Newsletter del Garante Privacy n. 462 del 18 febbraio 2020.

Il datore di lavoro che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti (whistleblowing), è tenuto a verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce.

Sulla base di questo principio il Garante per la protezione dei dati personali ha recentemente inflitto, a un’università, una sanzione amministrativa di 30.000 euro per aver reso accessibili on line i dati identificativi di due persone che avevano segnalato all’ateneo possibili illeciti.
A causa di un aggiornamento della piattaforma software utilizzata dall’ateneo, infatti, si era verificata la sovrascrittura accidentale dei permessi di accesso ad alcune pagine web interne dell’applicativo usato per il whistleblowing, rendendo in questo modo possibile la consultazione di nomi e di altri dati di coloro che avevano inviato segnalazioni riservate, informazioni che erano state conseguentemente indicizzate da alcuni motori di ricerca.