Mentre l’Italia si appresta ad adottare la direttiva (UE) 2019/1937 riguardante la tutela degli autori di segnalazioni delle violazioni il Garante Privacy quest’estate ha sanzionato la società Aeroporto Guglielmo Marconi di Bologna per 40.000 euro e il suo fornitore di software per 20.000 euro, per violazioni delle regole poste a tutela dei dati personali trattati.
Il Provvedimento ha origine dall’attività ispettiva avviata dallo stesso Garante sugli applicativi più usati dai datori di lavoro per l’acquisizione e gestione delle segnalazioni di illeciti (whistleblowing).
Come noto, infatti, anche la normativa di settore, per la particolare delicatezza delle informazioni trattate, prevede, in generale, misure volte a proteggere la divulgazione dell’identità del segnalante (whistleblower), allo scopo di prevenire principalmente gli elevati rischi di ritorsioni e le discriminazioni nel contesto lavorativo, ma il GDPR deve sempre trovare applicazione. In tale quadro, quindi, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, assicurandone l’integrità e la sicurezza.
Per quanto riguarda la Società Aeroportuale Guglielmo Marconi di Bologna (v. provvedimento 10 giugno 2021), il Garante ha accertato:
• il mancato utilizzo di tecniche di crittografia per la trasmissione e la conservazione dei dati;
• la violazione del principio della privacy by design.
Nel corso dell’istruttoria è emerso infatti, che l’accesso all’applicativo per l’acquisizione e la gestione delle segnalazioni di illeciti avveniva senza l’uso di un protocollo di rete sicuro (quale il protocollo https) e che l’applicativo stesso non prevedeva la cifratura dei dati identificativi del segnalante, delle informazioni relative alla segnalazione e della eventuale documentazione allegata.
Inoltre è emerso che la società aereoportuale, titolare del trattamento, tracciava, mediante i log generati dai firewall, l’accesso all’applicativo da parte dei dipendenti connessi alla rete aziendale, rendendo in tal modo inefficaci le altre misure adottate per tutelare la riservatezza dell’identità dei segnalanti, considerato anche l’esiguo numero di connessioni all’applicativo in questione. Ancora, tenuto conto della delicatezza delle informazioni trattate, dei rischi e della vulnerabilità degli interessati, la società avrebbe dovuto effettuare una valutazione di impatto.
Nel comminare la sanzione, il Garante ha ribadito che il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare la conformità ai principi di protezione dati impartendo le necessarie istruzioni al fornitore del servizio (ad es. disattivando le funzioni in contrasto con le norme di settore).
Con un secondo provvedimento l’Autorità ha sanzionato anche il fornitore, aiComply S.r.l., che gestisce l’applicativo per conto della Società Aeroportuale, nella sua qualità di responsabile del trattamento. Al fornitore sono contestate sia la violazione degli obblighi in materia di sicurezza, sia la mancata regolamentazione del rapporto con altre due società che trattavano i dati per suo conto (i sub-fornitori).
Il caso dell’aeroporto di Bologna è rappresentativo di quanta difficoltà, in generale, ci sia ancora all’interno delle azienda nella gestione dei fornitori e delle criticità lato trattamento dati. In particolare,però, rispetto al tema del whisteblowing, si segnala che la delicatezza dell’attività dovrebbe portare ad una maggiore attenzione da parte dei titolari del trattamento, cosa che raramente avviene. Sino ad oggi, poi, le multinazionali sono state quelle maggiormente coinvolte dalla normativa e scelgono fornitori extra UE, credendoli più performanti e prepararti, ma spesso sono proprio quelli poco attenti ai principi del GDPR.
Probabilmente l’attuazione della direttiva, non cambierà questo atteggiamento di poca attenzione per le aziende, ma dovendosi confrontare con la nuova direttiva forse l’occasione sarà propizia per verificare la compliance di tutto il sistema whistleblowing. L’elemento cardine della nuova direttiva UE è che “chi segnala violazioni aziendali non ha nulla da temere, ma la sicurezza del trattamento dei dati resta un altro adempimenti cardine.