Autorità di controllo italiana per la protezione dei dati

Il 10 giugno 2021 l'Autorità Garante per la protezione dei dati personali (GPDP) ha comminato una multa di 40.000 euro all'Aeroporto di Bologna, rif. 9685922. 9685922. La società in questione aveva incaricato un fornitore o un elaboratore di fornire un sistema di whistleblowing digitale. Gli utenti potevano utilizzare questo sistema - anche in forma anonima - per segnalare irregolarità legali. Il quadro normativo italiano prevede, in particolare per il settore pubblico e privato, che i whistleblower che rivelano la propria identità siano protetti da rappresaglie e misure discriminatorie. 

Messa in funzione di un sistema di whistleblower digitale 

Il fornitore non utilizzava un protocollo di rete sicuro (nemmeno il protocollo https) per il trasferimento dei dati, sebbene il sistema di whistleblower fosse accessibile via Internet. Anche i dati memorizzati nel database non erano criptati. Inoltre, i dati di log sul comportamento di navigazione degli utenti del sistema di whistleblower erano memorizzati tramite una configurazione del firewall. Inoltre, l'azienda interessata non aveva effettuato una valutazione dell'impatto sulla protezione dei dati al momento dell'implementazione del sistema di whistleblower. 

L'autorità italiana per la protezione dei dati ha ritenuto che il comportamento dell'azienda in questione costituisse una serie di violazioni dei requisiti del Regolamento generale sulla protezione dei dati ("GDPR") e ha imposto una multa di 40.000 euro:

Mancanza di crittografia - violazione dell'art. 32 GDPR. 32 GDPR

L'Autorità italiana per la protezione dei dati ha riscontrato una violazione dell'obbligo di implementazione di misure tecniche e organizzative ai sensi dell'art. 32 (1 (a) e dell'art. 32 (1) (a) e Art. 5 (1) (f) GDPR in quanto la società non ha implementato meccanismi di crittografia adeguati per il trasporto e l'archiviazione delle comunicazioni. Il protocollo http (Hypertext Transfer Protocol) non può garantire la riservatezza e l'integrità dei dati delle comunicazioni scambiate tra il browser dell'informatore e il server del fornitore. Inoltre, l'autenticità del sito web del sistema di whistleblower non può essere verificata dall'informatore. È stato anche obiettato che i dati delle segnalazioni nel database del sistema di whistleblower sono memorizzati in modo non criptato. 

In particolare, l'Autorità italiana per la protezione dei dati ha sottolineato che la natura dei dati dell'avviso e gli elevati rischi che possono derivare da un uso improprio di questi dati richiedono un meccanismo di crittografia elevato.  

L'argomentazione della società interessata secondo cui le misure di sicurezza dei dati più estese avrebbero causato ulteriori costi non ha cambiato nulla in merito a una violazione per l'autorità di protezione dei dati. Inoltre, la società interessata è responsabile del rispetto di tali misure anche quando agisce un incaricato del trattamento. 

Inammissibilità della registrazione - violazione dell'art. 25 GDPR. 25 GDPR

Degna di nota e spesso non presa in considerazione nella pratica è stata la denuncia dell'autorità di controllo della protezione dei dati secondo cui la registrazione dei processi di navigazione degli informatori sul sito web del sistema di segnalazione costituisce una violazione dell'art. 5, paragrafo 1, lettera f), dell'art. 5, paragrafo 1, lettera c), dell'art. 5, paragrafo 1, lettera d), dell'art. 5, paragrafo 2, dell'art. 5, paragrafo 2, dell'art. 5, paragrafo 1, dell'art. 5, paragrafo 1, dell'art. 5. 5(1)(f), Art. 25 e dell'art. 32 del GDPR. 

A causa di una configurazione del firewall, gli accessi dei dipendenti al sito web del sistema di whistleblower con postazioni di lavoro o dispositivi personali collegati alla rete aziendale sono stati memorizzati in file di log e conservati per 90 giorni. Questi includono l'indirizzo IP e, grazie a una connessione con Active Directory, anche il nome dell'utente. 

Ciò ha costituito una violazione del principio della "protezione dei dati fin dalla progettazione" e della "protezione dei dati per impostazione predefinita" ai sensi dell'art. 25 del GDPR. 25 GDPR. I sistemi di whistleblower devono quindi essere progettati in modo tale da non memorizzare file di log. In caso contrario, la riservatezza e l'anonimato sono a rischio. 

Mancanza di una valutazione d'impatto sulla protezione dei dati 

L'autorità italiana di controllo della protezione dei dati ha anche contestato il fatto che la società interessata non abbia effettuato una valutazione d'impatto sulla protezione dei dati ai sensi dell'art. 35 del GDPR. 35 GDPR. Tuttavia, tale valutazione avrebbe dovuto essere effettuata quando si implementa un sistema di whistleblower. Le segnalazioni possono contenere dati sensibili. Possono contenere informazioni su sospette violazioni della legge e avere conseguenze massicce per l'accusato e il denunciante. Ciò comporta rischi particolari per i diritti e le libertà degli interessati. 

Implementare tutti i requisiti con il nostro Hintbox

La decisione dell'autorità italiana di controllo sulla protezione dei dati evidenzia due aspetti: In primo luogo, la riservatezza e l'anonimato possono essere garantiti solo da un sistema di whistleblower digitale. In secondo luogo, un sistema di whistleblower di questo tipo richiede l'implementazione di alcune misure tecniche. Il nostro Hintbox ha implementato tutti i requisiti della legge sulla protezione dei dati e le specifiche delle autorità di controllo della protezione dei dati in modo legalmente conforme. 

Crittografia end-to-end e crittografia del database

Tutte le informazioni e le comunicazioni tra l'informatore e il responsabile della conformità sono crittografate end-to-end. Inoltre, i dati contenuti nel database sono nuovamente crittografati. I dati sono ospitati in un centro dati certificato ISO-27001 in Germania. 

Nessun tracciamento degli indirizzi IP o di altri dati del dispositivo

Nessun dato o informazione, come l'indirizzo IP o altri dati del dispositivo, viene memorizzato quando si utilizza il nostro sistema di denuncia. Questo è l'unico modo per garantire la riservatezza e l'anonimato.

Vi supportiamo nella valutazione dell'impatto sulla protezione dei dati

Naturalmente, assistiamo gratuitamente la vostra azienda nella valutazione dell'impatto sulla protezione dei dati, in modo che possiate implementare rapidamente e correttamente tutti i requisiti dell'art. 35 DSGVO. 35 DSGVO in modo rapido e corretto.