Whistleblowing: necessario attuare tutte le tutele per il segnalante

Il Garante privacy, con provvedimento n. 235 del 10 giugno 2021, ha sanzionato una società per 40.000 euro per violazioni delle regole poste a tutela dei dati personali trattati sugli applicativi usati per le segnalazioni di illeciti (whistleblowing), in particolare per il mancato utilizzo di tecniche di crittografia per la trasmissione e la conservazione dei dati e la violazione del principio della privacy by design.

L’Autorità ha ribadito che l’identità dei whistleblower è protetta da uno specifico regime di garanzia e riservatezza, previsto dalla normativa di settore per la particolare delicatezza delle informazioni trattate e per gli elevati rischi di ritorsioni e discriminazioni nel contesto lavorativo, pertanto il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, assicurandone l’integrità e la sicurezza. Il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare la conformità ai principi di protezione dati, impartendo le necessarie istruzioni al fornitore del servizio (ad esempio, disattivando le funzioni in contrasto con le norme di settore).

L’Autorità, con provvedimento n. 236 del 10 giugno 2021, ha sanzionato anche il fornitore dell’applicativo, nella sua qualità di responsabile del trattamento, sia per la violazione degli obblighi in materia di sicurezza, sia per la mancata regolamentazione del rapporto con altre due società che trattavano i dati per suo conto.