Il caso sottoposto all’esame dell’Autorità Garante per la protezione dei dati personali: Nel dicembre 2018 l’Università degli Studi di Roma La Sapienza (“Ateneo”) notificava all’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) l’avvenuta diffusione di dati personali trattati per il tramite della piattaforma che l’Ateneo utilizzava per l’acquisizione e la gestione delle segnalazioni di illeciti da parte dei propri dipendenti e di soggetti terzi nell’ambito della disciplina del c.d. whistleblowing. In particolare, si dichiarava che era intervenuta una dispersione di dati personali comuni – nome, cognome, sede, telefono, e-mail del segnalante, data della segnalazione - relativi a due segnalanti che avevano utilizzato la piattaforma whistleblowing. Inoltre, tali dati erano stati indicizzati da alcuni motori di ricerca fintanto che l’Ateneo, edotto del problema, era intervenuto per farli deindicizzare e cancellare le relative copie cache. Le risultanze dell’attività istruttoria: A seguito dell’attività istruttoria emergeva che l’Ateneo aveva correttamente notificato la violazione dei dati personali al Garante Privacy entro le 72 ore dal momento in cui veniva a conoscenza del fatto e che i dati personali interessati dal data breach non rientravano nell’ambito di categorie particolari di dati trattandosi di dati personali comuni, mentre il contenuto delle segnalazioni non veniva in alcun modo reso accessibile a soggetti non autorizzati. L’Ateneo informava inoltre il Garante Privacy del fatto che l’avvenuta pubblicazione sul web dell’elenco dei soggetti che avevano effettuato segnalazioni riservate contenute nell’applicativo di condotte illecite dava luogo anche alla indicizzazione delle pagine web in questione da parte di motori di ricerca web, nonché di aver comunicato la violazione dei dati personali ai due interessati coinvolti. L’Ateneo informava inoltre di aver coinvolto il Centro InfoSapienza per la sospensione dell’applicativo whistleblowing e la cancellazione da alcuni motori di ricerca delle copie cache delle pagine web che riportavano tali dati e di aver inizialmente richiesto a Google la rimozione dei singoli contenuti indicizzati – e in alcuni casi conservati in copie cache – mediante lo strumento denominato “Remove outdated content”, rappresentando tuttavia che tale strumento si rivelava inefficiente per la rimozione delle molteplici pagine dinamiche. Per tale ragione l’Ateneo segnalava l’intera directory ottenendo la rimozione completa dei risultati associati a whistleblowing e informava dell’avvenuta rimozione dell’intero sito web anche su Bing, e di riflesso su Yahoo. Le violazioni contestate: Il Garante Privacy ha rilevato che la violazione di dati personali (seppur accidentale e tempestivamente notificata allo stesso ai sensi dell’art. 33 del Regolamento UE 679/2016 ("GDPR")) ha determinato un trattamento di dati personali: In particolare, non sono state ritenute sussistenti: Il Garante Privacy ha ritenuto che, contrariamente a quanto rappresentato dall’Ateneo, non solo l’RPCT o, al limite, i segnalanti medesimi erano in possesso delle informazioni per poter risalire al dato, ma che lo stesso era fruibile anche da chiunque effettuasse ricerche libere in Internet. Proprio quest’ultimo aspetto evidenzia l’assenza di misure tecniche per il controllo accessi, che diversamente avrebbe permesso di limitare l’accesso esclusivamente ai soggetti autorizzati muniti di apposite credenziali di autenticazione, violando così quanto disposto dall’art. 32 GDPR. Sul punto si è chiarito che “il titolare del trattamento è tenuto ad adottare apposite procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” e che “l’asserita riduzione dell’efficacia delle misure tecniche per il controllo accessi, che, stando a quanto dichiarato dall’Ateneo, sarebbe derivata dall’aggiornamento della piattaforma Microsoft Sharepoint, resta comunque riconducibile alla sfera di responsabilità del titolare del trattamento”. Nel corso dell’istruttoria è emerso che il protocollo di rete “http” utilizzato per il trasporto dei dati non garantisce una comunicazione sicura sia in termini di riservatezza e integrità dei dati scambiati sia di autenticità del sito web visualizzato. In particolare il mancato utilizzo di strumenti di crittografia per il trasporto dei dati da parte dell’applicativo in questione, viola l’art. 32 del Regolamento, che peraltro al par. 1, lett. a), individua espressamente la cifratura dei dati come una delle possibili misure di sicurezza idonea a garantire un livello di sicurezza adeguato al rischio nonché con le raccomandazioni di ANAC sull’utilizzo di “strumenti di crittografia end-to-end per i contenuti delle segnalazioni e dell’eventuale documentazione allegata” contenute nelle Linee guida in materia di tutela del dipendente pubblico che segnala illeciti (c.d. whistleblower), adottate con delibera n. 6 del 28 aprile 2015. Inoltre, la necessità di adottare adeguate misure tecniche e organizzative per garantire la sicurezza, la riservatezza e l’integrità dei dati trattati nell’ambito delle procedure informatiche per la gestione delle segnalazioni, mediante protocolli sicuri di trasporto dei dati, è stato recentemente reiterata dal Garante Privacy nel Provvedimento n. 215 del 4 dicembre 2019, recante il parere sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)”. Da ultimo, il Garante Privacy ha sottolineato che, come emerge chiaramente dalla documentazione acquisita nel corso dell’istruttoria, l’Ateneo non si è opposto alle scelte progettuali del fornitore dell’applicativo whistleblowing che non prevedevano la cifratura dei dati personali (dati identificativi del segnalante, informazioni relative alla segnalazione nonché eventuale documentazione allegata) conservati nel database utilizzato dal medesimo applicativo, non adottando misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante l’ausilio dell’applicativo whistleblowing, in violazione dell’art. 32 del GDPR. La sanzione irrogata: Alla luce delle risultanze istruttorie, il Garante Privacy ha rilevato l’illiceità del trattamento di dati personali effettuato dall’Ateneo per non aver adottato adeguate misure di sicurezza ai sensi dell’art. 32 del GDPR. Pertanto, il Garante Privacy ha rispettivamente: Ai fini del calcolo del quantum della sanzione, sono stati considerati i seguenti aspetti: Conclusioni: Alla luce di quanto sopra evidenziato, il datore di lavoro, che utilizza piattaforme per la segnalazione anonima di eventuali condotte illecite, deve verificare che le misure di sicurezza, tecniche e organizzative adottate, siano adeguate a tutelare la riservatezza dei segnalanti. Il presente provvedimento evidenzia come il Garante Privacy stia prestando particolare attenzione al settore del whistleblowing. Ciò trova ulteriore conferma nel recente piano ispettivo approvato dal Garante Privacy relativo al primo semestre del 2020 che si concentrerà anche sui trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite.