Si può essere responsabili per fatti analoghi
La normativa che tutela un dipendente che segnala condotte illecite di cui è venuto a conoscenza in ragione delle proprie mansioni è “finalizzata ad impedire conseguenze sfavorevoli per il fatto in sé di avere segnalato illeciti, ma certamente non costruisce esimenti rispetto agli illeciti che la medesima persona avesse in ipotesi autonomamente ed altrimenti commesso, da sola o in concorso”. È quanto affermato dalla Corte di Cassazione con ordinanza n. 9148 del 31 marzo 2023. La vicenda trae origine da una sospensione disciplinare comminata ad una infermiera in servizio presso una Azienda Ospedaliera del settore pubblico, che per otto anni aveva svolto attività lavorative presso ente privato in assenza di alcuna autorizzazione da parte della datrice di lavoro. Nell’ambito del giudizio di merito, la Corte d’Appello di Roma, confermando la pronuncia del Tribunale adito in primo grado e rigettando l’impugnazione della sanzione in applicazione dell’ari. 54-bis del d.lgs. 165/2001- ossia della tutela prevista in caso di segnalazione di illeciti di cui si è avuto conoscenza in ragione delle mansioni svolte (la lavoratrice aveva, infatti, denunciato al datore di lavoro il comportamento analogo di altri colleghi) – rilevava il fatto che la stessa essendosi resa a sua volta responsabile di condotte analoghe non poteva certo beneficiare delle tutele invocate. Avverso tale decisione la dipendente proponeva ricorso innanzi alla Corte di Cassazione cui resisteva l’Ente. Con l’unico motivo di ricorso con il quale la ricorrente ha denunciato la violazione ed erronea applicazione del D.Lgs. n. 165 del 2001, articolo 54-bis, in quanto l’unico caso di responsabilità del segnalante sarebbe quello in cui la segnalazione integri una ipotesi di calunnia o diffamazione. La Corte di Cassazione – nel confermare la valutazione dei giudici di appello — ha chiarito che la funzione del summenzionato art. 54-bis è quella di impedire che il dipendente che effettui una segnalazione possa essere sanzionato, licenziato o comunque sottoposto a misure discriminatorie per motivi connessi, anche indirettamente, alla segnalazione.
Continua a leggere la versione integrale pubblicata su Italia Oggi.
Il Quotidiano del Lavoro pubblica un articolo a firma di Vittorio De Luca, Antonella Iacobellis e Martina De Angeli a proposito di un recente provvedimento dell’Autorità Garante per la protezione dei dati personali, che sanziona un ateneo italiano per non aver adeguatamente tutelato, affidandosi alle procedure di sicurezza scelte dal proprio fornitore software, i dati personali di due whistleblowers.
Clicca qui per leggere il DLP insights relativo alla vicenda e le considerazioni dello Studio.
L’Autorità Garante per la protezione dei dati personali con il Provvedimento n. 17 del 23 gennaio 2020, nel sanzionare un Ateneo italiano per non aver adeguatamente tutelato la riservatezza dei dati identificativi di due soggetti – i whistleblowers – che avevano segnalato possibili comportamenti illeciti, ha ribadito la sussistenza dell’obbligo in capo al datore di lavoro “Titolare del trattamento” (ai sensi dell’articolo 4, del Regolamento UE 2016/679, il “GDPR”) di porre in essere misure tecniche ed organizzative adeguate a garantire la protezione dei dati personali trattati (cfr. Newsletter del Garante n. 462 del 18 febbraio 2020).
Nello specifico, all’epoca dei fatti, l’Ateneo nell’adeguarsi agli obblighi di adeguata tutela del dipendente che segnala condotte illecite dall’interno dell’ambiente di lavoro (il c.d. “whistleblowing” introdotto nell’ordinamento italiano con il decreto legislativo n. 165 del 30 marzo 2001), aveva scelto di utilizzare una soluzione tecnologica. In questo caso, per garantire la protezione dell’acquisizione e della gestione delle segnalazioni degli illeciti, l’Ateneo era ricorso all’utilizzo di una piattaforma software fornitagli da un soggetto terzo esterno rispetto all’organizzazione dell’Ateneo stesso.
Durante una modifica con contestuale aggiornamento della piattaforma software, si verificava una c.d. sovrascrittura dei permessi di accesso che aveva comportato l’esposizione dei dati personali dei due whistleblowers, su alcuni motori di ricerca accessibili e visualizzabili da chiunque effettuasse una ricerca tramite Internet.
A fronte di quanto sopra, l’Ateneo notificava all’Autorità Garante per la protezione dei dati personali una violazione – c.d. data breach – con la quale si denunciava la dispersione dei dati personali comuni dei due whistleblowers sulla rete pubblica, resi in tal modo potenzialmente consultabili da chiunque.
L’attività istruttoria, posta in essere dall’Autorità Garante per la protezione dei dati personali, ha rilevato che l’Ateneo non aveva adottato adeguati accorgimenti tecnici ed organizzativi finalizzati a garantire “le esigenze di sicurezza e riservatezza proprie della gestione dei dati nell’ambito delle procedure di whistleblowing”, non impostando, peraltro, una corretta procedura per il controllo degli accessi che avrebbe dovuto limitare il trattamento dei dati al personale autorizzato.
L’Ateneo, infatti, si era limitato a fare proprie le misure di sicurezza scelte dal fornitore del software. Tuttavia, predette misure di sicurezza non erano adeguate e idonee, non prevedendo accorgimenti quali la cifratura o l’adozione di un protocollo di comunicazione sicura delle informazioni e consentendo in tal modo la violazione della riservatezza e dell’integrità dei dati personali trattati e la non corretta conservazione e accessibilità degli stessi.
In particolare, l’Autorità Garante per la protezione dei dati personali sosteneva che “Con riguardo all’applicativo in questione, tenuto conto della natura, dell’oggetto e della finalità del trattamento nonché dell’elevato rischio per i diritti e le libertà dei segnalanti, la soluzione adottata dall’Ateneo non può essere considerata una misura tecnica adeguata a garantire la riservatezza e l’integrità dei dati trattati nonché l’autenticità del sito web visualizzato da parte dei soggetti che lo utilizzano sia come canale di invio delle segnalazioni (dipendenti, studenti, ecc.) che come strumento di gestione delle stesse (RPCT ed eventuali suoi collaboratori”.
Clicca qui per continuare a leggere l’articolo.