Whistleblowing senza privacy: Garante sanziona ospedale Perugia e società informatica
Alivello internazionale la tutela del whistleblower è considerata come la protezione di un diritto umano. Viene considerata una potente arma anticorruzione, ma l’Italia non si è allineata alla direttiva Ue 2019 per la tutela delle persone che segnalano abusi sul posto di lavoro.
Preservarle da comportamenti ritorsivi è l’imperativo di ANAC (Agenzia Nazionale Anti Corruzione), che riceve le segnalazioni direttamente sul proprio sito, oltre che da quelli “aziendali”, unendo a specifici interventi per tutelare il diritto alla libertà di espressione. PA e imprese devono prestare la massima attenzione nell’impostazione e gestione dei sistemi di whistleblowing, garantendo la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite.
In tale ambito si è “aggiunto” l’intervento del Garante della Protezione dei Dati Personali che ha sanzionato l’Azienda Ospedaliera di Perugia e la società informatica che gestiva il servizio per suo conto. L’istruttoria dell’Autorità nasce nell’ambito di un ciclo di attività ispettive sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, in particolare quelli più utilizzati in Italia dai datori di lavoro.
Dai controlli effettuati presso l’azienda ospedaliera, sono emerse diverse violazioni del GDPR. L’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservavano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.
La struttura sanitaria non aveva poi provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali, effettuato per finalità di segnalazione degli illeciti e non aveva effettuato una valutazione di impatto privacy (DPIA) e neppure inserito tali operazioni nel registro delle attività di trattamento, strumento utile per valutare i rischi per i diritti e le libertà degli interessati.
Tra le violazioni è emersa anche una non corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing, da parte del Responsabile della prevenzione della corruzione e della trasparenza (Rpct), durante la fase di transizione con il suo successore. Nel corso dei controlli, sono emersi ulteriori illeciti, imputabili alla società informatica che, in qualità di responsabile del trattamento, forniva all’azienda ospedaliera l’applicazione web di whistleblowing.
La società si era avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo, senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria. Aveva poi utilizzato il medesimo servizio di hosting, anche per proprie finalità, ad esempio per la gestione del rapporto di lavoro con i dipendenti o la gestione contabile e amministrativa, anche in questo caso senza regolare il rapporto e l’uso dei dati.
Il Garante per la Privacy, tenendo conto della piena collaborazione offerta nel corso dell’istruttoria anche per sanare i problemi rilevati, ha comminato sia alla struttura sanitaria sia alla società informatica una sanzione di 40.000 euro. Ha inoltre concesso 30 giorni alla società informatica per adeguare il rapporto, con il fornitore del servizio di hosting, alla normativa sulla protezione dei dati personali.
L’Italia, che si era già dotata di una legge particolarmente innovativa sul whistleblowing, non ha centrato l’obiettivo legato alla nuova regolamentazione UE. Rimane aperto il tema su come regolarizzare la figura del Wistleblower, tuttora soggetto debole nei confronti dell’organizzazione aziendale, nonostante la presenza del Responsabile della prevenzione della corruzione e della trasparenza (RPCT) aziendale, che non preserva da illeciti, come nel caso dell’intervento del Garante della Privacy a carico dell’Azienda Ospedaliera di Perugia.
BIBLIOWEB:
Garante Azienda Ospedaliera di Perugia H Perugia Garante Privacy ordinanza -9768363 (in PDF allegati)
Garante società Informatica ISIWEB Garante Privacy ordinanza-9768387 (vedi PDF)
Sito ANAC http://www.anticorruzione.it/portal/public/classic/
ANAC – Relazione annuale 2022 su attività 2021 (vedi PDF) https://www.anticorruzione.it/documents/91439/171942/ANAC+-+Relazione+annuale+2022+su+attivit%C3%A0+20
Eccesso di Potere Il ricorso https://newmicro.altervista.org/?p=8366
Eccesso di Potere https://newmicro.altervista.org/?p=8354
Sanità trasparente https://newmicro.altervista.org/?p=8334
Mobbing: da straining a bossing https://newmicro.altervista.org/?p=8239
Whistleblowing 2019 https://newmicro.altervista.org/?p=7617
Piano nazionale anticorruzione – Criteri https://newmicro.altervista.org/?p=6968
Ministero “Trasparente” https://newmicro.altervista.org/?p=5404
Livelli Essenziali Anticorruzione https://newmicro.altervista.org/?p=4394
Dicono di Noi. Anticorruzione e Trasparenza in Sanità https://newmicro.altervista.org/?p=3183
Garante Azienda Ospedaliera di Perugia H Perugia Garante Privacy ordinanza – 9768363 (PDF)
Garante società Informatica ISIWEB Garante Privacy ordinanza – 9768387 (PDF)
ANAC – Relazione annuale 2022 su attività 2021 (PDF)
Articoli correlati:
AGO
Per qualsiasi comunicazione tecnica riguardante il presente Sito Web, potete contattare il WEBMASTER inviando un messaggio di posta elettronica. Grazie.
About the Author
Email: [email protected]