Il fatto, ormai noto e pubblicato sul sito ufficiale del Garante della Privacy, richiede un’approfondita riflessione in merito alla sicurezza dei software di whistleblowing e della responsabilità in capo, non solo al committente, ma anche e soprattutto alle aziende che sviluppano o rivendono (e quindi forniscono) servizi così sensibili.
Il Garante nel sanzionare l’università per aver reso accessibili on line i dati identificativi di due persone che avevano segnalato all’ateneo possibili illeciti, ha ribadito ancora una volta che
“Il datore di lavoro che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti (whistleblowing) deve verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce.”
La violazione: pubblicati i dati personali dei segnalanti
Il Garante ha infatti accertato una violazione dei dati personali (data breach) causata dalla mancanza di adeguate soluzioni tecniche con una successiva pubblicazione sul web dei soggetti che avevano effettuato segnalazioni riservate nell’applicativo utilizzato per la segnalazione di condotte illecite. Il data breach aveva dato luogo anche ad un’indicizzazione da parte dei motori di ricerca.
Il Garante riporta che:
“come emerge chiaramente dalla documentazione acquisita nel corso dell’istruttoria, l’Ateneo si è limitato a recepire le scelte progettuali dell’azienda che ha fornito l’applicativo whistleblowing che non prevedevano la cifratura dei dati personali (dati identificativi del segnalante, informazioni relative alla segnalazione nonché eventuale documentazione allegata) conservati nel database utilizzato dal medesimo applicativo, non adottando misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante l’ausilio dell’applicativo whistleblowing”
Appare dunque scandaloso che un software di Whistleblowing non adottasse alcuna forma di cautela e/o alcuna crittografia. Eppure il software in questione è ben pubblicizzato e, con grafica accattivante, attrae clienti e genera profitti generando distorsioni sul mercato.
Se qualsiasi programmatore o una software house (piccola o grande che sia), può, in barba a qualsiasi normativa, creare dei software totalmente insicuri con un costo di sviluppo pressoché nullo e rivenderlo alla Pubblica Amministrazione, c’è un grosso problema di regole e competenze.
Non sempre infatti negli enti locali ma anche in enti più strutturati ci sono le competenze per poter valutare pienamente i software e la loro sicurezza nonché aderenza alle normative, si indicono bandi o trattative private spesso al massimo ribasso, dove la qualità, la serietà ed i forti investimenti in infrastrutturazione e sicurezza passano in secondo piano.
Per scongiurare il ripetersi di data breach, il Garante per la protezione dei dati personali ha stabilito, tramite Deliberazione del 06/02/2020, che fino a giugno 2020 verrà effettuata un’attività ispettiva indirizzata anche ai “trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite” (c.d. whistleblowing).
DigitalPA è portavoce di una politica di trasparenza e della cultura della legalità. Il numero di clienti e le specifiche dettagliate fornite al cliente, nonché le certificazioni possedute e la continua cura della sicurezza sia lato software che sistemistico, garantiscono i clienti ai massimi livelli. DigitalPA inoltre garantisce i clienti con una polizza assicurativa all-risk che li ripara ulteriormente da qualsiasi inconveniente.
Whistleblowing DigitalPa: la sicurezza dei dati al primo posto
Tra i punti di forza dell’applicativo Whistleblowing di DigitalPA spiccano la sicurezza del segnalante e delle segnalazioni oltre che le caratteristiche dell’infrastruttura e della sicurezza applicativa: elementi che rendono la piattaforma tra le più sicure e utilizzate del mercato.
L’applicativo risiede su server dedicati DigitalPA in grado di offrire massima protezione dei dati e dei livelli di sicurezza, garantiti dalla certificazione ISO 27001/2017 e dalla infrastruttura della server farm certificata ISO 27001/2017.
Le Pubbliche Amministrazioni e le Aziende private possono adottare il software whistleblowing DigitalPA per la segnalazione degli illeciti in modalità totalmente sicura e conforme alle normative che regolamentano questo delicato settore.
Il software non è soggetto a costi di licenza ed è presente anche nel marketplace Agid
Approfondimenti:
La fregatura del software in riuso
Whistleblowing, il software DigitalPA
Altri articoli in materia di Whistleblowing
