Lo ha ribadito il Garante per la protezione dei dati personali nel sanzionare un’università per aver reso accessibili on line i dati identificativi di due persone che avevano segnalato all’ateneo possibili illeciti.

L’università aveva dichiarato che, a causa di un aggiornamento della piattaforma software utilizzata, si era verificata la sovrascrittura accidentale dei permessi di accesso ad alcune pagine web interne dell’applicativo usato per il whistleblowing, rendendo così possibile a chiunque consultare i nomi e altri dati di coloro che avevano inviato segnalazioni riservate. Tali informazioni erano di conseguenza state indicizzate da alcuni motori di ricerca fino a che l’università, dopo essere venuta a conoscenza del problema, era intervenuta per farli deindicizzare e cancellare le relative copie cache.

Nel corso dell’istruttoria è stato rilevato che la violazione dei dati personali (data breach) era riconducibile all’assenza di adeguate misure tecniche per il controllo degli accessi, che avrebbero consentito di limitare la consultazione al solo personale autorizzato. In base al Regolamento spetta in primo luogo proprio al titolare del trattamento (in questo caso l’ateneo) – tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento – mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio.

Tra queste rientra anche una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure adottate.  Nel caso di specie invece l’università si è limitata a recepire le scelte progettuali del fornitore dell’applicativo che non prevedeva la cifratura dei dati personali (identità del segnalante, informazioni relative alla segnalazione, eventuale documentazione allegata), né l’adozione di un protocollo di trasmissione che garantisse una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, sia di autenticità del sito web visualizzato da chi invia le segnalazioni. La gravità della violazione risulta acuita dal particolare regime di riservatezza stabilito dalle norme in materia di whistleblowing, proprio a maggior tutela degli interessati.

(fonte: Sito del Garante per la Protezione dei Dati Personali – www.gpdp.it)

Condividi questo articolo

Articoli correlati

Ambiente e
Sostenibilità

Siamo partner di fiducia nel sostenere, attraverso il servizio di consulenza, la crescita economica delle aziende in maniera sostenibile e rispettosa dell’ambiente.
Ambiente e Sostenibilità

Salute e
Sicurezza sul lavoro

Affianchiamo l’azienda nella gestione della sicurezza e della salute sul luogo di lavoro con etica e responsabilità, competenza ed esperienza.
Salute e sicurezza sul lavoro

Sicurezza Macchine e
Marcatura CE

Operiamo con un servizio brevettato, certificato e completo per verifica dei RESS, della valutazione del rischio e della marcatura CE di macchine, di linee e isole robotizzate
Sicurezza Macchine e Marcatura CE

Reach CLP e
Sicurezza Prodotti

Supportiamo produttori e importatori di miscele e articoli nella corretta individuazione dei requisiti di prodotto e delle normative applicabili, per una immissione sul mercato in sicurezza
Reach CLP e sicurezza prodotti

Sistemi di Gestione
e Modelli 231

Offriamo la nostra consulenza alle organizzazioni che intendono implementare Sistemi di Gestione e Modelli 231 con un approccio di tipo “integrato”
Sistemi di gestione

Privacy e
GDPR

Intendiamo far vivere la normativa Privacy come un valore aggiunto alla qualità aziendale a protezione dei dati personali dei nostri clienti
Privacy GDPR

Cyber e
Information Security

Grazie ai nostri servizi le aziende possono sviluppare e implementare un sistema integrato per gestire cybersecurity, information security e data protection.
Cyber Security

Formazione in aula,
videoconferenza, e-learning

Eroghiamo formazione accreditata e specifica in modalità FAD o in aula. Mettiamo a disposizione di aziende e lavoratori corsi di tipo interaziendali
Formazione

Iscriviti alla nostra newsletter

riceverai una volta al mese una mail con i più significativi aggiornamenti riguardanti le tematiche del nostro lavoro suddivise per categoria: consulenza ambientale, salute e sicurezza sul lavoro, sistema di gestione, modelli organizzativi, consulenza privacy e formazione.

(leggi l'informativa)