- Telemarketing scorretto: nuova sanzione Garante
- Sicurezza sul lavoro: la Spider di Covo presenta il suo nuovo dispositivo salvavita
- Infortuni sul lavoro, cosa deve cambiare in materia di sicurezza?
- Lavoro nero e stranieri senza permesso: aziende sospese e multe per 70mila euro
- “Salute e sicurezza… insieme!”, nuova iniziativa interministeriale rivolta alle scuole
- Garante privacy, oscurare i dati non basta. Principi per l’anonimizzazione
- Gdpr, le nuove sanzioni per le violazioni della privacy
- Privacy: è titolare del trattamento il soggetto che ha a disposizione i dati e può gestirli
- Spiegare la privacy con i film: prendiamo esempio dagli aerei
- La privacy nell’era della sostenibilità: “Coinvolgere i Dpo nei comitati pubblici e privati”
- Roma, sottoscritto un protocollo d’intesa tra Dipartimento dei Vigili del fuoco e INAIL
- Sicurezza sul lavoro. Con l’aumento dei lavoratori anziani serve una valutazione dei rischi specifica per età
- Morti sul lavoro, edilizia e agricoltura i settori più a rischio
- Sms promozionali senza consenso: sanzionato un ateneo telematico
- Contatti elettrici scoperti e altre violazioni della sicurezza, azienda sospesa
- Decreto lavoro 2023: ecco quali sono le novità in tema di salute e sicurezza
- Lavoro: il dipendente ha diritto di accedere ai dati sulla geolocalizzazione
- Tlc: sim intestate a utente ignaro, il Garante multa una società per 90mila euro
- Sanità: decalogo del Garante Privacy sull’uso dell’intelligenza artificiale
- Come ottimizzare lo stoccaggio delle merci nell’agroalimentare
Whistleblowing non sicuro: Garante privacy sanziona un’università per 30.000 €
Il datore di lavoro, che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti (whistleblowing), deve verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce. Lo ha ribadito il Garante per la protezione dei dati personali nel sanzionare un’università per aver reso accessibili on line i dati identificativi di due persone che avevano segnalato all’ateneo possibili illeciti.
L’università aveva dichiarato che, a causa di un aggiornamento della piattaforma software utilizzata, si era verificata la sovrascrittura accidentale dei permessi di accesso ad alcune pagine web interne dell’applicativo usato per il whistleblowing, rendendo così possibile a chiunque consultare i nomi e altri dati di coloro che avevano inviato segnalazioni riservate. Tali informazioni erano di conseguenza state indicizzate da alcuni motori di ricerca fino a che l’università, dopo essere venuta a conoscenza del problema, era intervenuta per farli deindicizzare e cancellare le relative copie cache.
Nel corso dell’istruttoria è stato rilevato che la violazione dei dati personali (data breach) era riconducibile all’assenza di adeguate misure tecniche per il controllo degli accessi, che avrebbero consentito di limitare la consultazione al solo personale autorizzato. In base al Regolamento spetta in primo luogo proprio al titolare del trattamento (in questo caso l’ateneo) – tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento – mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. Tra queste rientra anche una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure adottate. Nel caso di specie invece l’università si è limitata a recepire le scelte progettuali del fornitore dell’applicativo che non prevedeva la cifratura dei dati personali (identità del segnalante, informazioni relative alla segnalazione, eventuale documentazione allegata), né l’adozione di un protocollo di trasmissione che garantisse una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, sia di autenticità del sito web visualizzato da chi invia le segnalazioni. La gravità della violazione risulta acuita dal particolare regime di riservatezza stabilito dalle norme in materia di whistleblowing, proprio a maggior tutela degli interessati.
Il Garante, quindi, dopo aver accertato l’illecito trattamento dei dati e l’omesso adempimento degli obblighi di sicurezza imposti dal Gdpr – tenendo comunque conto che la violazione ha riguardato solo due persone e che l’Ente ha attivamente cooperato nel corso dell’istruttoria – ha inflitto all’ateneo una sanzione amministrativa di 30.000 euro.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9266789
Fonte: garanteprivacy.it
