La corretta definizione dei ruoli privacy, con riferimento alla subfornitura di hosting, nel quadro della disciplina dettata in materia di segnalazioni di condotte illecite (“whistleblowing”)

Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Massima (1) – Il fornitore di servizi che mette a disposizione del titolare del trattamento apposita applicazione web per la gestione delle segnalazioni di illeciti nell’ambito della disciplina in materia di whistleblowing, oltre a dover garantire l’adozione di misure tecniche in grado di garantire l’integrità e la disponibilità dei dati trattati, non può esimersi dalla corretta definizione dei ruoli privacy, disciplinando espressamente il rapporto con eventuali terze parti coinvolte nella gestione delle segnalazioni – e conseguentemente dei dati ivi contenuti – ed ottenendo la preventiva, quanto necessaria, autorizzazione da parte del titolare del trattamento a tale coinvolgimento al fine di consentire il mantenimento, da parte di quest’ultimo, del pieno controllo dei trattamenti che vengono effettuati per suo conto.

Massima (2) – Qualora il fornitore di un’applicazione web (nel caso di specie, per la gestione delle segnalazioni di illeciti nell’ambito della disciplina in materia di whistleblowing), in qualità di responsabile del trattamento, si avvalga a propria volta di un fornitore del servizio di hosting (nel caso di specie, un servizio di hosting di server virtuali o fisici), quest’ultimo concorre al trattamento dei dati personali del titolare e dovrà pertanto essere designato quale responsabile o sub-responsabile del trattamento ai sensi dell’art. 28, par. 2 e 4, GPDR, in quanto, pur non trattando gli indirizzi IP relativi agli interessati che utilizzano l’applicativo in questione e pur non accedendo direttamente ai dati personali trattati mediante tale applicativo, conserva questi ultimi sulla propria infrastruttura tecnologica e ne garantisce l’integrità e la disponibilità, adottando adeguate misure tecniche e organizzative, assicurando determinati livelli di servizio in termini di disponibilità dei sistemi e mettendo a disposizione dei propri clienti una serie di strumenti per gestire e monitorare il servizio.

Provvedimento: GPDP, Docweb n. 9768387 dell’11 maggio 2022

Link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9768387

Keywords: Lavoro e previdenza, misure di sicurezza, lavoro pubblico, segnalazioni di attività illecite, whistleblowing, ruoli privacy, fornitore di applicazione web, fornitore di hosting, responsabili del trattamento, sub-responsabili del trattamento, integrità e disponibilità dei dati

Riferimenti normativi: art. 28, parr. 1, 2, 3 e 4 GDPR; Altri riferimenti: Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, vers. 2.0, adottate il 7 luglio 2021.

Data del commento: 8 agosto 2022

Massime e Commento di Luca Petrone

1. Il caso

Nell’ambito di un ciclo di attività ispettive avente ad oggetto le principali funzionalità di alcuni tra gli applicativi per l’acquisizione e gestione delle segnalazioni di illeciti più diffusamente impiegati dai datori di lavoro pubblici e privati nel quadro della disciplina in materia di segnalazione di condotte

illecite (c.d. whistleblowing), il Garante per la protezione dei dati personali (nel proseguo anche semplicemente “Garante” o “autorità di controllo”) ha eseguito specifici accertamenti, tra i quali quello rivolto all’Azienda Ospedaliera di Perugia (cfr. provv. GPDP, Docweb n. 9768363 dell’11 maggio 2022) e al relativo fornitore Isweb S.p.A., nel caso debitamente nominato responsabile del trattamento, in quanto gestore dell’applicativo utilizzato dall’Ente per l’acquisizione e la gestione delle segnalazioni di condotte illecite.

A seguito degli accertamenti eseguiti dal Garante è emerso che Isweb S.p.A. aveva affidato alla società Seeweb S.r.l. il servizio di hosting dei sistemi informatici che ospitavano, tra gli altri, il citato applicativo di whistleblowing senza che si fosse giunti ad una corretta individuazione e regolamentazione dei ruoli privacy.

2. La questione

La questione affrontata dall’autorità di controllo concerne la corretta individuazione e susseguente formalizzazione dei c.d. ruoli privacy. In particolare, nel caso in esame, il Garante per la protezione dei dati personali si è soffermato sul rapporto intercorrente tra il fornitore dell’applicativo di whistleblowing e il sub-fornitore del servizio di hosting di cui il primo si avvaleva, sia per quanto concerneva i dati trattati in qualità di responsabile del trattamento, sia in riferimento a quelli trattati in veste di titolare.

2.1. Corretta identificazione dei c.d. ruoli privacy con riferimenti al fornitore di applicativo web e al fornitore del servizio di hosting

Al fine di addivenire ad una corretta applicazione della disciplina in materia di protezione dei dati personali occorre identificare con precisione i soggetti che, in qualità di titolare, di responsabile, di sub-responsabile o che, comunque, operano sotto la diretta responsabilità di questi, possono trattare i dati personali, definendone chiaramente le rispettive attribuzioni.

Ed è proprio questo l’aspetto che viene fatto emergere dal Garante per la protezione dei dati personali nell’ambito dell’attività di accertamento eseguita nei confronti di Isweb S.p.A., quale fornitore dell’applicativo di whistleblowingdell’azienda ospedaliera perugina.

Infatti, nonostante nell’ambito della proprie argomentazioni difensive, la società soggetta ad ispezione abbia argomentato (i) che l’oggetto del contratto con gli Ospedali di Perugia non concerneva il trattamento dei dati delle segnalazioni ma solo la messa a disposizione di una infrastruttura tecnologica e (ii) che né la stessa Isweb S.p.A., né Seeweb S.r.l., società fornitrice del servizio di hosting della quale la prima si avvaleva, avrebbero potuto prendere cognizione dei dati delle segnalazioni, essendo gli stessi cifrati con chiave a disposizione esclusiva dell’azienda sanitaria, l’autorità di controllo ha ritenuto che il semplice fatto di mettere a disposizione l’applicativo web per le segnalazioni ed il correlato servizio di hosting rappresentassero comunque operazioni di trattamento di dati personali ai sensi dell’art. 4, n. 2), del Reg. UE 2016/679.

Il Garante è giunto a tale conclusione tenendo conto, tra l’altro, anche degli orientamenti del Comitato europeo di protezione dei dati (cfr. Guidelines 7/2020 on the concepts of controller and processor in the GDPR, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, in particolare, par. 2.1.4, punto 40, nella parte in cui è riportato l’esempio relativo agli “Hosting services”); in particolare è stato argomentato che le informazioni presenti all’interno delle segnalazioni di condotte illecite acquisite mediante l’applicativo di “whistleblowing” seppur sottoposte a cifratura – che costituisce, come espressamente affermato dalla stessa autorità di controllo, in ogni caso un’efficace misura che il titolare e il responsabile possono adottare per rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, garantendo la sicurezza del trattamento e tutelando i diritti e le libertà degli interessati – devono essere considerati come dati personali in quanto rappresenterebbero informazioni su persone fisiche identificabili.

La società Seeweb S.r.l., infatti, fornitrice del servizio di hosting, pur non accedendo direttamente ai dati personali trattati mediante l’applicativo fornito da Isweb S.p.A., conservava questi ultimi sulla propria infrastruttura tecnologica, garantendone l’integrità e la disponibilità ed adottando, in ragione di ciò, adeguate misure tecniche e organizzative.

L’erronea convinzione, ha osservato l’autorità di controllo, che il fornitore del servizio di hosting non trattasse dati personali ha generato due distinte conseguenze, entrambe in violazione della disciplina eurounitaria in materia di protezione dei dati e potenzialmente in grado di sottrarre al titolare il pieno controllo dei trattamenti che vengono effettuati per suo conto:

a) la mancata stipula, da parte di Isweb S.p.A., di uno specifico data processing agreement con Seeweb S.r.l. avente ad oggetto i trattamenti che Isweb stessa poneva in essere in qualità di autonomo titolare del trattamento, in violazione dell’art. 28, parr. 1 e 3, GDPR;

b) l’assenza della nomina a sub-responsabile del trattamento di Seeweb S.r.l. per i dati che Isweb S.p.A. trattava per conto dei propri clienti, oltre a non avere ottenuto, in tal senso, alcuna autorizzazione da parte di quest’ultimi, né fornito loro alcuna informativa in merito alla presenza della società di hosting, in evidente contrapposizione con quanto espressamente previsto dall’art. 28, parr. 2 e 4, GDPR.

In riferimento a quanto indicato alla lett. b), sempre su indicazione del Garante, non sarebbe valso neppure il fatto che il ricorso a Seeweb S.r.l. come fornitore del servizio di hosting fosse stato indicato nella documentazione tecnica messa a disposizione, prima della conclusione del contratto, dell’Azienda ospedaliera di Perugia, in quanto l’art. 28, par. 2, del Regolamento dispone espressamente che il responsabile non possa ricorrere a un altro responsabile «senza previa autorizzazione scritta, specifica o generale, del titolare», autorizzazione che, nel caso di specie, non è stata evidentemente acquisita privando, in questo modo, lo stesso titolare del trattamento del suo diritto di opposizione.

3. Precedenti

Sulla mancata regolazione del rapporto con il fornitore di hosting, si veda ad esempio, l’ordinanza di ingiunzione nei confronti di Roma Capitale – Docweb n. 9562852 dell’11 febbraio 2021, mediante il quale il Garante ha disposto che, nell’ambito di gestione dei servizi di mobilità, l’assenza di un atto giuridico volto a disciplinare i rapporti tra Atac e Roma Capitale, costituisse una violazione dell’art. 28 GDPR. In particolare Atac, che forniva il servizio di hosting e di manutenzione di data base e connettività, trattava “dati personali”, effettuando la registrazione e la conservazione, tra gli altri, dell’indirizzo IP del dispositivo utilizzato dall’utente, della data e dell’ora della connessione. In tal senso, pur non avendo accesso diretto ai dati personali trattati nell’ambito di tale servizio, in quanto fornitore di servizi di hosting, Atac conservava tali dati sulla propria infrastruttura tecnologica, dovendo assicurare, al contempo, determinati livelli di servizio in termini di disponibilità dei sistemi.

Con riguardo, invece, agli specifici rischi derivanti dalla mancata regolamentazione del rapporto, ai sensi dell’art. 28 del Regolamento, con i soggetti che trattano i dati per conto e nell’interesse del titolare del trattamento, si vedano, ad esempio, i provv. 17 settembre 2020, nn. 160 e 161, Docweb nn. 9461168 e 9461321, attraverso i quali l’autorità di controllo ha accertato l’inadeguatezza delle misure tecniche e organizzative adottate dal responsabile del trattamento a causa, in particolare, dell’assenza di specifiche e circoscritte istruzioni documentate da parte del titolare.

Infine, in merito alla tutela dell’identità del segnalante nel quadro della disciplina in materia di segnalazione di condotte illecite, si veda il provvedimento del 7 aprile 2022, n. 134, Docweb n. 9768363.

4. Bibliografia

Sulla disciplina del rapporto tra titolare e responsabile del trattamento, ed eventuali ulteriori sub-responsabili, nonché sugli estremi della relativa autonomia si veda, ad esempio, F. Pizzetti-L. Greco, Commento all’art. 28, in R. D’orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della Privacy e Data Protection, Milano, 2021, p. 693 ss.; E. Pelino, I soggetti del trattamento, in Bolognini-E. Pelino-C. Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, pp. 144 e ss.; L. Greco, I ruoli: titolare e responsabile, in G. Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, p. 251 ss.; A. D’ottavio, Ruoli e funzioni privacy principali ai sensi del regolamento, in R. Panetta (a cura di), Circolazione e protezione dei dati personali, tra libertà e regole di mercato, Commentario al Regolamento UE n. 2016/679 (GDPR) e al novellato d. lgs. n. 196/2003 (Codice Privacy), Milano, 2019, p. 160 ss.In materia di whistleblowing e privacy, seppur non sullo specifico tema di cui al provvedimento in esame, si veda A. Della Bella, Il whistleblowing nell’ordinamento italiano: quadro attuale e prospettive per il prossimo futuro, in Riv. it. dir. e proc. pen., 2020, 1, pp. 1403 ss.; A. Renzi, Quando la trasparenza non previene la corruzione: “whistleblowing” e riservatezza, in Giorn. dir. amm., 2020, 3, pp. 357-365; G. D’urgolo, La tutela del pubblico dipendente (e non solo) che segnala illeciti (c.d. “whistleblower”), in GiustAmm.it, 2018, 3, pp. 7 ss; L. Petrone, La tutela dell’identità del segnalante nel quadro della disciplina dettata in materia di segnalazioni di condotte illecite (massime e commento a GPDP, Docweb n. 9768363 dell’11 maggio 2022), in Data Protection e Privacy Officer, 8 agosto 2022.