Per aver reso accessibili on line i dati identificativi di due persone che avevano segnalato possibili illeciti una Università è stata sanzionata dal Garante per la protezione dei dati personali. Le regole dicono che chiunque adotti procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti (whistleblowing), deve verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce.
L'Università aveva dichiarato che, a causa di un aggiornamento della piattaforma software utilizzata, si era verificata la sovrascrittura accidentale dei permessi di accesso ad alcune pagine web interne dell'applicativo usato per il whistleblowing, rendendo possibile a chiunque consultare nomi e dati di coloro che avevano inviato segnalazioni riservate. Tali informazioni erano di conseguenza state indicizzate da alcuni motori di ricerca fino a che l'Università, dopo essere venuta a conoscenza del problema, era intervenuta per farli deindicizzare e cancellare le relative copie cache.Nel caso è stato rilevato che la violazione dei dati personali (data breach) era riconducibile all'assenza di adeguate misure tecniche per il controllo degli accessi, che avrebbero consentito di limitare la consultazione al solo personale autorizzato.
Il Garante, dopo aver accertato l'illecito trattamento dei dati e l'omesso adempimento degli obblighi di sicurezza imposti dal Gdpr, tenuto anche conto della attiva collaborazione dell'Ateneo nel corso dell'istruttoria e dell'esiguità del numero delle persone coinvolte, ha inflitto all'Università una sanzione di 30.000 Euro.
Il Regolamento dice che, in primo luogo, spetta al titolare del trattamento - tenuto conto della natura, dell'oggetto, del contesto e delle finalità del trattamento - mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. Tra queste rientra anche una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure adottate.
Nel caso trattato, invece, l'Università si è limitata a recepire le scelte progettuali del fornitore dell'applicativo che non prevedevano la cifratura dei dati personali (identità del segnalante, informazioni relative alla segnalazione, eventuale documentazione allegata), né l'adozione di un protocollo di trasmissione che garantisse una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, sia di autenticità del sito web visualizzato da chi invia le segnalazioni. La gravità di questa violazione è stata accentuata dal preciso regime di riservatezza stabilito dalle norme in materia di whistleblowing, a maggior tutela degli interessati.
