Lo scorso 10 giugno, all’esito di un ciclo di attività ispettive, l’Autorità Garante ha rilevato l’illeceità del trattamento di dati personali effettuato da Aeroporto Guglielmo Marconi di Bologna S.p.a. (di seguito “Società”), per la violazione degli artt. 5, par. 1, lett. f), 25, 32 e 35 del Regolamento, nell’ambito dell’utilizzo dell’applicativo per l’acquisizione e gestione delle segnalazioni di condotte illecite di cui il lavoratore sia venuto a conoscenza in ragione del proprio rapporto di lavoro (c.d. whistleblowing).
L’Autorità Garante ha, in primo luogo, evidenziato il mancato utilizzo da parte della Società di tecniche crittografiche per il trasporto e la conservazione dei dati.
In particolare, l’Autorità ha rilevato che l’accesso all’applicativo per l’acquisizione e la gestione delle segnalazioni di illeciti avveniva mediante il protocollo http (hypertext transfer protocol), ossia un protocollo che non garantisce l’integrità e la riservatezza dei dati scambiati tra il browser dell’utente e il server che ospita l’applicativo in questione e che non consente agli utenti di verificare l’autenticità del sito web con il quale stanno interagendo.
Inoltre, l’Autorità ha rilevato che tale applicativo, contrariamente a quanto raccomandato dall’ANAC fin dal 2015 in relazione all’acquisizione e gestione delle segnalazioni di condotte illecite (“Linee guida in materia di tutela del dipendente pubblico che segnala illeciti (c.d. whistleblower), adottate con determinazione n. 6 del 28 aprile 2015”), non prevedeva la cifratura dei dati personali (dati identificativi del segnalante, informazioni relative alla segnalazione nonché eventuale documentazione allegata) conservati nel relativo database.
Ciò premesso, l’Autorità ha osservato che la Società avrebbe dovuto adottare misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati e la mancata adozione di tali misure ha comportato la violazione degli artt. 5, par. 1, lett. f), 25, par. 1, e 32 del Regolamento.
In secondo luogo, l’Autorità ha riscontrato il tracciamento degli accessi all’applicativo per la segnalazione e gestione degli illeciti.
Nello specifico, l’Autorità ha rilevato che l’accesso a tale applicativo da parte dei dipendenti della Società, con postazioni di lavoro o dispositivi personali connessi alla rete aziendale, era mediato da apparati firewall di nuova generazione, che consentivano di memorizzare in appositi file di log le connessioni all’applicativo per un periodo di 90 giorni. I log generati dai predetti apparati firewall contenevano, tra gli altri, l’indirizzo IP del dispositivo utilizzato per la connessione all’applicativo e, in virtù dell’integrazione del firewall con “Active Directory”, la username del soggetto che stava effettuando tale connessione.
Anche in questo caso l’Autorità ha ritenuto che la registrazione e la conservazione, all’interno dei log degli apparati firewall, di informazioni direttamente identificative degli utenti dell’applicativo abbia determinato la violazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento.
Da ultimo, l’Autorità ha rilevato la mancata esecuzione della valutazione d’impatto sulla protezione dei dati con conseguente violazione dell’art. 35 del regolamento. Tale valutazione, secondo l’Autorità, avrebbe dovuto essere eseguita in considerazione del fatto che il trattamento dei dati personali mediante sistemi di acquisizione e gestione delle segnalazioni di presunte condotte illecite – in ragione della particolare delicatezza delle informazioni trattate, nonché degli elevati rischi, in termini di possibili effetti ritorsivi e discriminatori, anche indiretti, per il segnalante, la cui identità è protetta da uno specifico regime di garanzia e riservatezza previsto dalla normativa di settore – presenta rischi specifici per i diritti e le libertà degli interessati.
Alla luce di quanto sin qui esposto, all’esito degli accertamenti l’Autorità ha comminato alla Società una sanzione di euro 40.000,00.