Articolo

Diffusi i nomi di chi aveva segnalato illeciti: Whistleblowing non sicuro.

Garante per la Protezione dei Dati Personali, Registro dei provvedimenti 17 del 2020.

Il Garante ha rilevato l’illiceità del trattamento di dati personali effettuato dall’Università La Sapienza.

L’Ateneo ha notificato al Garante l’avvenuta diffusione di dati personali trattati per il tramite della piattaforma utilizzata per l’acquisizione e la gestione delle segnalazioni di illeciti da parte dei propri dipendenti e di soggetti terzi, nell’ambito della disciplina del whistleblowing.

L’Ateneo ha notificato la dispersione di dati personali comuni (nome, indirizzo e-mail) relativi a 2 segnalanti tramite la piattaforma whistleblowing fornita dalla fornitrice del servizio su motori di ricerca. La pubblicazione sul web dell’elenco dei soggetti che hanno aperto segnalazioni riservate contenute nell’applicativo di condotte illecite ha dato luogo anche alla indicizzazione delle pagine web in questione da parte di motori di ricerca web. I dati identificativi dei segnalanti presenti in alcune delle pagine web dell’applicativo whistleblowing, erano indicizzati e liberamente rintracciabili in rete con l’ausilio di comuni motori di ricerca web da chiunque.

In base al Regolamento 2016/679, i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

L’applicativo whistleblowing utilizzato era un prodotto software. La reperibilità sul web di dati personali è indicativa del fatto che le pagine web in questione fossero esposte su rete pubblica in assenza di misure tecniche per il controllo accessi, che avrebbero consentito di limitare la connessione ai soli soggetti autorizzati dotati di credenziali di autenticazione e di uno specifico profilo di autorizzazione.

La riduzione dell’efficacia delle misure tecniche per il controllo accessi, che sarebbe derivata dall’aggiornamento della piattaforma, è riconducibile alla responsabilità del titolare del trattamento.

La soluzione adottata dall’Ateneo non è stata una misura tecnica adeguata a garantire la riservatezza e l’integrità dei dati trattati nonché l’autenticità del sito web visualizzato da parte dei soggetti che lo utilizzano sia come canale di invio delle segnalazioni che come strumento di gestione delle stesse.

Il mancato utilizzo di strumenti di crittografia per il trasporto dei dati si pone quindi in contrasto con il Regolamento, che individua la cifratura dei dati come una delle possibili misure di sicurezza idonea a garantire un livello di sicurezza adeguato al rischio.

E’ necessario adottare misure tecniche e organizzative per garantire la sicurezza, la riservatezza e l’integrità dei dati trattati nell’ambito delle procedure informatiche per la gestione delle segnalazioni.

26 marzo 2020

Condividi questo articolo:
Indennità di accompagnamento anche in favore di coloro che, pur essendo materialmente capaci di compiere gli atti quotidiani della vita, necessitano comunque della presenza costante di un accompagnatore.
L\'indennità di accompagnamento va riconosciuta anche in favore di coloro che, pur essendo materialmente capaci di compiere gli atti quotidiani della vita, necessitano comunque della presenza costante di un accompagnatore.
Operaio travolto dalla macchina rincalzatrice: responsabile il preposto-direttore di cantiere.