Il Garante per la protezione dei dati personali ha comminato all’Università “La Sapienza” di Roma una sanzione di 30.000 euro per violazione dell’art. 32 del GDPR.
La vicenda trae origine dalla notifica al Garante, da parte dell’Ateneo, dell’avvenuta diffusione di dati personali di cui lo stesso era titolare, causata da una violazione di dati personali avvenuta sulla piattaforma di whistleblowing utilizzata per l’acquisizione e la gestione delle segnalazioni di potenziali illeciti all’interno dell’Università. In particolare, l’Ateneo rilevava l’avvenuta diffusione e indicizzazione online, su diversi motori di ricerca, di dati personali relativi a due dei propri segnalanti.
In seguito a tale notifica di data breach, l’Autorità ha pertanto dato avvio ad un’istruttoria e, sulla base degli elementi così acquisiti, è pervenuta alla conclusione che la violazione di dati personali, seppur accidentale e tempestivamente notificata al Garante, fosse riconducibile alla mancanza di misure tecniche idonee a garantire un’adeguata sicurezza dei dati personali, in violazione dell’art. 32 del GDPR. Infatti, il Garante ha riscontrato, in primo luogo, l’assenza di misure tecniche per il controllo degli accessi, che si è rivelata essere la causa della diffusione e dell’indicizzazione online dei dati. Inoltre, dall’attività istruttoria è altresì emerso che per le comunicazioni veniva adottato il protocollo di rete “http” e non “https”, comportando una trasmissione dei dati in chiaro, senza alcuna misura di cifratura. A tal proposito, in particolare, nel provvedimento si sottolinea che la soluzione adottata dall’Ateneo non garantiva una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, che di autenticità del sito web visualizzato: tale circostanza assume profili di particolare gravità nel caso di specie, in considerazione della natura, dell’oggetto e della finalità del trattamento, nonché dell’elevato rischio per i diritti e le libertà dei segnalanti.
Il Garante evidenzia che il datore di lavoro che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti è tenuto a procedere ad un’attenta analisi e valutazione delle misure tecniche e organizzative da adottare; allo stesso tempo, l’Autorità riscontra come, nel caso di specie, l’Ateneo si fosse semplicemente limitato a recepire le scelte progettuali del fornitore della piattaforma, senza preliminarmente verificare che i software utilizzati fossero effettivamente adeguati a tutelare la riservatezza dei segnalanti.
Nel determinare l’ammontare della sanzione, l’Autorità garante ha tenuto conto del numero esiguo degli interessati coinvolti nel data breach e del comportamento proattivo e collaborativo dell’Ateneo, ma ha altresì dovuto considerare la particolare invasività del trattamento contestato rispetto ai diritti fondamentali degli interessati, delle carenze riscontrate in relazione alla sicurezza dei sistemi informativi dell’Università nonché del particolare regime di riservatezza stabilito dalle disposizioni in materia di whistleblowing.
Autore: DLA Piper
