Quando si parla di whistleblowing, si intende uno strumento di natura commerciale secondo cui il whistleblower (ossia “colui che soffia nel fischietto”) segnala potenziali frodi, reati o altri rischi per una determinata azienda: il processo di segnalazione comporta un certo livello di tutela dell’identità di chi segnala le frodi e rischia eventuali ritorsioni, pertanto il whistleblowing deve rispettare la normativa della privacy. In sintesi, il “whistleblower” è il lavoratore che, durante l’attività lavorativa (quindi da “interno”) segnala un illecito, una frode, un pericolo o un altro rischio che possa recare un effettivo pregiudizio ai consumatori o all’azienda stessa: qualora egli decida di denunciare il fatto, potrebbe esporsi al rischio di vessazioni, ritorsioni, molestie.

La legislazione italiana ha posto, a tutela dei soggetti, specifiche misure per proteggere chi sceglie di denunciare illeciti, all’interno delle organizzazioni pubbliche in cui prestano servizio, in particolare, attraverso l’articolo 54-bis del d.lgs n. 165 del 2001 “Tutela del dipendente pubblico che segnala illeciti“, con disposizione ad hoc inserita nelle “Norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche”. L’evoluzione della disciplina del whistleblowing si riferisce originariamente ai soggetti pubblici, malgrado in seguito sia stata successivamente integrata e modificata dalle “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”. Pubbliche amministrazioni e imprese devono prestare la massima attenzione nella gestione dei sistemi di whistleblowing, garantendo la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite. A tal proposito, si fa riferimento alle ultime novità relative al Garante per la privacy, il quale ha sanzionato un’azienda ospedaliera e la società informatica che gestiva il servizio per denunciare presunte attività corruttive o altri comportamenti illeciti all’interno dell’ente. È stata indetta un’istruttoria dell’Autorità, relativamente ad un ciclo di attività ispettive in merito alle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, specialmente, in riferimento a quelli maggiormente utilizzati in Italia dai datori di lavoro e dai risultati ottenuti in seguito ai controlli effettuati presso un’azienda ospedaliera, sono apparse molteplici violazioni del Gdpr.

L’accesso all’applicazione web di whistleblowing si verificava tramite sistemi configurati in maniera errata, i quali non registravano e conservano i dati di navigazione degli utenti, consentendo l’identificazione di chi ne faceva uso (tra cui eventuali soggetti segnalanti).

Di fatto, la struttura sanitaria non aveva, in seguito, provveduto a informare prima i lavoratori in merito al trattamento dei dati personali svolto per finalità di segnalazione degli illeciti, facendo altresì emergere una gestione errata delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (in fase di transizione con il successore che lo seguì). Dal momento che sono emersi ulteriori illeciti imputabili alla società informatica che forniva all’azienda ospedaliera l’applicazione web di whistleblowing, il Garante, alla luce della piena collaborazione offerta ha disposto alla struttura sanitaria ed alla società informatica una sanzione pecuniaria di 40.000 euro, intimando alla società informatica di adeguare il rapporto con il fornitore del servizio di hosting alla normativa sulla protezione dei dati personali.

Visualizzazioni: 47