Con provvedimenti 134 e 135 del 7 aprile 2022, il Garante per la Privacy ha comminato una sanzione da 40.000 ciascuna all’ Azienda Ospedaliera di Perugia e alla società informatica SWEB spa che gestisce per conto dell’Azienda l’applicativo utilizzato per l’acquisizione e la gestione delle segnalazioni di condotte illecite

I fatti: nell’ambito di una serie di attività ispettive in merito alle modalità di acquisizione dei dati tramite gli applicativi più utilizzati nell’ambito della disciplina del c.d. whistleblowing, il Garante ha rilevato diverse violazioni sia a carico dell’Azienda Ospedaliera che della società informatica, quali:
·      l’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti;
·      l’Azienda non aveva provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto privacy e non aveva inserito tali operazioni nel registro delle attività di trattamento;
·      la società informatica si era avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria.

Nei provvedimenti, il Garante ha ribadito che deve essere prestata massima attenzione nell’impostazione e gestione dei sistemi di whistleblowing, al fine di garantire la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite. Perciò, oltre alla sanzione, ha dato 30 giorni di tempo a SWEB spa per adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali.