Il Garante per la protezione dei dati personali ha sanzionato una ente che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti, in quanto esso è tenuto a verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce.
Nella fattispecie, un’università, evidenzia che a causa di un aggiornamento della piattaforma software utilizzata per accedere all’applicativo usato per il whistleblowing, accidentalmente erano stati resi leggibili i nomi e altri dati di coloro che avevano inviato segnalazioni riservate.
la violazione dei dati personali (data breach) era riconducibile all’assenza di adeguate misure tecniche per il controllo degli accessi, che avrebbero consentito di limitare la consultazione al solo personale autorizzato. In base al Regolamento spetta in primo luogo proprio al titolare del trattamento – l’ateneo – mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio.
Il Garante, quindi, dopo aver accertato l’illecito trattamento dei dati e l’omesso adempimento degli obblighi di sicurezza imposti dal Gdpr sanziona l’università per aver reso accessibili on line i dati identificativi di due persone che avevano segnalato all’ateneo possibili illeciti.
GARANTE PRIVACY
