Garante privacy: sanzione 40.000 euro per illecito trattamento dati personali all’interno dell’applicativo per il whistleblowing
Con Ordinanza ingiunzione registro dei Provvedimenti n. 235/2021 del 10 giugno 2021 l’Autorità Garante per la protezione dei dati personali ha ordinato a Aeroporto Guglielmo Marconi di Bologna S.p.a. di pagare la somma di euro 40.000,00 a titolo di sanzione amministrativa pecuniaria in ragione dell’illiceità del trattamento di dati personali effettuato dalla Società.
L’Aeroporto aveva adottato un modello di organizzazione, gestione e controllo ai sensi del d.lgs. n. 231/2001 integrato e aggiornato con una specifica “policy whistleblowing”, impiegando per la gestione delle segnalazioni l’applicativo “WB Confidential” di iComply S.r.l.
Premesso che è la stessa disciplina in materia di whistleblowing a prevedere misure volte a proteggere la divulgazione dell’identità del segnalante, ne consegue che i trattamenti di dati personali effettuati dai soggetti obbligati possono essere considerati necessari per adempiere a un obbligo legale al quale è soggetto il Titolare del trattamento (artt. 6, par. 1, lett. c), 9, par. 2, lett. b), e 10 del GDPR).
Ciò posto, il Titolare del trattamento è comunque tenuto a rispettare i principi in materia di protezione dei dati (art. 5 GDPR) e i dati devono inoltre essere “trattati in maniera da garantire un’adeguata sicurezza” degli stessi.
Nel corso dell’istruttoria esperita dall’Autorità è emerso che l’accesso all’applicativo “WB Confidential” p avveniva mediante il protocollo http, che non garantisce l’integrità e la riservatezza dei dati scambiati tra il browser dell’utente e il server che ospita l’applicativo in questione, e non consente agli utenti di verificare l’autenticità del sito web con il quale stanno interagendo.
Tale modalità di accesso all’applicativo non può quindi essere considerata una misura idonea a garantire un adeguato livello di sicurezza.
Inoltre, l’accesso all’applicativo “WB Confidential” da parte dei dipendenti della Società era mediato da apparati firewall che memorizzavano in appositi file di log le operazioni di navigazione effettuate. I log generati dai firewall contenevano l’indirizzo IP del dispositivo utilizzato per la connessione all’applicativo e la username del soggetto che stava effettuando tale connessione.
Il Titolare del trattamento, oltre a rispettare il principio della “protezione dei dati fin dalla progettazione” (art. 25, par. 1, GDPR) deve anche, in conformità al principio della “protezione dei dati per impostazione predefinita” (art. 25, par. 2, GDPR), effettuare scelte tali da garantire che venga effettuato, per impostazione predefinita, solo il trattamento strettamente necessario per conseguire una specifica e lecita finalità.
In tale prospettiva, il Titolare del trattamento deve eseguire una valutazione dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore come quelle in materia di whistleblowing.
Ancora, il trattamento dei dati personali degli interessati è stato effettuato in assenza di una preliminare valutazione d’impatto sulla protezione dei dati in ragione “dell’esiguo numero dei dati trattati e degli interessati coinvolti dal trattamento in questione”.
Al riguardo, l’Autorità ha ritenuto che il trattamento dei dati personali mediante i sistemi di acquisizione e gestione delle segnalazioni di presunte condotte illecite presenti invece rischi specifici per i diritti e le libertà degli interessati, anche considerata la “vulnerabilità” degli interessati e tenuto conto degli specifici rischi per i diritti e le libertà nel contesto lavorativo.
Tutto ciò premesso, l’Autorità ha dunque rilevato l’illiceità del trattamento di dati personali effettuato dalla Società in quanto avvenuto in maniera non conforme ai principi generali di “protezione dei dati fin dalla progettazione” e della “protezione dei dati per impostazione predefinita”, determinando l’ammontare della sanzione pecuniaria nella misura di euro 40.000,00.