Whistleblowing: i software devono rispettare il GDPR!
Dalla newsletter di agosto 2021 si torna sul whistleblowing…
Il whistleblowing è uno dei temi affrontati dal Garante Privacy nella newsletter di agosto 2021.
Mentre la ISO pubblica la norma tecnica ISO 37002:2021 sui sistemi di gestione delle segnalazioni whistleblowing, il Garante irroga una sanzione da 40.000 euro all’Aeroporto Guglielmo Marconi di Bologna S.p.A. – quale titolare del trattamento – e da 20.000 euro alla società aiComply S.r.l. – in veste di responsabile del trattamento – per violazioni del GDPR connesse all’applicativo whistleblowing “WB Confidential”.
In via generale, l’applicativo whistleblowing oggetto del provvedimento non presentava garanzie sufficienti a tutela dell’integrità e della riservatezza dei dati dei segnalanti, violando quindi il principio di cui all’articolo 5, lettera F del GDPR.
Vediamo più nel dettaglio quali sono state le criticità rilevate.
Whistleblowing: serve la crittografia
Il primo punto a cui giunge l’istruttoria riguarda la necessità che i canali whistleblowing siano dotati di una crittografia a protezione del trasporto e della conservazione dei dati dei segnalanti.
Il Garante, verificato che l’applicativo whistleblowing in esame, esposto su rete Internet, non utilizzava un protocollo di rete sicuro (quale il protocollo https) per il trasporto dei dati, ha ritenuto tale mancanza una violazione dei principi di integrità e riservatezza dei dati dei segnalanti, oltre che una violazione del principio di privacy by design (o protezione dei dati fin dalla progettazione).
L’assenza del protocollo, oltre a favorire la vulnerabilità dei dati scambiati, impediva infatti al segnalante di verificare l’autenticità del sito web ospitante il sistema whistleblowing.
A nulla è valso il tentativo del titolare di difendersi evidenziando che la questione dell’assenza della crittografia era stata valutata in fase di attivazione del servizio ma che, fidandosi delle valutazioni di merito e rassicurazioni del fornitore aiComply, era stata ritenuta superflua.
Premettendo che l’obbligo di privacy by design del titolare si estende anche ai trattamenti svolti dal fornitore dell’applicativo, il Garante afferma testualmente che “le operazioni di trattamento effettuate da un responsabile dovrebbero essere regolarmente esaminate e valutate dal titolare per garantire che continuino a rispettare i principi e permettano al titolare di adempiere gli obblighi previsti dal Regolamento”. Fidarsi è bene, non fidarsi è d’obbligo … almeno per il GDPR.
Possono tracciarsi gli accessi dei segnalanti al sistema whistleblowing?
Secondo punto trattato dall’ordinanza riguarda la possibilità di tracciamento degli accessi dei segnalanti al sistema whistleblowing.
I sistemi firewall del titolare permettevano di tracciare l’accesso al sistema whistleblowing memorizzandolo in un file log per 90 giorni, contenente l’indirizzo IP del dispositivo impiegato e l’username di chi si connetteva.
Pur non tenendo traccia il sistema della pagina visitata all’interno del sistema whistleblowing, e quindi di operazioni diverse dal semplice accesso, il Garante ha ritenuto tale trattamento in violazione del principio di privacy by design (o per impostazione predefinita) e delle disposizioni a tutela del tracciamento dei dipendenti in ambito lavorativo.
L’Autorità ha sottolineato che il trattamento in questione era superfluo rispetto alla specifica finalità perseguita dal sistema. In altre parole, per garantire l’adempimento degli obblighi whistleblowing il titolare del trattamento non aveva la necessità di tenere traccia dell’accesso dei segnalanti al sistema implementato per gestire le segnalazioni.
La superfluità del trattamento si traduceva necessariamente nell’assenza di una base giuridica idonea a supporto del trattamento di tracciamento, non potendo appoggiarsi sulla base giuridica fondante i trattamenti necessari ai fini dell’acquisizione e della gestione delle segnalazioni, ovverosia l’obbligo di legge.
Il titolare avrebbe quindi dovuto intervenire e pretendere la disattivazione della specifica funzione di tracciamento, in quanto trattamento privo di base giuridica, superfluo ed in quasi sicura violazione delle norme a tutela del trattamento dei dati dei dipendenti nell’ambito lavorativo.
Serve la valutazione d’impatto per i sistemi whistleblowing?
Si sa che quando questa domanda arieggia in un provvedimento del Garante, la risposta è sempre affermativa. Questo caso non fa eccezione.
Nonostante il titolare sottolineasse come il sistema whistleblowing fosse interessato da un bassissimo traffico e da un numero irrisorio di segnalazioni (appena 3 in 4 anni), il Garante ha tagliato corto giustificando la necessità della valutazione d’impatto sulla base “della particolare delicatezza delle informazioni trattate, nonché degli elevati rischi, in termini di possibili effetti ritorsivi e discriminatori, anche indiretti, per il segnalante, la cui identità è protetta da uno specifico regime di garanzia e riservatezza previsto dalla normativa di settore.”
Orientamento d’altronde ormai cristallizzato nell’elenco della tipologia dei trattamenti che richiedono la valutazione d’impatto, pubblicato sul sito dell’Autorità già dal 2018.
E il fornitore dell’applicativo whistleblowing?
L’ordinanza-ingiunzione pronunciata verso l’Aeroporto fa il paio con speculare provvedimento pronunciato avverso il fornitore dell’applicativo, che il Garante ha sanzionato anche per non aver nominato quali subfornitori le società incaricate di gestire la sistemistica dell’infrastruttura IT e dell’attività di manutenzione e di assistenza specialistica sull’applicativo.
