell’istruttoria è stato constatato che l’applicativo per l’acquisizione e la gestione delle segnalazioni di condotte illecite era accessibile esclusivamente da postazioni di lavoro attestate alla rete aziendale e che l’accesso alla rete pubblica da tali postazioni di lavoro avveniva mediante sistemi firewall che memorizzavano in appositi file di log le operazioni di navigazione effettuate, unitamente a dati che consentivano di risalire anche indirettamente ai dipendenti o ad altri soggetti che le hanno effettuate.

È emerso che non sono state previste specifiche cautele al fine di non effettuare la registrazione delle operazioni di navigazione sull’applicazione web per l’acquisizione e la gestione di segnalazioni di condotte illecite.

I log generati dai predetti apparati firewall contenevano, tra gli altri, l’indirizzo IP della postazione di lavoro utilizzata per la connessione all’applicativo in questione e la username del soggetto ha effettuato tale connessione e venivano conservati fino a tre mesi.

Rilevava sul punto il Garante privacy che la registrazione e la conservazione, nei log degli apparati firewall, delle informazioni relative alle connessioni all’applicativo in questione consente la tracciabilità dei soggetti che utilizzano tale applicativo, tra i quali i segnalanti.

Ciò, considerato anche l’esiguo numero di connessioni all’applicativo in questione, rende inefficaci le altre misure adottate per tutelare la riservatezza dell’identità dei segnalanti.

Per tali ragioni, la registrazione e la conservazione, all’interno dei log degli apparati firewall, di informazioni direttamente identificative degli utenti dell’applicativo in questione non risulta conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32 gdpr che stabilisce che il Titolare del trattamento debba mettere in atto misure per “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (par. 1, lett. b)) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).

Il Titolare del trattamento non deve raccogliere dati personali che non siano necessari per la specifica finalità del trattamento (cfr. “Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate il 20 ottobre 2020 dal Comitato europeo per la protezione dei dati, spec. punti 42, 44 e 49) ciò anche quando utilizza prodotti o servizi realizzati da terzi, deve eseguire, anche avvalendosi del supporto del responsabile della protezione dei dati ove nominato, una valutazione dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, in particolare, la disciplina in materia di whistleblowing (v. provv. 10 giugno 2021, n. 235, doc. web n. 9685922, spec. par. 3.2, e provv.ti ivi richiamati), ma anche le norme nazionali che disciplinano le condizioni per l’impiego degli strumenti tecnologici sul posto di lavoro (sotto tale ultimo profilo, con riguardo a operazioni di tracciamento delle connessioni a siti Internet da parte di dipendenti, v. da ultimo provv. 13 maggio 2021, n. 190, doc. web n. 9669974).

Per tali ragioni, ritiene il Garante che la registrazione e la conservazione, all’interno dei log degli apparati firewall, di informazioni relative alle connessioni all’applicativo in questione da parte degli utenti – anche solo relative al mero accesso e consultazione delle pagine web dell’applicativo – è stata posta in essere, fino al momento in cui il titolare ha provveduto ad adottare le richiamate misure a tutela degli interessati, in violazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento.

– Inidoneità delle modalità di gestione delle credenziali di autenticazione in uso al RPCT.

L’istruttoria evidenziava anche modalità di gestione delle credenziali di autenticazione per l’accesso all’applicativo in questione non conformi alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32 gdpr.

L’avvicendamento nel ruolo di Rpct avrebbe causato una lacuna nel sistema di gestione delle credenziali che, non ancora assegnate al nuovo RPCT, sarebbero rimaste attive.

Nel corso dell’istruttoria l’Azienda ha, dapprima, richiesto alla Società di sospendere l’invio di e-mail di notifica da parte dell’applicativo in questione e, successivamente, ha chiesto di configurare l’indirizzo di posta elettronica del nuovo RPCT come destinatario delle e-mail di notifica relative agli eventi di iscrizione di un segnalante e di ricezione di una segnalazione.

Non manca di sottolineare il Garante come la mancata disattivazione delle predette credenziali di autenticazione (username e password) – a seguito della perdita delle qualità che consentivano al RPCT dimissionario, a cui tali credenziali erano attribuite, di accedere ai dati personali trattati nell’ambito dell’applicativo – abbia comportato un elevato e ingiustificato rischio per i diritti e le libertà degli interessati, in considerazione delle gravi conseguenze che sarebbero derivate da eventuali accessi non autorizzati ai dati contenuti in segnalazioni di condotte illecite che potevano pervenire nel periodo intercorso tra le dimissioni del RPCT e il momento in cui l’Azienda, con il supporto della Società, ha provveduto a riconfigurare l’applicativo per consentirne l’utilizzo da parte del nuovo RPCT.

Mancata esecuzione di una valutazione d’impatto sulla protezione dei dati.

Come chiarito di recente dal Garante proprio con riferimento ai trattamenti effettuati mediante applicativi per l’acquisizione e gestione delle segnalazioni illecite (v. provv. 10 giugno 2021, n. 235, doc. web n.. 9685922, spec. par. 3.3), il trattamento dei dati personali effettuati in tale ambito – in ragione della particolare delicatezza delle informazioni trattate, nonché degli elevati rischi, in termini di possibili effetti ritorsivi e discriminatori, anche indiretti, per il segnalante, la cui identità è protetta da uno specifico regime di garanzia e riservatezza previsto dalla normativa di settore (tanto a livello nazionale quanto a livello europeo, cfr., da ultimo, la direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione) – presenta rischi specifici per i diritti e le libertà degli interessati.

Ciò, anche considerata, la “vulnerabilità” degli interessati (soggetti segnalanti e segnalati) nel contesto lavorativo [1].

Anche in questo caso l’Azienda, nel corso dell’istruttoria ha provveduto alla redazione di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 gdpr.