Garante Privacy: necessario garantire sicurezza ai dati dei partecipanti ai concorsi pubblici. Il Garante per la protezione dei dati personali ha sanzionato per illecito trattamento dei dati un’azienda ospedaliera e la società che per suo conto gestiva la piattaforma dedicata alla raccolta delle domande online di aspiranti infermieri a un concorso pubblico.
Le verifiche dell’Autorità sono scattate a seguito di una segnalazione con la quale è stata lamentata la diffusione dei dati personali di coloro che avevano già sottomesso la domanda di partecipazione al concorso. In particolare, collegandosi alla piattaforma destinata a gestire le domande era possibile visualizzare i codici assegnati a ciascun candidato e tramite un collegamento ipertestuale sotteso al codice era possibile accedere altresì a un’area del portale contenente i dati dei candidati. Nello specifico, non soltanto era possibile consultare i dati ivi contenuti (di natura comune e particolare) ma anche procedere alla loro modifica.
Sulla base dei riscontri forniti dalla società, l’incidente è avvenuto in un lasso di tempo in cui la piattaforma era in manutenzione a causa di disservizi causati dai numerosi accessi e dalle sessioni concomitanti negli ultimi giorni precedenti la scadenza del concorso. Disservizi che avevano determinato la società a optare per il passaggio a una macchina con prestazioni più elevate.
La lettura dei due provvedimenti sanzionatori, il primo adottato nei confronti dell’azienda sanitaria e il secondo adottato nei confronti dell’outsourcer informatico, risulta estremamente interessante in quanto fornisce elementi utili a comprendere sia il dettaglio delle violazioni del Regolamento UE 2016/679 poste in essere da entrambi i soggetti sia i parametri valutativi in base ai quali sono state irrogate le sanzioni, rispettivamente di € 80.000,00 e € 60,000.00.
Le violazioni riscontrate dal Garante privacy
Quanto alle violazioni della normativa riscontrate, il Garante ha focalizzato l’attenzione su tre punti:
- Mancata nomina a responsabile del trattamento.
L’azienda ospedaliera ha affidato alla società fornitrice della piattaforma la fase di raccolta e preselezione delle candidature senza però opportunamente regolare il rapporto ai sensi dell’art. 28 GDPR. La stessa società ha confermato di non aver ricevuto alcuna istruzione da parte dell’azienda sanitaria, a differenza di altri incarichi in cui i diversi titolari avevano provveduto a nominarla quale responsabile del trattamento.
La prima violazione riguarda quindi l’assenza di quel contratto o altro atto giuridico che ai sensi dell’art. 28 par. 3 GDPR vincola il responsabile al titolare e che disciplina in maniera dettagliata la durata del trattamento, la natura e la finalità, la tipologia di dati trattati, le categorie di interessati e ogni altra istruzione volta all’esecuzione di attività di trattamento in conformità alla normativa vigente.
In aggiunta, la società ha continuato a conservare i dati sulla propria piattaforma anche successivamente alla scadenza del contratto. - Assenza di informativa ed errata individuazione della base giuridica.
Il Garante ha rilevato l’inadeguatezza del documento sintetico collocato sulla pagina iniziale della piattaforma dove, ai sensi del Codice Privacy, il candidato era invitato a fornire il consenso al trattamento dei dati. Non risultava però essere presente altro documento che rimandasse a quelle informazioni che il titolare deve necessariamente rendere all’interessato.
In questo caso, le violazioni hanno riguardato l’assenza di trasparenza ai sensi dell’art. 5 GDPR e la mancata informativa secondo quanto disposto dagli articoli 13 e 14 GDPR.
In particolare, l’Autorità si è soffermata anche sull’errata individuazione della base giuridica che per il trattamento di dati, ivi inclusi quelli particolari, volti all’assunzione di personale da parte di un soggetto pubblico non coincide con il consenso bensì con l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento (es. obblighi previsti dalla normativa nazionale per finalità di assunzione) o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare stesso. - Inadeguatezza o assenza di misure di sicurezza.
Le modalità adottate per la fase di raccolta e di successiva trasmissione dei dati non sono state ritenute adeguate né in termini di esattezza dei dati né in termini di sicurezza e integrità.
Circa il primo profilo, il Garante ha infatti rilevato un – ormai da tempo – inadeguato protocollo di trasmissione “http” unitamente all’assenza di una procedura di controllo formale per garantire la corrispondenza tra i dati inseriti in piattaforma e quelli effettivamente ricevuti. A causa del problema tecnico, infatti, la possibilità per un terzo di modificare i dati dei candidati avrebbe potuto arrecare pregiudizio agli interessati determinando esiti infausti come l’esclusione dal concorso.
Quanto al secondo profilo, invece, è stato rilevato che i dati raccolti venivano salvati su un CD-ROM privo di qualsivoglia misura di sicurezza che veniva poi consegnato al titolare. In questo modo, i dati erano liberamente accessibili a chiunque fosse venuto il possesso del supporto di memorizzazione.
Le violazioni in quest’ultimo caso hanno riguardato l’assenza di misure di sicurezza atte a garantire riservatezza e integrità di cui agli articoli 5 e 32 GDPR.
Venendo ora ai parametri valutativi della sanzione, come noto, l’art. 83 GDPR si ispira al principio di proporzionalità in base al quale vengono tenuti in debito conto una serie di parametri (come la natura e la gravità della violazione, il carattere doloso o colposo, le categorie di dati interessati) per la determinazione dell’importo sanzionatorio. Nel caso di specie, il Garante ha considerato innanzitutto il momento in cui si è verificato il trattamento illecito – coincidente con un periodo in cui il Regolamento europeo era pienamente applicabile – ma ha altresì valutato la natura particolare dei dati oggetto di trattamento e diffusione, il grado di cooperazione dell’azienda sanitaria e dalla società che gestiva la piattaforma, l’elevato numero degli interessati coinvolti (oltre 2000 aspiranti infermieri), la durata della permanenza online dei dati e la disponibilità sulla piattaforma anche successivamente alla cessazione del contratto. In aggiunta, l’Autorità, in virtù della delicatezza dei dati, ha deciso di dover adottare anche la sanziona accessoria della pubblicazione di entrambi i provvedimenti sul sito istituzionale.
L’esame dei provvedimenti in questione aiuta a far luce sul centrale principio di accountability, ma ancor più sul ruolo di responsabilità rivestito dai fornitori. Sulla scia di altri provvedimenti sanzionatori, infatti, si coglie appieno la linea tracciata dal Garante con riferimento alla proattività che deve caratterizzare il ruolo dei responsabili del trattamento specialmente nel caso di titolari poco attrezzati dal punto di vista tecnologico.
