L’Autorità Garante per la protezione dei dati personali ha sanzionato diversi enti nell’ambito di un ciclo di attività ispettive, avente a oggetto le funzionalità di alcuni applicativi per l’acquisizione e gestione delle segnalazioni di illeciti, impiegati dai datori di lavoro pubblici e privati, nel quadro della disciplina in materia di whistleblowing.

L’espressione “whistleblowing” indica generalmente la condotta di chi segnala illeciti di interesse generale di cui sia venuto a conoscenza nell’ambito di un rapporto di lavoro.

La disciplina organica del fenomeno si rinviene nella Legge 30 novembre 2017, n. 179 che ha modificato l’art. 54 bis del D.Lgs. 165/2001, introdotto in precedenza dalla legge n. 190 del 2012, relativamente all’applicazione di questo istituto nell’ambito del settore pubblico; la stessa legge ha poi esteso il whistleblowing anche nel settore privato.

È importate citare inoltre la direttiva (UE) 2019/1937 del Parlamento Europeo e del Consiglio del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (non ancora attuata in Italia), il cui obiettivo è quello di uniformare le normative nazionali in materia di whistleblowing.

Ciò che rileva nella disciplina del whistleblowing è la tutela del soggetto segnalante sotto un triplice profilo: la tutela della riservatezza dell’identità del segnalante e della segnalazione, la tutela da eventuali misure ritorsive o discriminatorie eventualmente adottate dall’ente a causa della segnalazione effettuata e l’esclusione dalla responsabilità nel caso in cui il segnalante sveli notizie coperte dall'obbligo di segreto d'ufficio, aziendale, professionale, scientifico o industriale ovvero violi l'obbligo di fedeltà, a condizione che agisca al fine di tutelare l'interesse all'integrità delle amministrazioni.

In considerazione delle possibili e rilevanti implicazioni relative alla tutela dei dati personali, il Garante ha individuato il whistleblowing come uno degli specifici settori oggetto di attività ispettiva nel primo semestre del 2020, così come era stato per il secondo semestre del 2019.

Sono diversi i casi in cui l’Autorità Garante ha comminato sanzioni a causa di violazioni del GDPR e irregolarità nella configurazione dell’applicazione utilizzata.

Da ultimo, con i provvedimenti nn. 134 e 135, entrambi del 7 aprile 2022, il Garante per la protezione dei dati personali, ha sanzionato l’Azienda Ospedaliera di Perugia e la Società informatica Isweb s.p.a., che forniva e gestiva per l’Azienda l’applicativo utilizzato per l’acquisizione e la gestione delle segnalazioni di condotte illecite e, a tal fine, individuata quale responsabile del trattamento ex art. 28 GDPR. Nel corso dell’istruttoria l’Autorità ha rilevato diverse violazioni: l’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti, contravvenendo alla normativa in materia che tutela la riservatezza dell’identità del dipendente che segnala gli illeciti. L’Azienda non aveva, inoltre, inserito il trattamento relativo al whistleblowing nel registro dei trattamenti, provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti e non aveva realizzato una valutazione di impatto. È infine emersa una non corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (RPCT), durante la fase di transizione con il suo successore. Altre violazioni hanno riguardato la suddetta società informatica: quest’ultima si era avvalsa di un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e, soprattutto, senza comunicare tale circostanza all’Azienda, titolare del trattamento. Il Garante ha rilevato infatti, su quest’ultimo punto, che la Società informatica, sebbene avesse il potere di affidare l’hosting a un terzo soggetto, avrebbe dovuto informare il Titolare del trattamento e da questi farsi autorizzare alla nomina del terzo soggetto quale ulteriore responsabile esterno, in virtù del potere di organizzazione e direzione che il GDPR attribuisce al titolare; ai sensi dell’art. 28 parr. 2 e 4 GDPR, il Responsabile non può ricorrere ad un sub-fornitore “senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento” e, in tal caso, su tale altro responsabile del trattamento sono imposti gli stessi obblighi in materia di protezione dei dati, contenuti nel contratto o in altro atto giuridico tra il titolare e il responsabile del trattamento.

Tali provvedimenti in materia di whistleblowing fanno seguito ad altre violazioni accertate dal Garante. Lo stesso ha sanzionato infatti l’Università degli studi di Roma “La Sapienza”, con il provvedimento n. 17 del 23 gennaio 2020; in seguito ad una violazione di dati personali avvenuta sulla piattaforma di whistleblowing utilizzata dall’Ateneo, quest’ultima rilevava l’avvenuta diffusione e indicizzazione online, su diversi motori di ricerca, di dati personali relativi a due dei propri segnalanti. Nel corso dell’istruttoria è stato rilevato che la violazione dei dati personali era riconducibile all’assenza di adeguate misure tecniche per il controllo degli accessi, che avrebbero consentito di limitare la consultazione al solo personale autorizzato. L’applicativo non prevedeva la cifratura dei dati personali, né l’adozione di un protocollo di trasmissione che garantisse una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, sia di autenticità del sito web visualizzato da chi invia le segnalazioni. 

Nel giugno 2021 un’ulteriore sanzione è stata inflitta all’Aeroporto Guglielmo Marconi di Bologna; nel caso della Società aeroportuale il Garante ha accertato il mancato utilizzo di tecniche di crittografia per la trasmissione e la conservazione dei dati e la violazione del principio della privacy by design.

In conclusione, dato che l’identità dei soggetti segnalanti è protetta da uno specifico regime di garanzia e riservatezza previsto dalla normativa di settore per la particolare delicatezza delle informazioni trattate e per gli elevati rischi di ritorsioni e discriminazioni nel contesto lavorativo, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, assicurandone l’integrità e la sicurezza.