A seguito di una notifica per data breach dovuta alla temporanea potenziale visibilità in Internet dei nominativi di due segnalanti che si erano avvalsi del canale riservato di comunicazione per le denunce di illeciti, il Garante ha sanzionato un’Università titolare del trattamento, per omesse misure tecnico-organizzative adeguate.

Spetta al titolare del trattamento, infatti, «verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce».

Data breach

Nel corso dell’istruttoria l’Università ha «dichiarato che, a causa di un aggiornamento della piattaforma software utilizzata, si era verificata la sovrascrittura accidentale dei permessi di accesso ad alcune pagine web interne dell’applicativo usato per il whistleblowing (probabilmente «legata a un aggiornamento e modifica obbligatoria (patch del sistema) delle impostazioni di sicurezza della piattaforma software Microsoft Sharepoint”»), rendendo così possibile a chiunque consultare i nomi e altri dati di coloro che avevano inviato segnalazioni riservate. Tali informazioni erano di conseguenza state indicizzate da alcuni motori di ricerca fino a che l’università, dopo essere venuta a conoscenza del problema, era intervenuta per farli deindicizzare e cancellare le relative copie cache».

Il caso, quindi, è l’esempio concreto di una delle principali preoccupazioni di chi, avendo subito un data breach, teme che tramite la conseguente notifica all’autorità, possa in realtà innescare un’auto-denuncia di proprie mancanze o omissioni.

Dicotomia di disciplina tra pubblico e privato

Come già commentato da ultimo nell’Alert del 5 dicembre 2019, cui si rinvia, la legge 179/2017 ha disciplinato in modo distinto l’istituto del whistleblowing nel settore pubblico e in quello privato.