Il Garante privacy, nella Newsletter N. 480 del 2 agosto 2021, ha precisato che l’applicativo utilizzato dal datore di lavoro per raccogliere le informazioni relative alla segnalazione degli illeciti deve prevedere la cifratura dei dati identificativi del segnalante (c.d. Whistleblowing).

In particolare nel caso sottoposto all’attenzione del Garante è stato accertato il mancato utilizzo di tecniche di crittografia per la trasmissione e la conservazione dei dati e la violazione del principio della privacy by design.

Nel corso dell’istruttoria è emerso infatti che l’accesso all’applicativo per l’acquisizione e la gestione delle segnalazioni di illeciti avveniva senza l’uso di un protocollo di rete sicuro (quale il protocollo https) e che l’applicativo stesso non prevedeva la cifratura dei dati identificativi del segnalante, delle informazioni relative alla segnalazione e della eventuale documentazione allegata.

Il datore di lavoro, titolare del trattamento, tracciava poi, mediante i log generati dai firewall, l’accesso all’applicativo da parte dei dipendenti connessi alla rete aziendale. Ciò rendeva inefficaci le altre misure adottate per tutelare la riservatezza dell’identità dei segnalanti, considerato anche l’esiguo numero di connessioni all’applicativo in questione. Inoltre, tenuto conto della delicatezza delle informazioni trattate, dei rischi e della vulnerabilità degli interessati, la società avrebbe dovuto effettuare una valutazione di impatto.

Nel comminare la sanzione il Garante ha ribadito che il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare la conformità ai principi di protezione dati impartendo le necessarie istruzioni al fornitore del servizio (ad es. disattivando le funzioni in contrasto con le norme di settore). L’Autorità ha sanzionato con un secondo provvedimento anche il fornitore dell’applicativo, nella sua qualità di responsabile del trattamento, sia per la violazione degli obblighi in materia di sicurezza, sia per la mancata regolamentazione del rapporto con altre due società che trattavano i dati per suo conto.