Nel corso di un’attività ispettiva della Guardia di Finanza, nell’ambito di verifica degli adempimenti privacy connessi alla gestione dei trattamenti di WHISTLEBLOWING, il Garante privacy ha sanzionato per 40.000 euro l’Azienda ospedaliera di Perugia e il provider Isweb Spa fornitore del software per il whistleblowing.
Di seguito le non conformità rilevate l’Azienda ospedaliera di Perugia :
- il registro dei trattamenti non prevedeva l’attività di Whistleblowing;
- le misure di sicurezza applicate non erano in grado di garantire la riservatezza dei dati del segnalante;
- non era stata prodotta una Valutazione di impatto privacy (PIA) ai sensi dell’art. 35 del GDPR;
- l’informativa privacy resa ai lavoratori non prevedeva la finalità specifica.
Ad Isweb Spa (Responsabile del trattamento ai sensi dell’art. 28 del GDPR) è stato invece contestato di:
- non aver comunicato all’Azienda Ospedaliera il sub responsabile che erogava i servizi di hosting della piattaforma (Seeweb Srl)
- non aver sottoscritto con lo stesso un Accordo sul trattamento dei dati personali ex art. 28.
LEGGI l’Ordinanza ingiunzione nei confronti di Azienda ospedaliera di Perugia del 7 aprile 2022.
LEGGI l’Ordinanza ingiunzione nei confronti di ISWEB S.p.A. – 7 aprile 2022
NB è utile ricordare che gli adempimenti si applicano sia alle aziende pubbliche che private che adottano un Modello Organizzativo 231 o che hanno un numero di dipendenti superiori a 250 (a partire dal 17 Dicembre 2023 scatterà l’obbligo anche per le aziende con un numero di dipendenti compreso tra 50 e 249)!
CONTATTACI per verificare la correttezza degli adempimenti Privacy sull’utilizzo di piattaforme per la gestione Whistleblowing o semplicemente se vuoi maggiori informazioni.
La disciplina del Whistleblowing
Il fenomeno del “whistleblowing” compare frequentemente nelle pagine dei quotidiani internazionali, in conseguenza dell’entrata in vigore della Direttiva Europea sul Whistleblowing (2019/1937) e episodi di cronaca che riguardano grandi realtà istituzionali e imprenditoriali.
Che cos’è il “whistleblowing” e chi è il“whistleblower”?
Con il termine whistleblowing s’intende la segnalazione di un illecito o di un’irregolarità da parte di un individuo cosiddetto “whistleblower“ di cui lui stesso è stato testimone. Il segnalante spesso è un dipendente o un qualsiasi stakeholder, ad esempio un fornitore o un cliente.
La segnalazione può quindi avvenire all’interno dell’azienda tramite canali interni, oppure può essere fatta pubblicamente, ad esempio all’autorità giudiziaria o alla stampa.
A prescindere dalla modalità scelta per la segnalazione, deve tassativamente riguardare illeciti disciplinati dal diritto nazionale o europeo al fine di essere considerata a tutti gli effetti una segnalazione di “whistleblowing” e non una semplice lamentela personale. Deve garantire l’anonimato e la protezione del segnalante da eventuali ritorsioni. Il Whistleblowing è quindi a tutti gli effetti un utile strumento di compliance necessario alla prevenzione degli illeciti ma altrettanto utile a coinvolgere e sensibilizzare i cittadini nella lotta all’illegalità.