Riflessioni sulle nuove interessanti pronunce dell'Autorità Garante in tema di gestione del processo di whistleblowing
Coffee Privacy
Durante l'ultimo coffee privacy di Area Legale sono stati oggetto di analisi due provvedimenti recenti del Garante italiano recenti in materia di whistleblowing.
La prima ordinanza in particolare ha contestato al Titolare quanto segue:
- La mancata predisposizione di un’informativa specifica ai sensi degli artt. 13 e 14 del Regolamento UE 679/2016 (di seguito solamente “Regolamento”);
- La mancata indicazione dei relativi trattamenti all’interno del registro previsto all’art. 30 del Regolamento;
- Il mancato svolgimento di una valutazione d’impatto;
- L’assenza di misure tecniche e organizzative idonee.
Le violazioni riscontrate sono state di conseguenza relative ai principi di “liceità, correttezza trasparenza” e senza fornire agli interessati le informazioni relative al trattamento, quindi degli artt. 5, par. 1, lett. a), 13 e 14 del Regolamento; relative anche ai principi di “integrità e riservatezza”, della “protezione dei dati fin dalla progettazione” e della “protezione dei dati per impostazione predefinita” e quindi degli artt. 5, par. 1, lett. f), e 25 del Regolamento; dell’art. 32 del Regolamento con riferimento alle misure di sicurezza; dell’art. 30 del Regolamento relativo al registro; infine, vista l’assenza di una valutazione d’impatto sulla protezione dei dati, dell’art. 35 del Regolamento.
Ciò che è stato in particolare approfondito durante la discussione è il dettaglio circa le misure di sicurezza: è stato infatti rilevato dal Garante italiano che i log generati dagli apparati firewall contenevano, tra gli altri, l’indirizzo IP della postazione di lavoro utilizzata per la connessione all’applicativo con username del soggetto che aveva effettuato la connessione.
Di conseguenza, la registrazione e conservazione dei log e anche delle informazioni ivi contenute, consentiva la tracciabilità degli accessi dei soggetti che accedevano all’applicativo e che potevano effettuare le segnalazioni delle violazioni di cui al whistleblowing, in violazione degli art. 5, par. 1 lett. f) e 32 del Regolamento.
Ulteriore punto evidenziato, quello relativo all’inidoneità delle modalità di gestione delle credenziali di autenticazione in uso al RPCT (il Responsabile della prevenzione della corruzione e trasparenza): il problema era stato causato dalla mancata disattivazione di dette credenziali (o cambio di password) una volta che quest’ultimo soggetto aveva rassegnato le proprie dimissioni.
Tutto ciò poteva infatti aumentare il rischio di un accesso non consentito con acquisizione di dati personali – appartenenti anche a categorie particolari o relativi a condanne penali e reati (artt. 9, par. 1, e 10 del Regolamento) – riferiti o riferibili al segnalante, al soggetto segnalato o a terzi comunque coinvolti nei fatti segnalati, in maniera difforme quindi dalle prescrizioni di cui all’art. 32 del Regolamento relativamente alle misure di sicurezza.
Con riferimento alla valutazione d’impatto il Garante ha ribadito come il Titolare, anche quando si avvale di un fornitore di una piattaforma, il quale ha svolto una propria valutazione d’impatto, deve procedere con lo svolgimento di una sua valutazione d’impatto, peraltro particolarmente importante in materia di whistleblowing, considerando la specificità della materia e “la vulnerabilità dei soggetti coinvolti”.
Riguardo invece la seconda ordinanza, va precisato come essa sia indirizzata alla società che ha fornito la piattaforma per l’invio e gestione delle segnalazioni in qualità di Responsabile ex art. 28 del Regolamento.
Le contestazioni sono state relative alla mancata stipulazione di accordi specifici per la protezione dei dati con il Titolare e quindi di un mandato ex art. 28 del Regolamento; è altresì stato osservato come, l’assenza di un accordo in tal senso non fosse stato stipulato neanche dalla società in questione nei confronti del sub fornitore che gli forniva il servizio di hosting.
Stante le difese del soggetto in questione, ossia dell’assenza di trattamento di dati personali in quanto era stata solamente messa a disposizione un’infrastruttura tecnologica, il Garante ha provveduto a precisare che “Le informazioni presenti all’interno delle segnalazioni di condotte illecite acquisite mediante l’applicativo “whistleblowing” in questione, seppur sottoposti a cifratura – che costituisce un’efficace misura che il titolare e il responsabile, anche in base ai principi della protezione dei dati fin dalla progettazione e per impostazione predefinita, possono adottare per rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, garantendo la sicurezza del trattamento e tutelando i diritti e le libertà degli interessati – devono essere considerati come dati personali in quanto rappresentano informazioni su persone fisiche identificabili (cfr. cons. 83, e artt. 4, punto 1), 25 e 32, par. 1, lett. a), del Regolamento).”
Non solo, sempre secondo le osservazioni effettuate dal Garante, “il fornitore del servizio di hosting (nel caso di specie, un servizio di hosting di server virtuali o fisici), pur non trattando gli indirizzi IP relativi agli interessati che utilizzano l’applicativo in questione e pur non accedendo direttamente ai dati personali trattati mediante tale applicativo, conserva questi ultimi sulla propria infrastruttura tecnologica e ne garantisce l’integrità e la disponibilità, adottando adeguate misure tecniche e organizzative, assicurando determinati livelli di servizio in termini di disponibilità dei sistemi e mettendo a disposizione dei propri clienti una serie di strumenti per gestire e monitorare il servizio.”
Di conseguenza secondo il Garante, la società Responsabile avrebbe dovuto nominare detto fornitore come suo Sub Responsabile relativamente al servizio di hosting offerto al Titolare suo tramite; ed altresì la stessa società, con riferimento ai trattamenti svolti in qualità di Titolare e quindi non come fornitore, avrebbe dovuto regolamentare il rapporto con il soggetto che gli prestava il servizio di hosting, nominandolo come Responsabile ex art. 28 del Regolamento.
di Data Protection Team
Condividi su: