Garante per la protezione dei dati personali, 7 aprile 2022

Ordinanza ingiunzione n. 134 nei confronti di Azienda Ospedaliera di Perugia.

Il Garante della privacy, nell’ambito dello svolgimento di un ciclo di attività ispettive, ha sanzionato un’azienda ospedaliera ed il fornitore del servizio informativo per non aver rispettato gli obblighi di riservatezza posti a tutela dei lavoratori che, durante lo svolgimento del rapporto di lavoro, effettuino segnalazioni di condotte illecite (cd. whistleblowing).

Le disposizioni normative attuali (legge n. 179/2017), oltre a garantire l’anonimato, dispongono un particolare regime di protezione verso il lavoratore che venga a conoscenza e intenda segnalare l’accadimento di fatti illeciti all’interno dell’azienda ove presti la propria attività. L’imprescindibile necessità sottolineata dall’Autorità garante di assicurare la massima riservatezza del lavoratore “whistleblower” risiede proprio nelle ragioni di tutela previste.

Dai controlli effettuati, l’accesso all’applicazione web di whistleblowing predisposta dall’azienda ospedaliera, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registrano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti. La struttura sanitaria non aveva poi provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto privacy e non aveva neppure inserito tali operazioni nel registro delle attività di trattamento, strumento utile per valutare i rischi per i diritti e le libertà degli interessati.