MAGGIOLI EDITORE - ilPersonale.it
Il Garante Privacy punisce un ateneo per whistleblowing non sicuro
Diffusi i nomi di chi aveva segnalato illeciti: la negligenza nella protezione di dati personali costa all'università 30mila euro
Il Garante della Privacy ha sanzionato un’università rea di aver cagionato l’identificazione di due persone che, in base alla procedura del whistleblowing, avevano reso noti possibili illeciti. Una mancanza grave, considerata la doverosa predisposizione da parte del datore di lavoro di misure tecnico-organizzative idonee atte a tutelare chi è autore della segnalazione, specificamente se il procedimento ha natura informatica.
Alla radice della violazione un errore incorso in sede di aggiornamento del software, tale da mettere in moto la sovrascrittura dei permessi di accesso ad alcune pagine web impiegate nello specifico per il whistleblowing. Chiunque ha così potuto consultare nominativi e dati dei responsabili delle segnalazioni, essendo addirittura intervenuta l’indicizzazione da parte dei motori di ricerca. Solo a questo punto l’ateneo è intervenuto provvedendo a riguardo e cancellando le relative copie cache.
L’istruttoria ha individuato l’assenza di misure tecniche sicure volte al controllo degli accessi funzionale all’ingresso nel database al solo personale autorizzato. Secondo il dettato normativo è onere del titolare del rapporto, nel caso specifico l’ateneo, predisporre prassi idonee per garantire un livello di sicurezza adeguato al contesto, alla natura e alla finalità del trattamento. Nella vicenda in oggetto l’università aveva soltanto recepito passivamente le scelte progettuali del fornitore applicativo che non includevano la cifratura dei dati personali (identità del segnalante, informazioni relative alla segnalazione, eventuale documentazione allegata) né l’adozione di un protocollo di trasmissione che garantisse una trasmissione sicura, nei termini di riservatezza e integrità dei dati e di autenticità del sito web visualizzato da chi effettua le segnalazioni.
La gravità della violazione risulta accentuata dal particolare regime di riservatezza stabilito dalla disciplina del whistleblowing. Il Garante ha quindi accertato l’illecito trattamento dei dati e l’omesso adempimento degli obblighi di sicurezza imposti dal GDPR e ha di conseguenza inflitto all’università una sanzione amministrativa di € 30.000.
>> CONSULTA IL PROVVEDIMENTO DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI.
https://www.ilpersonale.it