Il Garante Privacy ha sanzionato un'azienda ospedaliera e la società informatica che gestiva il servizio per la denuncia di comportamenti illeciti al suo interno per un importo pari a 40mila euro.
L'istruttoria nasceva da un ciclo di attività ispettive circa le modalità di trattamento dei dati acquisiti mediante i sistemi di whistleblowing. Dai controlli erano emerse diverse violazioni del GDPR, tenendo conto che l'accesso all'applicazione web di whistleblowing avveniva mediante sistemi che, non essendo ben configurati, registravano e conservavano i dati di navigazione degli utenti al punto da consentire la loro identificazione, tra i quali vi erano i potenziali segnalanti.
Inoltre, la struttura ospedaliera non aveva preventivamente informato i lavoratori sul trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti, oltre a non avere posto in essere una valutazione di impatto privacy e a non avere inserito tali operazioni nel registro delle attività di trattamento. Ancora, dai controlli era emerso altresì una gestione scorretta delle credenziali di autenticazione per accedere all'applicazione web di whistleblowing da parte del RPCT in sede di transizione con il suo successore.
Altri illeciti, poi, erano riconducibili alla società informatica che aveva fornito all'azienda la suddetta applicazione nelle vesti di responsabile del trattamento.
Inevitabile, dunque, la sanzione inflitta dal Garante Privacy alla struttura sanitaria e alla società.

Doppia sanzione anche per il Ministero dell'Interno: colpevoli due Questure per avere diffuso immagini e video di persone arrestate o detenute senza che ve ne fosse una reale necessità di giustizia o di polizia, ledendo la loro dignità.
Il primo caso riguardava la diffusione di un video nel profilo Facebook di una Questura che ritraeva i volti in primo piano ed i nominativi di 8 persone durante l'arresto e la conduzione nelle auto della Polizia. Come evidenziato dal Garante, la diffusione di foto segnaletiche è consentita solo se ricorrono fini di giustizia e di polizia ovvero per motivi di interesse pubblico, mentre nel corso dell'istruttoria non era emersa alcuna necessità di tal genere, incorrendo la Questura in un trattamento eccedente e lesivo della dignità della persona, la quale deve essere sempre tutelata e a maggior ragione quando si trovi in situazioni di momentanea inferiorità.
Il secondo caso, invece, vedeva altra Questura divulgare a mezzo stampa le generalità e l'immagine di persona detenuta alla quale era stato inflitto un ulteriore provvedimento restrittivo. Anche in tal caso, il Garante non aveva riscontrato alcuna necessità alla base della diffusione delle immagini.
Le due sanzioni ammontano complessivamente a 110mila euro.

Per finire, l'Autorità sottolinea l'importanza della 30° Conferenza di primavera delle Autorità per la protezione dei dati personali in programma dal 19 al 20 maggio in Croazia, che rappresenta l'incontro più importante tra i Garanti Privacy europei in materia di cooperazione, coordinamento strategico e politiche di protezione dei dati.
Particolare attenzione verrà riposta sulla ratifica della “Convenzione 108+” che vede tra gli obiettivi quello di rafforzare la collaborazione tra le Autorità e di prevedere meccanismi di monitoraggio in grado di verificare la conformità degli ordinamenti delle future Parti della stessa Convenzione.