Recentemente, il Garante della Privacy, ha sanzionato con un’ordinanza ingiunzione di 40.000 Euro, una società a cui erano state contestate diverse violazioni della disciplina sulla privacy, con riferimento in particolare all’ambito del whistleblowing e delle segnalazioni di illeciti da parte dei dipendenti dell’ente. La sanzione veniva applicata all’impresa, a seguito di una serie di attività ispettive svolte dall’Autorità ed a seguito delle quali, la stessa attuava un’istruttoria contro la società. Nelle premesse dell’istruttoria, veniva specificato che la disciplina in materia di tutela del dipendente che segnala illeciti e la disciplina in materia di protezione dei dati personali (c.d. whistleblowing) - originariamente prevista solo per i soggetti pubblici, è stata integrata e modificata dalla legge del 30 novembre 2017, n. 179 (Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato), che ha introdotto una nuova disciplina in materia di whistleblowing riferita ai soggetti privati, integrando la normativa sulla responsabilità degli enti ex D. Lgs. 231/2001. La prima censura effettuata dal Garante della Privacy, evidenziava il mancato utilizzo da parte dell’azienda, delle adeguate tecniche crittografiche per il trasporto e la conservazione dei dati, in quanto il protocollo di rete non garantiva la necessaria integrità e riservatezza dei dati scambiati tra “l’utente segnalante” e “l’applicativo” che li riceveva. In questo modo, non veniva apprestata l’adeguata cifratura delle informazioni, così come richiesto dall’ANAC nelle “Raccomandazioni sull’utilizzo di strumenti di crittografia end-to-end per i contenuti delle segnalazioni e dell’eventuale documentazione allegata”, presenti nelle Linee guida adottate con determina n. 6 il 28 aprile del 2015. Con la seconda censura, l’Autorità contestava alla società, il fatto di avere adottato un sistema di firewall aziendale, che sostanzialmente registrava e conservava le informazioni relative alle connessioni dell’“applicativo”, con la possibile conseguenza di consentire la tracciabilità dei soggetti segnalanti e ponendosi in contrasto con le disposizioni del whistleblowing, che prevedono la tutela della riservatezza dell’identità dei segnalanti.