Whistleblowing, sanzione da 30mila euro per La Sapienza. Quanto sono sicure le nostre università?

L’attuale normativa dovrebbe tutelare il segnalante, a patto che i sistemi di sicurezza adottati dai singoli Atenei siano all’altezza del compito

L’università La Sapienza di Roma ha ricevuto una sanzione da 30mila euro dal Garante della Privacy per aver reso disponibili i dati di due whistleblower – uno studente e un dipendente. Si è trattato di un errore, un incidente causato da un aggiornamento del software che ha finito, però, non solo per rendere consultabili da chiunque nomi e cognomi degli informatori sul portale dell’Ateneo, ma anche per far indicizzare da alcuni motori di ricerca (Google, Yahoo! e Bing) le pagine web con le loro informazioni personali.


I fatti risalgono al 2018, anno in cui La Sapienza stessa ha comunicato al Garante la diffusione di dati personali – nome, cognome, sede, numero di telefono, email e data della segnalazione – dei due whistleblower, mentre il contenuto delle segnalazioni non sarebbe stato in alcun modo reso accessibile a soggetti non autorizzati.


Un singolo episodio che si è concluso con una sanzione salata e la messa in sicurezza dei dati dei due segnalatori, ma che apre dubbi più grandi non tanto sulla singola università quanto, piuttosto, sulla capacità degli atenei statali di far fronte ai requisiti di sicurezza tecnico-informatici prescritti dalla legge, demandati a società terze che spesso non si rivelano all’altezza nemmeno di un banale portale web per iscriversi agli esami.

La sicurezza dei “whistleblower” in università

Dal novembre 2017 le università statali (come tutte le aziende pubbliche) hanno l’obbligo di mettere a disposizione dei cosiddetti whistleblower – ovvero coloro che denunciano casi di corruzione o malaffare nel luogo di lavoro – un sistema informatico per la segnalazione di condotte illecite (rigorosamente di interesse generale e non individuale) all’interno dell’ateneo. 

Non solo: secondo quanto sancito dal Gdpr, il regolamento europeo sulla privacy, non basta predisporre gli strumenti per il whistleblowing, il titolare del trattamento dei dati personali – in questo caso l’università – ne deve garantire la sicurezza in modo da proteggere l’identità dei segnalanti attraverso determinate misure, tra cui rientra anche «una procedura per testare, verificare e valutare regolarmente l’efficacia degli strumenti adottati».

Il portale per il whistleblowing dell’Università Statale di Milano

La legge sul “whistleblowing” in Italia

Il Parlamento italiano ha approvato la cosiddetta legge sul whistleblowing nel novembre 2017, integrando le blande protezioni già contenute nella legge Severino. Con le nuove regole l’aula ha creato tutele più forti per i dipendenti pubblici, oltre ad introdurre e prime garanzie per chi lavora in aziende private e partecipate.

Un estratto della legge n. 179 del 30 novembre 2017

Nel settore pubblico – dunque anche nelle università statali – chi denuncia non corre più il rischio di essere demansionato, licenziato o trasferito. In altre parole, non può più essere punito per aver agito nell’interesse pubblico (e qualora lo fosse il datore verrebbe punito con una sanzione che può arrivare fino a 50mila euro). Anzi, deve essere messo nella condizione di fare la propria denuncia in condizioni di segretezza e attraverso precisi canali di segnalazione.

Ma c’è di più: la legge prescrive anche che, per poter licenziare un whistleblower dopo una segnalazione fondata, è il datore di lavoro a dover dimostrare che il motivo non è la sua soffiata, e non l’informatore a dover dimostrare il contrario – ovvero si realizza quella che tecnicamente si chiama “inversione dell’onere della prova”. 

Il ruolo dei singoli atenei

Una normativa, insomma, che almeno nelle intenzioni dovrebbe tutelare il segnalante e che, da quando è stata adottata, ha aiutato a concludere positivamente molte vicende – come quella di Giulia Romano – e a garantire l’integrità, l’imparzialità e il buon andamento della pubblica amministrazione, e dunque anche delle università pubbliche.

A patto, però, che i sistemi tecnico-informatici adottati dagli atenei siano all’altezza del compito e, dopo il caso della Sapienza di Roma, sorge spontanea una domanda: se non lo è una delle principali università in Italia, come sono messe le altre?

Leggi anche: