Privacy. Il Garante sanziona ospedale e società informatica che forniva il servizio di whistleblowing.
Il Garante della Privacy ha sanzionato un ospedale e la società informatica che forniva il servizio di whistleblowing, per il mancato rispetto della normativa GDPR e delle policy sul trattamento e divulgazione dei dati.
L’istruttoria rientra in un ciclo di attività ispettive, curate dall’Authority, finalizzate a verificare quali fossero le modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, con particolare attenzione alle soluzioni più utilizzate in Italia.
Mancati adempimenti
Dai controlli era emerso che l’accesso all’applicazione web di whistleblowing avveniva attraverso sistemi non configurati in maniera corretta, poiché consentivano la registrazione e la conservazione dei dati di navigazione degli utenti.
La società informatica, in qualità di responsabile del trattamento, si avvaleva inoltre di un fornitore esterno per il servizio di hosting dei sistemi, a cui non erano state però comunicate specifiche istruzioni sul trattamento dei dati degli interessati e non erano state date notizie neanche alla struttura sanitaria.
Sanzione
Il Garante, tenendo conto della piena collaborazione offerta nel corso dell’istruttoria anche per sanare i problemi rilevati, ha comminato sia alla struttura sanitaria sia alla società informatica una sanzione di 40mila euro. E ha ingiunto alla società informatica di adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali entro 30 giorni.
Pubblica Amministrazione ed imprese, per garantire la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite, devono scegliere soluzioni in linea con il regolamento generale sulla protezione dei dati e che adottano protocolli sicuri per il trasporto dei dati in rete nonché l’utilizzo di strumenti di crittografia per i contenuti delle segnalazioni e dell’eventuale documentazione allegata ed adeguate modalità di conservazione dei dati e della documentazione.
OpenBlow
E’ la soluzione di whistleblowing che ottempera in modo nativo alle direttive ANAC93 e alle norme di riferimento:
- separare l’identità del segnalante dal contenuto della segnalazione, prevedendo l’adozione di codici sostitutivi dei dati identificativi, in modo che la segnalazione possa essere processata in modalità anonima e rendere possibile la successiva ricostruzione
dell’identità del segnalante nei soli casi consentiti; - gestire le segnalazioni in modo trasparente attraverso un iter procedurale definito e comunicato all’esterno con termini certi per l’avvio e la conclusione dell’istruttoria;
- mantenere riservato il contenuto delle segnalazioni durante l’intera fase di gestione della segnalazione;
- adottare protocolli sicuri per il trasporto dei dati in rete nonché l’utilizzo di strumenti di crittografia per i contenuti delle segnalazioni e dell’eventuale documentazione allegata;
- adottare adeguate modalità di conservazione dei dati e della documentazione (fisico, logico, ibrido);
- adottare politiche di tutela della riservatezza attraverso strumenti informatici (disaccoppiamento dell’identità del segnalante rispetto alle informazioni relative alla segnalazione, crittografia dei dati e dei documenti allegati);
- adottare politiche di accesso ai dati (funzionari abilitati all’accesso, amministratori del sistema informatico).
OpenBlow ottempera in modo nativo alla normativa vigente, alle direttive europee, alle linee guida in materia di Whistleblowing (L. 179/17), modelli organizzativi (D.Lgs.231/01) e Privacy (GDPR).
Tutte le attività di integrazione sono a norma con il GDPR e vengono condotti, con cadenza periodica e in concomitanza di nuovi rilasci, delle sessioni di Vulnerability Assessment e Penetration Test (VAPT), supportate dalle principali certificazioni (ISO 27001, OWASP, CISA e CISM di ISACA) in materia di sicurezza.