Il Garante per la tutela dei dati personali, con il provvedimento n. 236 del 10 giugno 2021, ha emesso pesanti sanzioni nei confronti di una società aeroportuale in qualità di datore di lavoro nonché del fornitore dell’applicativo da essa utilizzato per la gestione dei dati dei whistleblower in quanto ha giudicato non idonee ad evitare ritorsioni le tecniche di crittografia per la trasmissione e la conservazione dei dati utilizzate, rilevando così la violazione del principio della privacy by design.
L’identità dei whistleblower è infatti protetta da uno specifico regime di garanzia e riservatezza previsto dalla normativa di settore per la particolare delicatezza delle informazioni trattate e per gli elevati rischi di ritorsioni e discriminazioni nel contesto lavorativo. Per questo, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, assicurandone l’integrità e la sicurezza.
Il Garante ha ribadito che il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, ha l’obbligo di verifica della loro conformità ai principi di protezione dei dati impartendo le necessarie istruzioni al fornitore del servizio.
L’Autorità ha sanzionato con un secondo provvedimento anche il fornitore dell’applicativo, nella sua qualità di responsabile del trattamento, sia per la violazione degli obblighi in materia di sicurezza, sia per la mancata regolamentazione del rapporto con altre due società che trattavano i dati per suo conto.
(Fonte: SAEF)