Whistle-blowing senza privacy: GPDP multa l’Ospedale pubblico di Perugia e la società informatica Isweb Srl per trattamento illecito dei dati personali

16 Giugno 2022
Redazione DIMT

Il caso ha avuto origine da una serie di ispezioni sul trattamento dei dati acquisiti tramite i sistemi di gestione delle segnalazioni anonime chiamato whistle-blowing, con particolare riguardo a quelli maggiormente utilizzati dai datori di lavoro italiani.

Le ispezioni hanno portato alla luce violazioni riconducibili alla società informatica (Isweb Srl) che ha fornito all’ospedale il software di gestione delle segnalazioni anonime risultando responsabile del trattamento e per questo motivo sono state riscontrate violazioni specifiche anche per quanto riguarda la società informatica. La società in questione non ha regolamentato i propri rapporti con l’hosting provider sia in qualità di responsabile del trattamento (per l’ospedale) sia in qualità di separato responsabile del trattamento (per quanto riguarda i propri servizi interni). Il sistema di gestione delle segnalazioni anonime, whistleblowing, avrebbe tracciato gli accessi al software in quanto le connessioni all’app di segnalazione sono state registrate e archiviate nei log del firewall; di conseguenza, gli utenti dell’app potrebbero essere monitorati inclusi potenziali informatori. Inoltre non sono state fornite informazioni ai dipendenti sul trattamento dei dati personali finalizzato alla segnalazione di comportamenti illeciti.

Il titolare del trattamento (l’Ospedale di Perugia) non ha previsto misure tecniche e organizzative adeguate per garantire un giusto livello di sicurezza, tenuto conto dei rischi specifici derivanti dal trattamento in questione.

Dall’istruttoria portata avanti dal Garante sono è emerso che l’Azienda Ospedaliera ha posto in essere trattamenti di dati personali di dipendenti e altri interessati, mediante l’utilizzo dell’applicativo per l’acquisizione e gestione delle segnalazioni illecite, in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e senza fornire agli interessati le informazioni relative al trattamento,

Sia l’ospedale pubblico che la società di informatica sono stati multati di 40.000 euro.

Approfondimenti:

Whistle-blowing senza privacy: GPDP multa l’Ospedale pubblico di Perugia e la società informatica Isweb Srl per trattamento illecito dei dati personali

Redazione DIMT

Ultimi articoli

PNRR: 70 milioni per la migrazione al cloud di Province, Città metropolitane e consorzi comunali

Italia e Bahrein rafforzano la cooperazione: investimenti congiunti su digitale, IA, spazio e industria dei metalli

Oltre le regole: intelligenza artificiale, apprendimento e responsabilità nel tempo della disruption. Intervista all’Avv. Agostino Clemente.

Rapporto annuale 2024 dell’EDPB: proteggere i dati personali in un panorama in evoluzione

Prossimi eventi

La sanità digitale e il trattamento dei dati dei pazienti fra teoria e prassi applicative

Intelligenza artificiale e responsabilità civile. Problema, Sistema, Funzioni

Il futuro del cinema indipendente

Il diritto privato e il sistema sportivo

Condividi