Il Garante privacy ha svolto degli accertamenti ispettivi sul trattamento dei dati personali effettuato nell’ambito di un sistema di whistleblowing presso un’azienda ospedaliera e presso la società informatica fornitrice dell’applicativo web. Dai controlli effettuati sono emerse diverse violazioni del GDPR.
L’accesso all’applicazione avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservavano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti. L’azienda non aveva poi fornito l’informativa ai lavoratori, non aveva inserito l’attività svolta nel registro dei trattamenti e non aveva effettuato una valutazione d’impatto sulla protezione dei dati.
L’Autorità ha pertanto comminato una sanzione di 40mila euro sia alla struttura sanitaria sia al suo fornitore informatico, dando inoltre a quest’ultimo 30 giorni per adeguare il rapporto con il fornitore del servizio di hosting di cui si era avvalso alla normativa sulla protezione dei dati personali.
Nei sistemi di whistleblowing dev’essere garantita, ancor più che altrove, la riservatezza di chi utilizza le applicazioni web che per propria natura possono comportare il trattamento di dati particolari e coinvolgere interessati vulnerabili.
@RIPRODUZIONE RISERVATA
