Il Garante per la protezione dei dati personali ribadisce la necessità di proteggere l’identità del whistleblower mediante uno specifico regime di garanzia e riservatezza


Introduzione

Il 10 giugno u.s. il Garante per la protezione dei dati personali (il “Garante”) ha emanato due provvedimenti sanzionatori nel contesto delle ispezioni e verifiche condotte sulle attività di trattamento di dati personali svolte mediante un sistema/applicativo (“Piattaforma”) usato per gestire le segnalazioni di illeciti in ambito whistleblowing (le “Segnalazioni”).

In particolare, il Garante ha sanzionato una società e il suo fornitore di software in modalità SaaS, per violazione della normativa applicabile in materia di protezione dei dati personali.

I provvedimenti in esame si inseriscono nel più ampio quadro dell’attività ispettiva e di controllo del Garante avente ad oggetto le modalità di gestione delle Segnalazioni da parte dei titolari e dei responsabili del trattamento, nel contesto della quale l’Autorità aveva già avuto occasione di indicare alcuni elementi a cui prestare attenzione al fine di garantire la conformità di tale attività di gestione delle Segnalazioni alla normativa applicabile in materia di protezione dei dati personali:

  1. le funzionalità tecniche della Piattaforma devono tenere conto sin dalla progettazione dei principi applicabili in materia di protezione dei dati personali[1];
  2. in particolare, la Piattaforma deve essere dotata di idonee misure di sicurezza a tutela dei dati personali che su di essa transitano e/o sono conservati, tra cui la limitazione dell’accesso ai soli soggetti autorizzati dotati di credenziali di autenticazione e di uno specifico profilo di autorizzazione e l’uso di tecniche di cifratura[2];
  3. il titolare del trattamento è tenuto in tutti i casi ad adottare apposite procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative poste in essere (anche da parte di terzi) al fine di garantire la sicurezza del trattamento dei dati personali effettuato mediante la Piattaforma[3].

Requisiti obbligatori della Piattaforma

I provvedimenti offrono l’opportunità d’individuare gli elementi che, secondo il Garante, sono necessari e obbligatori, al fine di garantire la conformità alla normativa in materia di protezione dei dati personali di qualsivoglia Piattaforma mediante la quale vengano presentate e gestite la Segnalazioni:

  1. la Piattaforma deve essere dotata di un protocollo di rete sicuro (quale il protocollo https) per proteggere il transito dei dati contenuti nelle Segnalazioni;
  2. idonee misure di cifratura dei dati devono essere implementate anche in riferimento alla conservazione delle Segnalazioni sulla Piattaforma. Il mancato utilizzo di tecniche crittografiche per il trasporto e la conservazione dei dati determina una violazione del principio di “accountability”, nonché una violazione dell’obbligo di ciascun titolare di adottare adeguate misure di sicurezza a presidio delle attività di trattamento svolte (di cui, rispettivamente, agli artt. 24 e 32 del Regolamento (UE) 2016/679 “GDPR”);
  3. la registrazione e la conservazione, nei log degli apparati firewall, delle informazioni relative alle connessioni alla Piattaforma non deve consentire la tracciabilità dei soggetti che utilizzano la Piattaforma stessa, ivi inclusi i segnalanti. Pertanto, qualsivoglia meccanismo di tracciamento degli accessi alla Piattaforma che consenta la registrazione e la conservazione degli accessi alla Piattaforma e/o delle operazioni eseguite mediante la stessa deve essere considerato in violazione del principio di “minimizzazione” e di “protezione dei dati per impostazione predefinita” (di cui, rispettivamente, agli artt. 5 e 25 del GDPR);
  4. sul trattamento di dati personali svolto mediante la Piattaforma, è necessario svolgere una valutazione di impatto ai sensi dell’art. 35 del GDPR.

Titolare e responsabile del trattamento

Nel comminare le sanzioni in esame, il Garante ha poi colto l’occasione per ribadire che il fornitore della Piattaforma deve ritenersi “responsabile del trattamento” per conto della società che acquista il servizio di gestione delle Segnalazioni. In considerazione di questo, il titolare è chiamato a verificare la conformità del fornitore alla normativa applicabile in materia di protezione dei dati personali, fornendo a quest’ultimo specifiche istruzioni in tal senso; il responsabile, dal canto suo, è a sua volta tenuto a precisi obblighi di conformità con tale normativa.

Ulteriori considerazioni

È altresì degno di nota che, nel caso in esame, il Garante ha sanzionato anche il fornitore della Piattaforma, sia per la violazione degli obblighi in materia di sicurezza sia per la mancata regolamentazione del rapporto con altre due società che trattavano dati personali per suo conto, sottolineando alcuni punti chiave:

  1. mediante la Piattaforma potrebbero essere trattati dati appartenenti a particolari categorie ai sensi dell’art. 9 del GDPR e/o dati relativi a condanne penali, reati e connesse misure di sicurezza ai sensi dell’art. 10 del GDPR. In ogni caso, le informazioni che transitano sulla Piattaforma necessitano di particolari forme di tutela, volte soprattutto a proteggere la divulgazione dell’identità del segnalante e a prevenire l’adozione di misure discriminatorie nei confronti dello stesso. Tali misure di sicurezza comprendono:
    • la cifratura dei dati che transitano e vengono conservati sulla Piattaforma;
    • l’uso di utenze nominali (e il divieto di condivisione di utenze) per accedere alla Piattaforma;
    • l’uso di una procedura di autenticazione informatica “forte”;
    • meccanismi di blocco automatico dell’utenza in caso di ripetuti tentativi di autenticazione falliti; ecc.
  2. il titolare del trattamento deve sempre avere il pieno controllo dei trattamenti di dati personali effettuati per suo conto. Pertanto, un fornitore della Piattaforma che si avvalga di altri sub-fornitori, in assenza di un contratto o altro atto giuridico che disciplini il trattamento di dati personali da parte di quest’ultimi, e senza la previa autorizzazione del titolare del trattamento, agisce in violazione dell’art. 28 del GDPR.

Note finali

Gli elementi individuati dall’Autorità aprono ad un utile confronto sul tema delle misure di sicurezza opportune al fine di garantire la conformità del trattamento dei dati raccolti mediante le Segnalazioni alla normativa applicabile in materia di protezione dei dati personali, ed offrono altresì l’occasione per effettuare le opportune verifiche, e individuare le eventuali azioni di rimedio, necessarie a porre il titolare e il responsabile del trattamento al riparo da rischi sanzionatori.


[1] Cfr. Provvedimento del 12 settembre 2019, n. 166.

[2] Cfr. Provvedimento correttivo e sanzionatorio nei confronti di Università degli studi di Roma “La Sapienza” – 23 gennaio 2020.

[3] Cfr. Relazione annuale 2020 del Garante, pag. 169.


Scarica il documento