Whistleblowing e privacy: Azienda ospedaliera e società di servizi IT sanzionate dal Garante

In data 7 aprile 2022, il Garante per la protezione dei dati personali (il “Garante” o l’“Autorità”) ha emesso due ordinanze ingiunzioni nei confronti, rispettivamente, dell’Azienda ospedaliera di Perugia (l’”Azienda Ospedaliera”) e di una società fornitrice del software per l’impostazione e la gestione del sistema di whistleblowing dell’Azienda Ospedaliera (la “Società IT”). Le due ordinanze ingiunzioni sono state emesse a seguito di una serie di attività ispettive svolte dal Garante in merito alle modalità di trattamento dei dati acquisiti tramite gli applicativi maggiormente utilizzati dai datori di lavoro italiani pubblici e privati nell’ambito della gestione delle attività di whistleblowing.

In tale contesto, risulta di vitale importanza il coordinamento tra la disciplina in materia di whistleblowing e quella in materia di protezione dei dati personali, dal momento che, come ribadito dall’Autorità stessa: “PA e imprese devono prestare la massima attenzione nell’impostazione e gestione dei sistemi di whistleblowing, garantendo la massima riservatezza dei dipendenti e delle altre persone che presentano segnalazioni di condotte illecite”.

Ma facciamo un passo indietro.

Che cosa si intende per whistleblowing e quali garanzie per il whistle-blower?

Il whistleblowing è un sistema di segnalazione di presunti illeciti la cui regolamentazione è volta a tutelare i dipendenti che segnalino illeciti di cui siano venuti a conoscenza in occasione della prestazione lavorativa.

La regolamentazione del fenomeno del c.d. whistleblowing – dettata dall’art. 54-bis del T.U. sul pubblico impiego (D. Lgs. n. 165/2001), introdotto dall’art. 1, co. 51 della L. “Severino”, n. 190/2012 – è stata oggetto di revisione nel 2017, attraverso la Legge n. 179. In particolare, il Legislatore è intervenuto ampliando il suo ambito di applicazione sino a ricomprendervi non solo i rapporti di lavoro con le Pubbliche Amministrazioni, ma anche quelli instaurati tra le PA e le aziende private che forniscono beni e servizi alle stesse.

A livello europeo, il riferimento normativo è rappresentato dalla Direttiva 2019/1937/UE, riguardante – più generalmente – la protezione delle persone che segnalano violazioni del diritto dell’Unione; tuttavia, ad oggi, sebbene il termine per il suo recepimento fosse previsto per lo scorso 17 dicembre 2021, l’Italia non ha ancora provveduto in tal senso.

Con riferimento, invece, ai soggetti privati che non operano con le PA, nell’ambito dell’implementazione dei sistemi di whistleblowing, la relativa disciplina è regolata dal D. Lgs. n. 231/2001 che prevede, altresì, delle tutele specifiche per la figura del whistle-blower. Come noto, tale normativa non ha un carattere di immediata cogenza e, pertanto, l’adozione dei modelli organizzativi dalla stessa disciplinati resta una valutazione di mera opportunità per i datori di lavoro. In particolare, la disciplina vigente – che trova le proprie fonti nelle norme testé citate – prevede che il dipendente che denunci situazioni di illiceità di cui sia venuto a conoscenza nell’esercizio della propria attività lavorativa e in relazione a condotte di propri colleghi o superiori, non possa essere sottoposto a sanzioni, né demansionato, licenziato, trasferito o sottoposto ad altre misure organizzative che abbiano un effetto negativo sulla sua vita lavorativa in ragione di tale delezione.

Ove, successivamente alla segnalazione, si verifichino delle conseguenze disciplinari in danno al whistle-blower, le stesse si presumono nulle; è altresì previsto un regime probatorio di favore per il denunciante, essendo invertito l’onere della prova in favore di quest’ultimo: sarà l’amministrazione di appartenenza (o il datore di lavoro) a dover dimostrare che il provvedimento disciplinare applicato sia stato giustificato da motivazioni del tutto estranee alla segnalazione stessa.

Il sistema determinato dalla normativa in discussione riconosce, poi, una rilevanza particolare alla riservatezza dell’identità del segnalante, nonché della segnalazione stessa che devono essere sempre garantite - a tal fine, infatti, tali informazioni sono escluse da quelle ottenibili tramite richiesta di accesso agli atti ai sensi della L. n. 241/1990 - e richiede ai datori di lavoro di istituire specifici canali di segnalazione (di cui almeno uno informatico) che permettano di mantenere la riservatezza dell’identità del segnalante, oltre che dell’introduzione di una figura ad hoc denominata “Responsabile della Prevenzione della Corruzione e della Trasparenza” (il “RPCT”), esterna all’ambiente lavorativo, così da scongiurare la possibilità che il whistle-blower desista dalla denuncia a causa del timore di un confronto con un soggetto potenzialmente coinvolto in prima persona nei fatti oggetto della denuncia.

Al fine di assicurare che le tutele accordate al whistle-blower vengano rispettate, l’Autorità Nazionale Anticorruzione (“ANAC”) e l’Ispettorato Nazionale del Lavoro (“INL”) sono dotate di poteri di vigilanza e sanzionatori. In particolare, sono previste delle sanzioni amministrative che variano da un minimo di 5.000 ad un massimo di 50.000 Euro, a seconda della gravità della violazione o della dimensione dell’amministrazione/azienda nei cui confronti le stesse sono state comminate. 

In osservanza di quanto disposto dalla disciplina vigente, l’ANAC ha, infine, emanato delle apposite Linee Guida “in materia di tutela degli autori di segnalazioni di reati o di irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del D. Lgs. 165/2001 (cd. whistleblowing)”, la cui adozione è stata preventivamente sottoposta all’esame del Garante, il quale ha colto l’occasione per confermare che la disciplina di settore in materia di whistleblowing debba essere coordinata, in sede applicativa, con la normativa in materia di protezione dei dati personali.

Le Ordinanze Ingiunzioni del Garante

Con riferimento alle ordinanze ingiunzioni emesse dal Garante nei confronti dell’Azienda Ospedaliera e della Società IT, ad esito delle attività ispettive aventi a oggetto le principali funzionalità di alcuni tra gli applicativi di whistleblowing maggiormenteutilizzatidai datori di lavoro per l’acquisizione e gestione delle segnalazioni di condotte illecite, il Garante ha accertato la violazione di diverse disposizioni del Regolamento UE 2016/679 (il “GDPR”) da parte sia dell’Azienda Ospedaliera, in qualità di titolare del trattamento per finalità di whistleblowing, sia della Società IT, in qualità di responsabile del trattamento.

Descrizione del fatto

Il Garante ha rilevato che, nel corso del 2016, l’Azienda Ospedaliera aveva adottato il “Regolamento aziendale per la tutela del dipendente che segnala illeciti (whistleblower)” (il “Regolamento”), il quale, ex multis, precisava che l’invio di una segnalazione da parte dei soggetti aventi il potere di effettuare tale segnalazione (ad es. dipendenti, collaboratori, consulenti, specializzandi, tirocinanti, frequentatori volontari e tutti i soggetti che, a qualsiasi titolo, svolgevano attività all’interno dell’Azienda Ospedaliera) potesse essere effettuato non soltanto in modalità cartacea, a mezzo del servizio postale, tramite l’invio del modulo pubblicato sul sito aziendale al RPCT, bensì anche in modalità verbale direttamene al RPCT e in modalità informatica, avvalendosi di un’applicazione web dedicata. In tale contesto, l’Azienda Ospedaliera aveva deciso di avvalersi di un’applicazione web gestita e fornita, in modalità cloud, dalla Società IT: tramite il Regolamento era, quindi, stato deliberato l’acquisto della citata applicazione web, nonché l’atto di designazione a responsabile del trattamento della Società IT.

Valutazioni del Garante

Sulla base degli elementi acquisiti durante l’attività istruttoria, il Garante ha, in primis, rilevato che il trattamento dei dati personali nell’ambito delle segnalazioni di illeciti deve sempre avvenire nel rispetto della normativa vigente e applicabile, costatando che:

• l’Azienda Ospedaliera aveva posto in essere trattamenti di dati personali di dipendenti e di altri interessati, mediante l’utilizzo di un applicativo, in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e senza fornire agli interessati le informazioni relative al trattamento, in violazione degli articoli 5, par. 1, lett. a), 13 e 14 del GDPR, non avendo, nello specifico, informato preventivamente gli interessati in relazione a tale specifico trattamento seppur - ha osservato il Garante - “il titolare [avesse avuto] l’obbligo di fornire preventivamente a tutta la platea dei possibili soggetti interessati specifiche informazioni sul trattamento dei dati personali”. Invero, nel corso dell’attività istruttoria, l’Azienda Ospedaliera stessa aveva dichiarato di non aver reso specifica informativa preventiva in relazione ai trattamenti derivanti dall’acquisizione di segnalazioni di presunti illeciti;
• l’Azienda Ospedaliera non aveva riportato i trattamenti per finalità di whistleblowing nel registro delle attività di trattamento, strumento utile non solo per valutare i rischi per i diritti e le libertà degli interessati, ma la cui tenuta rientra tra gli adempimenti principali del titolare del trattamento, ai sensi dell’articolo 30 del GDPR;
• l’accesso all’applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi che, non essendo stati correttamente configurati, registravano e conservano i dati di navigazione degli utenti, tanto da consentire l’identificazione di chi la utilizzava, tra cui i potenziali segnalanti. Invero, per accedere all’applicativo web in questione – raggiungibile, esclusivamente, da postazioni di lavoro attestate alla rete aziendale – il Garante ha rilevato la mancata adozione di specifiche cautele “al fine di non effettuare la registrazione delle operazioni di navigazione sull’applicazione web per l’acquisizione e la gestione di segnalazioni di condotte illecite”. In tal modo, le operazioni di navigazione, memorizzate in file di log, contenevano l’indirizzo IP della postazione di lavoro utilizzata per connettersi all’applicativo, nonché l’username del soggetto che aveva effettuato l’accesso consentendo, pertanto, di risalire anche indirettamente al segnalante;
• l’Azienda Ospedaliera non aveva adottato misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati e non aveva integrato, nel trattamento, le necessarie garanzie per soddisfare i requisiti del GDPR e tutelare i diritti e le libertà degli interessati, ponendo, pertanto, tale trattamento in contrasto con i principi di privacy by design e di privacy by default, di cui all’articolo 25, paragrafi. 1 e 2, del GDPR;
• tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, non vi era stata una corretta e sicura gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del RPCT, durante la fase di transizione con il suo successore;
• l’Azienda Ospedaliera non aveva eseguito una preliminare valutazione d’impatto del trattamento, in violazione dell’articolo 35 del GDPR, nonostante i recenti chiarimenti del Garante, il quale, proprio con riferimento ai trattamenti effettuati mediante applicativi per l’acquisizione e gestione delle segnalazioni illecite (cfr. Ordinanza ingiunzionedel 10 giugno 2021, [9685922]), aveva specificato che tale tipo di trattamento presenta rischi specifici per i diritti e le libertà degli interessati.

Nell’ambito del procedimento, le contestazioni del Garante sono state altresì oggetto di replica da parte dell’Azienda Ospedaliera la quale ha precisato che:

• con riguardo all’assolvimento dell’obbligo di rendere informazioni agli interessati, “una parte introduttiva in cui veniva specificata la funzione della segnalazione e l’anonimato garantito dal segnalante” era già presente nella sezione informativa e che, in seguito, un’informativa maggiormente strutturata era stata inserita;
• con riguardo al registro delle attività di trattamento, si era proceduto a integrare le attività di whistleblowing;
• con riguardo all’identificazione dei segnalanti, nessuna segnalazione di condotte illecite era stata ricevuta tramite l’applicativo sottoposto a controllo ispettivo e, pertanto, posto che nessun trattamento dei dati si era sostanzialmente concretizzato “nessun trattamento illecito o trattamento non conforme [poteva] ritenersi realizzato”;
• con riguardo alla mancata adozione di specifiche cautele al fine di non registrare le operazioni, l’applicativo web non rilevava le attività svolte dagli interessati dopo l’accesso alla pagina e, in ogni caso, a seguito dell’ispezione, era stata operata una modifica sostanziale, rendendo non possibile risalire ad alcun dato di accesso;
• con riguardo alle credenziali del RPCT, quelle del soggetto dimissionario rimasero attive poiché le dimissioni non furono formalmente accolte e recepite sino alla nomina del nuovo RPCT;
• con riguardo alla valutazione d’impatto sul trattamento, la stessa aveva, all’epoca, ritenuto sufficiente la valutazione d’impatto realizzata dalla Società IT.

L’Azienda Ospedaliera ha, inoltre, specificato di aver provveduto, nelle more del procedimento, a:

• inserire sul sito web per la segnalazione di condotte illecite un’informativa strutturata in merito a tale tipo di trattamento;
• affiggere nei luoghi di lavoro e/o in bacheca aziendale tale informativa;
• integrare il registro dei trattamenti;
• modificare sostanzialmente l’applicativo web, escludendo dalla registrazione dei log l’accesso alla pagina web;  
• adottare una specifica valutazione d’impatto sul trattamento dei dati personali.

Alla luce di quanto sopra, nonostante sia stata riconosciuta la piena collaborazione dell’Azienda Ospedaliera, e sebbene non sia stata acquisita e trattata alcuna segnalazione di condotte illecite mediante l’applicativo web, l’Autorità ha rilevato l’illiceità del trattamento dei dati effettuato in violazione degli articoli 5, par. 1, lett. a), 13, 14, 25, 30, 32 e 35 del GDPR. Posto che la condotta aveva esaurito i suoi effetti, il Garante ha ritenuto non ricorrenti i presupposti per l’adozione di misure correttive.

Tuttavia, l’Autorità ha sanzionato l’Azienda Ospedaliera per un importo pari ad Euro 40.000,00 ritenendo la misura sufficiente e proporzionata, tenuto in considerazione che (i) al momento delle attività ispettive, non erano presenti segnalazioni di condotte illecite all’interno dell’applicativo web; (ii) l’Azienda Ospedaliera aveva prestato piena collaborazione, adottando misure tecniche e organizzative volte a riparare le condotte in violazione del GDPR; (iii) l’Azienda Ospedaliera si trovava in gravi difficoltà, anche sul piano organizzativo, a causa dell’emergenza epidemiologica; e (iv) non risultavano ulteriori procedimenti a carico della stessa.

Le contestazioni alla Società IT

In aggiunta al procedimento avviato nei confronti dell’Azienda Ospedaliera, nel corso dei controlli il Garante ha rilevato ulteriori illeciti imputabili alla Società IT che, in qualità di responsabile del trattamento, forniva all’Azienda Ospedaliera l’applicazione web di whistleblowing.

In particolare, il Garante ha rilevato che la Società IT:

• aveva affidato a un fornitore esterno il servizio di hosting dei sistemi informatici che ospitavano l’applicativo senza dare specifiche istruzioni sul trattamento dei dati degli interessati e senza darne notizia all’Azienda Ospedaliera;
• aveva utilizzato il medesimo servizio di hosting anche per proprie finalità, ad esempio per la gestione del rapporto di lavoro con i dipendenti o la gestione contabile e amministrativa, anche in questo caso senza regolare il rapporto e l’uso dei dati;
• non aveva “disciplinato il rapporto con il fornitore del servizio di hosting a cui la Società IT [aveva] fatto ricorso sia per i trattamenti posti in essere in qualità di titolare, in violazione dell’art. 28, parr. 1 e 3, del Regolamento, sia per quelli effettuati in qualità di responsabile per conto di propri clienti, tra i quali l’Azienda ospedaliera di Perugia, in violazione dell’art. 28, parr. 2 e 4, del Regolamento”.

Anche in questo caso, seppur il Garante abbia riconosciuto la piena collaborazione della Società IT, è stata comunque comminata una sanzione nei confronti della stessa per un importo pari ad Euro 40.000,00 per aver omesso di regolare il trattamento dei dati personali effettuato, per proprio conto e nel proprio esclusivo interesse, dal fornitore di servizi di hosting.

Oltre all’applicazione di tale sanzione amministrativa, il Garante ha ritenuto necessario ingiungere alla Società IT di adeguare il rapporto con il fornitore del servizio di hosting alla normativa in materia di protezione dei dati personali entro 30 giorni dalla notifica del provvedimento in questione.