Il whistleblowing è uno strumento di compliance aziendale, tramite il quale i dipendenti oppure terze parti di un’azienda possono segnalare, in modo riservato e protetto, eventuali illeciti riscontrati durante la propria attività.
Recentemente, il Garante privacy ha sanzionato un’azienda ospedaliera e la società informatica che gestiva il servizio di whistleblowing per aver violato il GDPR. Le società utilizzavano sistemi che registravano e conservavano i dati di navigazione degli utenti, consentendo l’identificazione degli stessi, tra cui i potenziali segnalanti.
Nello specifico, la struttura sanitaria non aveva informato preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, non aveva effettuato una valutazione di impatto privacy e non aveva neppure inserito tali operazioni nel registro delle attività di trattamento (uno strumento utile per valutare i rischi per i diritti e le libertà degli interessati).
Provvedimento del Garante Privacy n. 134 del 7 aprile 2022