Il tema riveste sempre particolare delicatezza sia per le informazioni trattate sia per gli elevati rischi di ritorsioni e discriminazioni nel contesto lavorativo.

Soprattutto in Italia.

L’identità dei whistleblower deve essere protetta.

Il datore di lavoro titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, assicurandone l’integrità e la sicurezza.

Lo ha di recente ricordato il Garante privacy, sanzionando per oltre 60.000 Euro totali una società aeroportuale e il suo fornitore del software.

Il Garante ha ribadito che il datore titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare la conformità ai principi di protezione dati impartendo le necessarie istruzioni al fornitore del servizio.

Nel caso in analisi, il Garante ha accertato il mancato utilizzo di tecniche di crittografia per la trasmissione e la conservazione dei dati e la violazione del principio della privacy by design:

• l’accesso all’applicativo per l’acquisizione e la gestione delle segnalazioni di illeciti avveniva senza l’uso di un protocollo di rete sicuro
• l’applicativo stesso non prevedeva la cifratura dei dati identificativi del segnalante, delle informazioni relative alla segnalazione e della eventuale documentazione allegata
• venivano tracciati, mediante i log generati dai firewall, gli accessi all’applicativo da parte dei dipendenti connessi alla rete aziendale

Ciò rendeva inefficaci le altre misure adottate per tutelare la riservatezza dell’identità dei segnalanti