L'importanza di una segnalazione riservata per i whistleblower

Un ospedale in un paese dell'UE ha ingaggiato una società IT per fornire un sistema di gestione del whistleblowing. La soluzione era volta a consentire ai membri dello staff di segnalare condotte cattive o pericolose, affinché un team di indagine presso l'ospedale potesse poi intervenire in modo confidenziale. 

Tuttavia, il programma della società IT non era conforme al Regolamento Generale sulla Protezione dei Dati (GDPR) e non avrebbe rispettato i requisiti di riservatezza della Direttiva UE sui Whistleblower. Quest'ultima era anche un requisito perché, al momento in cui il supervisore ha multato entrambe le parti per il loro ruolo nell'incidente, la direttiva era già stata recepita nella legislazione nazionale di questo paese. 

Contesto 

I whistleblower sono essenziali per scoprire illeciti all'interno di aziende e organizzazioni. Coloro che sul campo sono testimoni di attività illegali o pericolose possono allertare i responsabili su tali incidenti prima che si diffondano e si radichino. Ciò può ridurre le possibilità di sanzioni per mancata conformità, danni alla reputazione e, specialmente nel caso di un ospedale, malattie o addirittura morte. 

L'ospedale ha lavorato insieme alla società IT per sviluppare un sistema di segnalazione interno. L'obiettivo era permettere a dipendenti e altre parti interessate di segnalare illeciti, innescando un'indagine che potesse accertare i fatti e decidere un piano d'azione per rettificare eventuali problemi. 

Tuttavia, il software installato dalla società IT contravveniva al GDPR. Registrava gli utenti che accedevano al software tenendo traccia della loro attività e archiviandola nei log del firewall. 

Ciò significava che chiunque avesse accesso ai log poteva identificare gli utenti, compresi i whistleblower. Nessuna delle parti ha informato gli utenti su questo aspetto del trattamento dei loro dati. 

Nel momento in cui ciò è venuto alla luce, ha significato che entrambe le parti erano soggette a sanzioni per non conformità al GDPR. Ma l'impatto aggiuntivo era che chiunque avesse segnalato cattive condotte avrebbe potuto vedere i propri dettagli esposti agli autori dei crimini presunti, esponendosi a possibili ritorsioni. 

Entrambe le parti hanno ricevuto multe pari a €40.000.

Importanza della riservatezza 

È fondamentale che il vostro sistema di segnalazione protegga i dati dei whistleblower. Ciò è importante sia per rispettare le regole del GDPR sia per dare alle persone che segnalano la fiducia di cui hanno bisogno per denunciare cattive condotte senza paura di ritorsioni. 

Solo il personale autorizzato dovrebbe avere accesso alla segnalazione di un whistleblower attraverso il vostro sistema di segnalazione interno. Inoltre, laddove le norme dell'azienda e la legge nazionale lo consentano, le persone che segnalano possono rimanere anonime in modo che nessun'altra parte conosca la loro identità. 

In molti casi, ciò è necessario per incoraggiare i whistleblower ad effettuare le loro segnalazioni e presentare prove. 

La soluzione