Il Garante della privacy, lo scorso aprile, ha sanzionato un'azienda ospedaliera e il suo fornitore per la violazione della normativa privacy in relazione al trattamento di whistleblowing.
In particolare, dai controlli effettuati presso l'azienda ospedaliera, sono emerse varie violazioni del Gdpr. Nel dettaglio, l’accesso all’applicazione web di whistleblowing, basata su un software Gestione Newsletter open source, avveniva in maniera illecita dato che i sistemi, erroneamente configurati, registrano e conservano i log di navigazione degli utenti, a tal punto da consentire l’identificazione di chi la utilizzava, compresi i potenziali segnalanti, ledendo così il principio cardine del trattamento in questione, ovvero, la riservatezza.
La struttura sanitaria è incorsa, poi, in importanti violazioni della normativa.
L'azienda non aveva provveduto ad informare preventivamente i lavoratori in merito al trattamento in esecuzione, non aveva effettuato una valutazione di impatto privacy e non aveva neppure inserito tali operazioni nel registro delle attività di trattamento. È infine emersa una errata gestione delle credenziali di autenticazione per l’accesso all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (Rpct), durante la fase di transizione con il suo successore.
Notevoli violazioni sono state riscontrate anche a carico del Responsabile del trattamento, Il fornitore del software per le segnalazioni del whistleblowing.
Durante la fase ispettiva è emerso che anche il fornitore per il servizio di hosting di cui si avvale non adotta idonee istruzione in merito alla gestione dei dati e il medesimo hosting è utilizzato per perseguire proprie finalità.
Il testo completo del provvedimento è disponibile al seguente link:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9768363
Lo Staff IusPrivacy è a disposizione per rispondere a tutte le richieste di informazioni inerenti al tema in oggetto.
Contatti <https://www.iusprivacy.eu/contatti.jsp>
Cordiali saluti
Staff IusPrivacy