L’istruttoria nasce in seguito ad ispezioni sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing e dai controlli effettuati presso un’azienda ospedaliera sono emerse diverse violazioni. Il Garante per la privacy ha quindi sanzionato l’azienda ospedaliera e la società informatica che gestiva il servizio per presunte attività corruttive o altri comportamenti illeciti all’interno dell’ente.
L’accesso all’applicazione web di whistleblowing si basa su un software open source e avviene attraverso sistemi che, quando non vengono correttamente configurati, registrano e conservano i dati di navigazione degli utenti e consentono l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti.
La struttura sanitaria sanzionata dal Garante, oltre a tale errata configurazione, non aveva provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali (effettuato per finalità di segnalazione degli illeciti) e non aveva effettuato una valutazione di impatto privacy. Infine, è emersa una non corretta gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (Rpct), durante la fase di transizione con il suo successore.
La società informatica, che forniva all’azienda ospedaliera l’applicazione web di whistleblowing, durante i controlli è risultata responsabile di illeciti. Infatti, la società aveva utilizzato un fornitore esterno per il servizio di hosting dei sistemi che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia alla struttura sanitaria. Il medesimo servizio di hosting, inoltre, è stato utilizzato per finalità interne come la gestione del rapporto di lavoro con i dipendenti o la gestione contabile e amministrativa. In entrambi i casi, senza regolare il rapporto e l’uso dei dati.
Il Garante ha sanzionato sia la struttura sanitaria sia la società informatica, con una multa di 40.000 euro, concedendo 30 giorni alla società informatica per adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali.