Locations
L’istruttoria è nata nell’ambito di un ciclo di attività ispettive sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, in particolare quelli più utilizzati in Italia dai datori di lavoro pubblici e privati.
Dai controlli effettuati sono emerse diverse violazioni del GDPR. L’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti. La struttura sanitaria non aveva altresì provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto privacy e non aveva neppure inserito tali operazioni nel registro delle attività di trattamento. È, infine, emersa una non corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza, durante la fase di transizione con il suo successore.
Le due ordinanze ingiunzione sono reperibili ai seguenti link: