Il caso sottoposto all’esame dell’Autorità Garante per la protezione dei dati personali: Le risultanze dell’attività istruttoria: Le violazioni contestate: In particolare, non sono state ritenute sussistenti: La sanzione irrogata: Conclusioni:
Nel dicembre 2018 l’Università degli Studi di Roma La Sapienza (“Ateneo”) notificava all’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) l’avvenuta diffusione di dati personali trattati per il tramite della piattaforma che l’Ateneo utilizzava per l’acquisizione e la gestione delle segnalazioni di illeciti da parte dei propri dipendenti e di soggetti terzi nell’ambito della disciplina del c.d. whistleblowing.
In particolare, si dichiarava che era intervenuta una dispersione di dati personali comuni – nome, cognome, sede, telefono, e-mail del segnalante, data della segnalazione - relativi a due segnalanti che avevano utilizzato la piattaforma whistleblowing. Inoltre, tali dati erano stati indicizzati da alcuni motori di ricerca fintanto che l’Ateneo, edotto del problema, era intervenuto per farli deindicizzare e cancellare le relative copie cache.
A seguito dell’attività istruttoria emergeva che l’Ateneo aveva correttamente notificato la violazione dei dati personali al Garante Privacy entro le 72 ore dal momento in cui veniva a conoscenza del fatto e che i dati personali interessati dal data breach non rientravano nell’ambito di categorie particolari di dati trattandosi di dati personali comuni, mentre il contenuto delle segnalazioni non veniva in alcun modo reso accessibile a soggetti non autorizzati.
L’Ateneo informava inoltre il Garante Privacy del fatto che l’avvenuta pubblicazione sul web dell’elenco dei soggetti che avevano effettuato segnalazioni riservate contenute nell’applicativo di condotte illecite dava luogo anche alla indicizzazione delle pagine web in questione da parte di motori di ricerca web, nonché di aver comunicato la violazione dei dati personali ai due interessati coinvolti.
L’Ateneo informava inoltre di aver coinvolto il Centro InfoSapienza per la sospensione dell’applicativo whistleblowing e la cancellazione da alcuni motori di ricerca delle copie cache delle pagine web che riportavano tali dati e di aver inizialmente richiesto a Google la rimozione dei singoli contenuti indicizzati – e in alcuni casi conservati in copie cache – mediante lo strumento denominato “Remove outdated content”, rappresentando tuttavia che tale strumento si rivelava inefficiente per la rimozione delle molteplici pagine dinamiche.
Per tale ragione l’Ateneo segnalava l’intera directory ottenendo la rimozione completa dei risultati associati a whistleblowing e informava dell’avvenuta rimozione dell’intero sito web anche su Bing, e di riflesso su Yahoo.
Il Garante Privacy ha rilevato che la violazione di dati personali (seppur accidentale e tempestivamente notificata allo stesso ai sensi dell’art. 33 del GDPR) ha determinato un trattamento di dati personali:
a) in violazione dei principi di “liceità, correttezza e trasparenza” di cui all’art. 5, par. 1, lett. a), del GDPR;
b) in assenza di un idoneo presupposto normativo, in violazione dell’art. 2-ter, commi 1 e 3, del Codice Privacy e dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del GDPR;
c) in violazione delle “norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” ai sensi dell’art. 88, par. 1, del GDPR in relazione all’art. 54-bis del D. Lgs. 30 marzo 2001, n. 165;
d) in violazione dell’art. 32 del GDPR, in assenza di adeguate misure tecniche e organizzative volte a garantire la riservatezza e l’integrità dei dati personali trattati mediante l’ausilio dell’applicativo.
a. Misure tecniche idonee per il controllo degli accessi.
Il Garante Privacy ha ritenuto che, contrariamente a quanto rappresentato dall’Ateneo, non solo l’RPCT o, al limite, i segnalanti medesimi erano in possesso delle informazioni per poter risalire al dato, ma che lo stesso era fruibile anche da chiunque effettuasse ricerche libere in Internet. Proprio quest’ultimo aspetto evidenzia l’assenza di misure tecniche per il controllo accessi, che diversamente avrebbe permesso di limitare l’accesso esclusivamente ai soggetti autorizzati muniti di apposite credenziali di autenticazione, violando così quanto disposto dall’art. 32 GDPR.
Sul punto si è chiarito che “il titolare del trattamento è tenuto ad adottare apposite procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” e che “l’asserita riduzione dell’efficacia delle misure tecniche per il controllo accessi, che, stando a quanto dichiarato dall’Ateneo, sarebbe derivata dall’aggiornamento della piattaforma Microsoft Sharepoint, resta comunque riconducibile alla sfera di responsabilità del titolare del trattamento”.
b. Misure tecniche per il trasporto e la conservazione dei dati.
Nel corso dell’istruttoria è emerso che il protocollo di rete “http” utilizzato per il trasporto dei dati non garantisce una comunicazione sicura sia in termini di riservatezza e integrità dei dati scambiati sia di autenticità del sito web visualizzato.
In particolare il mancato utilizzo di strumenti di crittografia per il trasporto dei dati da parte dell’applicativo in questione, viola l’art. 32 del Regolamento, che peraltro al par. 1, lett. a), individua espressamente la cifratura dei dati come una delle possibili misure di sicurezza idonea a garantire un livello di sicurezza adeguato al rischio nonché con le raccomandazioni di ANAC sull’utilizzo di “strumenti di crittografia end-to-end per i contenuti delle segnalazioni e dell’eventuale documentazione allegata” contenute nelle Linee guida in materia di tutela del dipendente pubblico che segnala illeciti (c.d. whistleblower), adottate con delibera n. 6 del 28 aprile 2015.
Inoltre, la necessità di adottare adeguate misure tecniche e organizzative per garantire la sicurezza, la riservatezza e l’integrità dei dati trattati nell’ambito delle procedure informatiche per la gestione delle segnalazioni, mediante protocolli sicuri di trasporto dei dati, è stato recentemente reiterata dal Garante Privacy nel Provvedimento n. 215 del 4 dicembre 2019, recante il parere sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)”.
Da ultimo, il Garante Privacy ha sottolineato che, come emerge chiaramente dalla documentazione acquisita nel corso dell’istruttoria, l’Ateneo non si è opposto alle scelte progettuali del fornitore dell’applicativo whistleblowing che non prevedevano la cifratura dei dati personali (dati identificativi del segnalante, informazioni relative alla segnalazione nonché eventuale documentazione allegata) conservati nel database utilizzato dal medesimo applicativo, non adottando misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante l’ausilio dell’applicativo whistleblowing, in violazione dell’art. 32 del GDPR.
Alla luce delle risultanze istruttorie, il Garante Privacy ha rilevato l’illiceità del trattamento di dati personali effettuato dall’Ateneo per non aver adottato adeguate misure di sicurezza ai sensi dell’art. 32 del GDPR.
Pertanto, il Garante Privacy ha rispettivamente:
• ingiunto all’Ateneo il pagamento della somma di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria ai sensi dell’art. 83 par. 4, lett. a) del GDPR;
• disposto la pubblicazione del provvedimento sanzionatorio sul proprio sito web, a titolo di sanzione accessoria ai sensi degli artt. 166, comma 7, del Codice, e 16, comma 1, del Regolamento del Garante n. 1/2019.
Ai fini del calcolo del quantum della sanzione, sono stati considerati i seguenti aspetti:
• la particolare gravità delle condotte rispetto a trattamenti la cui disciplina di riferimento prevede, a tutela dell’interessato, un elevato grado di riservatezza;
• l’intensità dell’elemento soggettivo (nonché della gravità della negligenza), alla luce degli inadeguati accorgimenti adottati, sotto il profilo tecnico e organizzativo, al fine di soddisfare le esigenze di sicurezza e particolare riservatezza proprie della gestione dei dati nell’ambito delle procedure di whistleblowing (art. 83, par. 2, lett. b), d) e g) del GDPR;
• il fatto che la violazione ha, in concreto, riguardato un numero esiguo di interessati (solo due) ai sensi delle lettere a) e c) del citato art. 83, par. 2;
• la tempestiva adozione di misure correttive da parte dell’Ateneo, finalizzate all’eliminazione delle cause che hanno generato la condotta contestata, in particolare, attivandosi presso i motori di ricerca per ottenere la deindicizzazione e la rimozione delle copie cache delle pagine web dell’applicativo whistleblowing;
• l’avvenuta notifica della violazione al Garante Privacy e la cooperazione attiva con lo stesso durante l’istruttoria e nel procedimento;
• il fatto che non sono state presentate segnalazioni o reclami rispetto alla condotta oggetto del presente procedimento, né risultano precedenti violazioni pertinenti commesse dall’Ateneo, come titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del GDPR (art. 83, par. 2, lett. e), f), h), i), del GDPR medesimo).
Alla luce di quanto sopra evidenziato, il datore di lavoro, che utilizza piattaforme per la segnalazione anonima di eventuali condotte illecite, deve verificare che le misure di sicurezza, tecniche e organizzative adottate, siano adeguate a tutelare la riservatezza dei segnalanti.
Il presente provvedimento evidenzia come il Garante Privacy stia prestando particolare attenzione al settore del whistleblowing. Ciò trova ulteriore conferma nel recente piano ispettivo approvato dal Garante Privacy relativo al primo semestre del 2020 che si concentrerà anche sui trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite.
