Il concetto di whistleblower non è traducibile in termine italiano, ma indica una "persona" precisa, ovvero colui che lavorando entro un'azienda sia pubblica che privata, si trova ad essere testimone di un comportamento illegale, potenzialmente dannoso per l'interesse pubblico e decide di segnalarlo entro l'azienda stessa, ai media o all'autorità giudiziaria competente così da porre termine a tale comportamento. Ovviamente esistono misure specifiche varate per la tutela e la riservatezza dei whistleblower: misure sulle quali il Garante Privacy qualche giorno fa ha dato una ulteriore specifica col provvedimento del 23 gennaio 2020. 

Il caso è questo: a causa di un aggiornamento della piattaforma software in uso all'università La Sapienza di Roma, si sono verificate sovrascritture accidentali dei permessi di accesso ad alcune pagine interne al sistema usato per il whistleblowing: insomma l'identità e altri dati (le informazioni relative alla segnalazione e la documentazione allegata) di coloro che avevano inviato informazioni riservate sono finite consultabili a chiunque, indicizzate da alcuni motori di ricerca. L'Università, appena individuato il problema, si era attivata per ottenere la deindicizzazione di tutti i dati esposti e cancellare le copie cache.

L'istruttoria ha rilevato come il problema fosse dipeso da misure errate di controlllo degli accessi: le informazioni contenute nell'applicativo per il whitelblowing avrebbero dovuto essere accessibili soltanto al personale autorizzato.

Qui si è quindi prefigurata la responsabilità dell'Università, che, in quanto titolare del Trattamento avrebbe dovuto "mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio", compresa ovviamente una verifica regolare dell'efficacia e correttezza delle misure tecniche adottate per il trattamento dati. In questo caso però, ha rilevato il Garante, vi era una carenza di sicurezza precisa che, se adottata, avrebbe evitato il data breach: in dettaglio è stato rilevato come l'Università non abbia verificato la presenza di un meccanismo di criptazione dei dati personali nell'applicativo scelto, così come l'assenza di un protocollo sicuro di trasmissione. Inutile forse ribadire il profilo di gravità di tale data breach, dato che intorno al whistleblower è previsto dalle norme in materia un regime molto particolare di riservatezza, a tutela degli interessati.

Il Garante quindi ha accertato sia l'illecito trattamento dei dati che il mancato adempimento degli obblighi di protezione dati previsi dal GDPR e ha inflitto all'ateneo una sanzione amministrativa di 30.000 euro. La sanzione è stata calcolata tenendo conto che comunque la violazione ha riguardato soltanto due persone.