Segnalatore di illeciti non sicuro, 30mila euro di multa a un ateneo
L’università ha reso accessibili i dati identificatici di due persone che avevano segnalato possibili illeciti
Il Garante della privacy ha inflitto una dura sanzione amministrativa a un ateneo per illecito trattamento dei dati e omesso adempimento degli obblighi di sicurezza imposti dal Gdpr, il nuovo Regolamento europeo sulla protezione dei dati personali. Per l’Autorità, l’università ha reso accessibili online i dati identificativi di due persone che avevano segnalato all’ateneo possibili illeciti. Una misura questa, ritenuta non corretta dal Garante il quale ha ribadito come il datore di lavoro che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti, debba verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce.
Ma cosa è accaduto nello specifico?
A seguito di un aggiornamento della piattaforma software, l’ateneo aveva evidenziato una sovrascrittura accidentale dei permessi di accesso ad alcune pagine web interne dell’applicativo usato per il whistleblowing (segnalatore di illeciti). In questo modo, chiunque poteva visionare nomi o dati (indicizzati su alcuni motori di ricerca) di chi aveva segnalato tali illeciti. Una volta scoperta l’irregolarità, l’università si era subito attivata per la deindicizzazione dei dati e la cancellazione delle copie cache.
Durante la sua istruttoria, il Garante ha rilevato che con adeguate misure tecniche relative al controllo degli accessi che sarebbero spettate al titolare del trattamento (in questo caso l’ateneo), la consultazione dei dati sarebbe stata resa possibile al solo personale autorizzato. Tra le misure da adottare, sempre sulla base del Gdpr, rientra anche una procedura per testare, verificare e valutare regolarmente l’efficacia delle operazioni messe in atto. La mancanza dell’ateneo è stata quella di recepire le scelte progettuali del fornitore dell’applicativo che non prevedeva, però, la cifratura dei dati personali. Inoltre, non è stato adottato un protocollo di trasmissione in grado di garantire una comunicazione sicura.
Alla luce di tutto ciò, tenendo conto che la violazione ha coinvolto soltanto due persone e che l’Università ha collaborato durante l’istruttoria, il Garante della privacy ha inflitto allo stesso Ente una multa di 30mila euro.
FONTE:
garanteprivacy.it
garanteprivacy, gdpr, regolamento europeo sulla protezione dei dati personali, trattamento illecito di dati, whistleblowing