Il datore di lavoro, che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti (whistleblowing), deve verificare che le misure tecnico-organizzative ed i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce. Lo ha ribadito il Garante per la protezione dei dati personali nel sanzionare un’università per aver reso accessibili on line i dati identificativi di due persone che avevano segnalato all’ateneo possibili illeciti.
Nel corso dell'istruttoria è emerso che i dati identificativi dei segnalanti presenti in alcune delle pagine web dell’applicativo whistleblowing, erano indicizzati e liberamente rintracciabili in rete da chiunque con l’ausilio di comuni motori di ricerca. La reperibilità sul web di tali dati personali è indicativa del fatto che le pagine web in questione fossero esposte su rete pubblica in assenza di misure tecniche per il controllo degli accessi, che avrebbero consentito di limitare l’accesso ai soli soggetti autorizzati dotati di credenziali di autenticazione e di uno specifico profilo di autorizzazione. L’università si era limitata a recepire le scelte progettuali del fornitore dell’applicativo che non prevedevano la cifratura dei dati personali (identità del segnalante, informazioni relative alla segnalazione, eventuale documentazione allegata), non adottando misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante l’ausilio dell’applicativo whistleblowing, in violazione dell’art. 32 del Regolamento.
Alla luce di ciò- tenendo conto, da un lato, della particolare gravità della condotta (riguardante trattamenti per i quali è previsto un elevato grado di riservatezza) e dell’intensità dell’elemento soggettivo (sub specie della gravità della negligenza),e dall'altro del numero esiguo di interessati (solo due), della tempestività delle misure correttive adottate e della cooperazione attiva del titolare del trattamento con l’Autorità, il Garante ha inflitto all’Ateneo una sanzione amministrativa di 30.000 euro.