Il bug di un sito internet che permette ai navigatori di visualizzare e modificare i dati ivi contenuti, relativi ai partecipanti ad un concorso pubblico, determina una violazione della privacy

Scarica PDF Stampa
Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 161 del 17 settembre 2020

Il fatto

Al Garante per la protezione dei dati personali era arrivata una segnalazione con cui si riferiva che i dati personali dei candidati ad un concorso pubblico, che era stato indetto dall’ospedale di Napoli, erano stati diffusi attraverso un sito internet. In particolare, attraverso detto sito era possibile visualizzare il codice dei candidati al concorso che era associato ad un link che portava ad un’altra pagina Internet dove erano contenuti i documenti presentati dai candidati e in generale dei dati personali, che potevano essere anche modificati, nonché dei dati relativi alla salute dei candidati.

Il garante avviava così l’istruttoria dalla quale emergeva che la piattaforma che era stata utilizzata per gestire la partecipazione e l’iscrizione al concorso pubblico era di una società informatica esterna, cui l’ospedale aveva affidato la gestione delle domande on-line e la fase di selezione informatica dei concorrenti.

Sempre durante l’istruttoria, la società informatica faceva presente al Garante di aver fornito il portale oggetto di indagine affinché l’ospedale potesse svolgere l’attività di selezione on-line per la partecipazione al concorso e che a ridosso dei termini di scadenza per le iscrizioni, detto portale aveva avuto dei problemi derivanti dal fatto che erano state effettuate contemporaneamente numerose sessioni di accesso al portale da parte dei candidati. Conseguentemente, secondo la società, si erano creati dei disservizi che avevano costretto i tecnici della stessa ad intervenire per spostare la piattaforma su di un server che avesse delle prestazioni più elevate per gestire tutti gli accessi. Nell’effettuare l’intervento di manutenzione di cui sopra, i tecnici della società avrebbero rimosso in maniera accidentale una cartella e un file che servivano a gestire l’accesso da parte dei visitatori del sito ai dati ivi contenuti e ciò avrebbe permesso ai visitatori di poter consultare e modificare i dati dei partecipanti, compresi quelli relativi alla salute. Poco tempo dopo, tuttavia, la società aveva corretto l’errore di cui sopra, caricando nuovamente il file all’interno della cartella e ripristinando in tal modo la corretta visibilità dei dati soltanto agli interessati.

La società aggiungeva, inoltre, che, nonostante avesse sottoscritto con l’ospedale il contratto per la gestione della piattaforma, non aveva ricevuto dall’ospedale stesso una corretta nomina responsabile del trattamento.

Infine, faceva presente che una volta finito il termine per l’iscrizione al concorso, la società aveva trasmesso all’ospedale i dati anagrafici dei candidati attraverso un CD.

Il garante per la protezione dei dati personali, in considerazione di quanto emerso dall’istruttoria, ha ritenuto avviare il procedimento volto all’adozione dei provvedimenti sanzionatori a carico della società.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

La decisione del Garante

Il Garante ha ritenuto che la società che gestiva la piattaforma on-line abbia posto in essere un trattamento di dati personali dei candidati al concorso che viola i principi di liceità, correttezza e trasparenza sanciti dal regolamento europeo per la protezione dei dati personali (GDPR), in considerazione dei seguenti motivi:

  • poiché gli interessati non hanno ricevuto un’idonea informativa relativa al trattamento dei dati personali;
  • poiché era totalmente assente una base giuridica idonea che legittimasse il trattamento, la comunicazione e la diffusione dei dati personali dei candidati al concorso;
  • poiché sono stati diffusi i dati relativi alla salute dei candidati;
  • poiché non sono state adottate delle misure tecniche e organizzative oltre a garantire la riservatezza e l’integrità dei dati personali trattati che siano risultate idonee a tale scopo.

Per quanto concerne il trattamento dei dati dei candidati effettuato dalla società, il garante ha evidenziato come la stessa abbia svolto tale trattamento, attraverso il portale Internet, senza tuttavia aver ricevuto l’incarico di responsabile del trattamento da parte dell’ospedale e senza che tale ruolo fosse disciplinato attraverso delle apposite istruzioni ricevute dal titolare del trattamento (in questo caso l’ospedale). In secondo luogo, come detto, non sono rinvenibili dei presupposti specifici che legittimino il trattamento dei dati personali dei candidati, anche relativi alla salute, da parte della società. Per queste ragioni, il Garante ha ritenuto che il trattamento sia stato effettuato senza che sussistessero le condizioni di liceità previste dal regolamento europeo e dallo stesso codice privacy italiano.

Per quanto riguarda, invece, la sicurezza dei dati e quindi l’evento di data breach che si è verificato e che ha dato inizio al procedimento del Garante, l’autorità ha ricordato che, ai sensi del regolamento europeo, sia il titolare che il responsabile del trattamento devono adottare delle misure tecniche e organizzative che siano adeguate a garantire un livello di sicurezza sufficiente a scongiurare il rischio di data breach. Ebbene, dall’istruttoria è emerso che la diffusione on-line dei dati personali dei candidati è dipesa dal fatto che vi erano stati numerosi accessi contemporanei al sistema da parte dei candidati. Ciò significa, secondo il garante, che le misure tecniche e organizzative che erano state adottate per gestire il trattamento dei dati personali dei candidati durante la raccolta delle domande non sono state adeguate in considerazione dei rischi connessi al trattamento: tale valutazione, d’altra parte, è confermata dal fatto che si è verificato il data breach oggetto di discussione dal quale è derivata la diffusione dei dati personali degli interessati, ivi compresi quelli relativi alla salute.

In secondo luogo, il garante ha ritenuto che anche le misure tecniche e organizzative adottate dalla società con riferimento al trattamento dei dati nella fase di comunicazione degli stessi all’ospedale titolare del trattamento non siano state adeguate.

Infatti, la scelta di inviare detti dati attraverso un CD senza adottare alcuna procedura o alcun controllo per assicurare che detti dati inviati all’ospedale fossero esattamente corrispondenti a quelli inseriti dai candidati all’interno della piattaforma on-line, nonché la scelta di non adottare alcun meccanismo di protezione del CD che conteneva i dati (come l’applicazione di password o la cifratura dei dati stessi), non garantiscono che dei soggetti non autorizzati non possano prendere visione o addirittura copia dei dati contenuti all’interno del CD stesso. Inoltre, la mancata adozione delle misure protettive del CD non permette di verificare, neanche a posteriori, se ci sono stati degli accessi non autorizzati. Ebbene, secondo il garante, poiché i rischi connessi al trattamento erano estremamente elevati, in considerazione del fatto che se ci fossero state delle differenze fra i dati inseriti dai candidati della piattaforma on-line e quelli consegnati alla società all’ospedale, ciò avrebbe potuto comportare delle conseguenze molto dannose per gli interessati. Pertanto, la mancata adozione di alcuna misura protettiva determina una violazione dei principi in materia di sicurezza dei dati gravanti sulla responsabile del trattamento.

Infine, dall’istruttoria è emerso che alcuni dati che sono stati forniti dai candidati al momento della presentazione della domanda sono ancora visualizzabili all’interno della piattaforma on-line gestita dalla società e sono accessibili attraverso l’inserimento del codice di iscrizione al concorso di ogni candidato. Ciò significa che la società continua a conservare e a trattare, oltre che rendere accessibili, i dati dei partecipanti nonostante sia ormai terminato il rapporto professionale che la legava all’ospedale e quindi al trattamento dei dati stessi.

In considerazione di tutto quanto sopra, quindi, il garante ha confermato la violazione dei richiamati principi in materia di privacy da parte della società, con l’unica esclusione della mancata informativa resa agli interessati in considerazione del fatto che tale obbligo grava sul titolare del trattamento e non sul responsabile (pertanto, secondo il garante, il fatto che non sia stata fornita l’informativa privacy agli interessati è imputabile all’ospedale e non alla società), e conseguentemente ha comminato la sanzione pecuniaria di euro 60.000 a carico della società e le ha ordinato la limitazione del trattamento ancora in corso (vietando alla società ogni ulteriore operazione di trattamento di dati personali dei partecipanti al concorso che ha raccolto attraverso la propria piattaforma su internet).

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento