Garante Privacy, provvedimento 23 gennaio 2020 [9269618]
Con nota del 14 dicembre 2018 (prot. n. 37333), l’Università degli studi di Roma “La Sapienza” ha notificato al Garante, ai sensi dell’art. 33 del Regolamento, l’avvenuta diffusione di dati personali trattati per il tramite della piattaforma che l’Ateneo, all’epoca dei fatti, utilizzava per l’acquisizione e la gestione delle segnalazioni di illeciti da parte dei propri dipendenti e di soggetti terzi, nell’ambito della disciplina del c.d. whistleblowing. In particolare l’Ateneo ha notificato la “dispersione di dati personali comuni (nome, indirizzo e-mail) relativi a 2 segnalanti tramite la piattaforma whistleblowing su motori di ricerca” (v. nota del 14 dicembre 2018, p. 1).
Nel corso dell’istruttoria è altresì emerso che l’accesso all’applicativo whistleblowing avveniva mediante l’indirizzo web “http://segnalazioni.uniroma1.it”. Il protocollo di rete “http” (hypertext transfer protocol) utilizzato per il trasporto dei dati non garantisce una comunicazione sicura sia in termini di riservatezza e integrità dei dati scambiati che di autenticità del sito web visualizzato.
Con riguardo all’applicativo in questione, tenuto conto della natura, dell’oggetto e della finalità del trattamento nonché dell’elevato rischio per i diritti e le libertà dei segnalanti, la soluzione adottata dall’Ateneo non può essere considerata una misura tecnica adeguata a garantire la riservatezza e l’integrità dei dati trattati nonché l’autenticità del sito web visualizzato da parte dei soggetti che lo utilizzano sia come canale di invio delle segnalazioni (dipendenti, studenti, ecc.) che come strumento di gestione delle stesse (RPCT ed eventuali suoi collaboratori).
Il mancato utilizzo di strumenti di crittografia per il trasporto dei dati si pone quindi in contrasto con l’art. 32 del Regolamento, che peraltro al par. 1, lett. a), individua espressamente la cifratura dei dati come una delle possibili misure di sicurezza idonea a garantire un livello di sicurezza adeguato al rischio (sul punto, cfr. anche il considerando 83 del Regolamento nella parte in cui prevede che “il titolare del trattamento […] dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura” nonché con le raccomandazioni di ANAC sull’utilizzo di “strumenti di crittografia end-to-end per i contenuti delle segnalazioni e dell’eventuale documentazione allegata” contenute nelle Linee guida in materia di tutela del dipendente pubblico che segnala illeciti (c.d. whistleblower), adottate con delibera n. 6 del 28 aprile 2015. La necessità di adottare misure tecniche e organizzative per garantire la sicurezza, la riservatezza e l’integrità dei dati trattati nell’ambito delle procedure informatiche per la gestione delle segnalazioni, mediante protocolli sicuri di trasporto dei dati, è stato di recente ribadito dal Garante (cfr. Provvedimento n. 215 del 4 dicembre 2019, doc. web n. 9215763, recante il parere sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)”).
Da ultimo, si prende atto che, come emerge chiaramente dalla documentazione acquisita nel corso dell’istruttoria, l’Ateneo si è limitato a recepire le scelte progettuali dell’azienda che ha fornito l’applicativo whistleblowing che non prevedevano la cifratura dei dati personali (dati identificativi del segnalante, informazioni relative alla segnalazione nonché eventuale documentazione allegata) conservati nel database utilizzato dal medesimo applicativo, non adottando misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante l’ausilio dell’applicativo whistleblowing, in violazione dell’art. 32 del Regolamento.