Garante Privacy, Ordinanza ingiunzione nei confronti di Azienda ospedaliera del 7 aprile 2022

All’esito dell’istruttoria del Garante, è emerso che:

– “l’Azienda, con Deliberazione del Direttore Generale del 22 dicembre 2016, n. 2341, ha adottato, ai sensi della l. 190/2012, il “Regolamento aziendale per la tutela del dipendente che segnala illeciti (whistleblower)” 

– “l’Azienda si avvale di una applicazione web gestita e fornita, in modalità cloud, dalla società Y S.r.l. (ora Y S.p.a.)”, il cui rapporto è stato disciplinato ai sensi dell’art. 28 del Regolamento (cfr. la deliberazione del Direttore Generale del 23 settembre 2016, n. 1678, con la quale è stato deliberato l’acquisto della citata applicazione web, nonché l’atto di designazione a responsabile del trattamento della società Y S.p.a.);

– “il trattamento relativo alla acquisizione e gestione delle segnalazioni di condotte illecite (c.d. whistleblowing) […] non è descritto all’interno del registro dei trattamenti”;

– “l’Azienda non ha predisposto un’informativa specifica al riguardo, sebbene un’informativa generale sui trattamenti dei dati personali dei dipendenti sia presente all’interno dei contratti individuali di lavoro” (cfr. all. 18 e 19 al verbale del XX).

– “l’applicazione web, sebbene esposta su rete pubblica all’indirizzo https://whistleblowing.ospedale.******.it/”, è raggiungibile esclusivamente da postazioni di lavoro attestate alla rete aziendale”;

Il Garante ha quindi contestato:

1) Mancato assolvimento dell’obbligo di rendere informazioni agli interessati.

Con riguardo al principio di “liceità, correttezza e trasparenza” il titolare ha l’obbligo di fornire preventivamente a tutta la platea dei possibili soggetti interessati specifiche informazioni sul trattamento dei dati personali e deve adottare “misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 […]” del Regolamento (art. 12 del Regolamento). Tuttavia, nel corso dell’attività istruttoria, l’Azienda ha dichiarato di non aver reso una specifica informativa preventiva in relazione ai trattamenti derivanti dall’acquisizione di segnalazioni di presunti illeciti

2) Mancata indicazione dei trattamenti per finalità di whistleblowing nel registro delle attività di trattamento

L’art. 30 del Regolamento prevede tra gli adempimenti principali del titolare del trattamento la tenuta del registro delle attività di trattamento, che deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Nel caso di specie, invece, come verificato nel corso dell’attività ispettiva e confermato dall’Azienda, i trattamenti di dati personali effettuati per finalità di acquisizione e gestione di segnalazioni di condotte illecite (c.d. whistleblowing) non risultavano censiti nel registro delle attività di trattamento.

3) Tracciamento degli accessi all’applicativo.

Nel corso dell’istruttoria è stato constatato che l’applicativo per l’acquisizione e la gestione delle segnalazioni di condotte illecite, raggiungibile all’indirizzo “https://whistleblowing.ospedale.perugia.it/”, è accessibile esclusivamente da postazioni di lavoro attestate alla rete aziendale e che “l’accesso alla rete pubblica [da tali postazioni di lavoro] avviene mediante sistemi firewall di nuova generazione” (cfr. verbale del XX, pp. 5 e 6). Inoltre, è emerso che “tali sistemi firewall memorizzano in appositi file di log le operazioni di navigazione effettuate, unitamente a dati che consentono di risalire anche indirettamente ai dipendenti o ad altri soggetti che le hanno effettuate”. Come risulta dalla documentazione acquisita nel corso degli accertamenti ispettivi, i log generati dai predetti apparati firewall contengono, tra gli altri, l’indirizzo IP della postazione di lavoro utilizzata per la connessione all’applicativo in questione e la username del soggetto ha effettuato tale connessione. Ciò posto, si rileva che la registrazione e la conservazione, nei log degli apparati firewall, delle informazioni relative alle connessioni all’applicativo in questione consente la tracciabilità dei soggetti che utilizzano tale applicativo, tra i quali i segnalanti. 

4) Inidoneità delle modalità di gestione delle credenziali di autenticazione in uso al RPCT.

A seguito delle dimissioni del RPCT, “le due credenziali di autenticazione (una per verifica dell’anagrafica dei segnalanti e una per la gestione delle segnalazioni)” utilizzate dallo stesso per accedere all’applicativo in questione sono state consegnate da quest’ultimo al responsabile dell’Ufficio prevenzione della corruzione, trasparenza e trattamento dei dati personali all’interno di una busta chiusa. Inoltre, l’Azienda ha precisato che le citate credenziali di autenticazione, non ancora assegnate al nuovo RPCT, erano rimaste attive e che “la casella di posta elettronica sulla quale l’applicazione web invia[va] le notifiche dell’avvenuta iscrizione di un segnalante e della ricezione di una segnalazione [… era] quella assegnata alla dott.ssa […]” (cfr. verbale del XX, p. 6). Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, che comporta l’acquisizione e la gestione delle segnalazioni di condotte illecite, che possono contenere al proprio interno dati personali – appartenenti anche a categorie particolari o relativi a condanne penali e reati (artt. 9, par. 1, e 10 del Regolamento) – riferiti o riferibili al segnalante, al soggetto segnalato o a terzi comunque coinvolti nei fatti segnalati, si ritiene che le predette modalità di gestione delle credenziali di autenticazione per l’accesso all’applicativo in questione non risultano adeguate sotto il profilo della sicurezza.

5) Mancata esecuzione di una valutazione d’impatto sulla protezione dei dati.

Come risulta dalle evidenze istruttorie in atti, il trattamento dei dati personali degli interessati è stato effettuato in assenza di una preliminare valutazione d’impatto sulla protezione dei dati (cfr. verbale del XX, p. 7).