Il fatto
Al Garante per la protezione dei dati personali era arrivata una segnalazione con cui si riferiva che i dati personali dei candidati ad un concorso pubblico, che era stato indetto dall’ospedale di Napoli, erano stati diffusi attraverso un sito internet. In particolare, attraverso detto sito era possibile visualizzare il codice dei candidati al concorso che era associato ad un link che portava ad un’altra pagina Internet dove erano contenuti i documenti presentati dai candidati e in generale dei dati personali, che potevano essere anche modificati, nonché dei dati relativi alla salute dei candidati.
Il Garante avviava così l’istruttoria nel corso della quale l’Ospedale faceva presente che: (i) la piattaforma che era stata utilizzata per gestire la partecipazione e l’iscrizione al concorso pubblico era di una società informatica esterna, cui l’ospedale aveva affidato la gestione delle domande on-line e la fase di selezione informatica dei concorrenti; (ii) la piattaforma on-line non era collocata su server gestiti dall’ospedale, né era comunque gestita da dipendenti della struttura sanitaria, ma esclusivamente dalla società terza che trattava i dati personali dei candidati precisando di essere ella stessa titolare del trattamento; (iii) appena era venuta a conoscenza del data breach, l’Ospedale aveva chiesto informazioni alla società che gestiva la piattaforma, la quale aveva riferito che, a ridosso dei termini di scadenza per le iscrizioni, si erano creati dei disservizi, dovuti al fatto che erano state effettuate contemporaneamente numerose sessioni di accesso al portale da parte dei candidati, e la società aveva quindi effettuato degli interventi di manutenzione durante i quali si era verificata la perdita dei dati personali dei candidati.
La decisione del Garante
Il Garante ha ritenuto che l’Ospedale abbia posto in essere un trattamento dei dati personali dei candidati al concorso che viola i principi di liceità, correttezza e trasparenza sanciti dal regolamento europeo per la protezione dei dati personali (GDPR).
Preliminarmente, il Garante ha ricordato che la normativa in materia di privacy stabilisce che, nel caso in cui dei soggetti pubblici effettuino delle procedure volte a selezionare o valutare dei candidati per l’instaurazione del rapporto di lavoro, gli stessi abbiano la possibilità di trattare i dati personali di tali soggetti, anche se appartenenti a categorie particolari di dati, qualora il trattamento sia necessario per adempiere a un obbligo legale cui è soggetto il titolare del trattamento. Ciò significa che non è necessario il consenso degli interessati, ma, comunque, è sempre vietata la diffusione di dati relativi alla salute e il titolare del trattamento deve rispettare i principi di liceità, correttezza e trasparenza del trattamento nonché di integrità e riservatezza dei dati.
Ciò detto, il Garante ha analizzato gli elementi acquisiti nel corso dell’istruttoria, ritenendo che dagli stessi si possa desumere che i candidati non abbiano ricevuto dall’ospedale l’informativa, prevista dall’articolo 13 del regolamento europeo, volta ad assicurare un trattamento dei dati corretto e trasparente. Infatti, è emerso che durante nessuna delle fasi in cui candidati si sono iscritti al concorso e hanno compilato on-line le domande di partecipazione, sono stati forniti agli stessi gli elementi essenziali richiesti dalla già citata informativa. A tal proposito, il Garante ha ritenuto che il documento che era pubblicato sulla pagina della piattaforma non fosse sufficiente ad integrare i suddetti elementi essenziali previsti dall’articolo 13 del Regolamento, in quanto si limitava soltanto a informare i candidati che i dati sarebbero stati raccolti e trattati dall’ospedale, nonché dalla ditta che forniva la piattaforma informatica, all’interno del procedimento di selezione del personale per il quale quei dati erano stati resi.
In considerazione di ciò, il garante ha ritenuto che il trattamento sia stato effettuato dall’ospedale, quale titolare, in violazione dell’obbligo di fornire agli interessati la preventiva informativa secondo i caratteri e i requisiti previsti dall’articolo 13 del regolamento europeo nel rispetto del principio di trasparenza.
Il garante ha contestato, poi, all’ospedale il fatto che lo stesso non abbia definito, attraverso un apposito conferimento di incarico, il ruolo svolto dalla società che gestiva la piattaforma.
A tal proposito, il garante ha evidenziato come il regolamento europeo e in generale la normativa in materia di privacy prevede che il titolare del trattamento debba identificare in maniera precisa quali siano i soggetti che possono trattare i dati personali oggetto di trattamento e debba definire in maniera altrettanto precisa quali siano i compiti ed i poteri che spettano al titolare stesso e quali invece sono demandati al responsabile del trattamento e ai soggetti che operano sotto la responsabilità di quest’ultimo.
Inoltre, il rapporto tra titolare e responsabile del trattamento deve essere regolato da un contratto o da un altro atto giuridico, comunque stipulato per iscritto, che deve vincolare tra di loro le due parti e consentire al titolare del trattamento di fornire al responsabile tutte le istruzioni necessarie relativamente al trattamento stesso, alla la sua durata, natura e finalità nonché al tipo di dati personali trattati e alle categorie di interessati. Ciò significa che il responsabile del trattamento può trattare i dati degli interessati soltanto se sussiste una specifica istruzione in tal senso del titolare e che tale istruzione che sia documentata.
In terzo luogo, il Garante ha evidenziato come il titolare del trattamento deve mettere in atto delle misure tecniche e organizzative che siano idonee a garantire che il trattamento sia effettuato nel rispetto dei principi di cui al regolamento europeo e deve altresì essere sempre in grado di dimostrare l’adozione di tali misure. Misure che, nel caso di specie, non sono state adottate.
In conclusione, il Garante ha ritenuto che, poiché l’Ospedale è qualificabile come titolare del trattamento (avendo egli determinato le finalità del trattamento nonché le modalità con cui dovevano essere gestite le varie fasi di iscrizione al concorso pubblico), è quest’ultimo che deve rispondere delle violazioni dei principi di cui si è detto poc’anzi.
Pertanto, poiché, nel caso di specie, non è stata fornita l’informativa agli interessati e non è stato sottoscritto un contratto o un atto giuridico scritto con l’incarico alla società esterna di svolgere il ruolo di responsabile del trattamento (disciplinando i relativi compiti e poteri) e poiché si è verificato un data breach per la mancata adozione di adeguate misure di sicurezza, l’Ospedale risponde direttamente delle violazioni della normativa privacy conseguenti alle suddette condotte e il fatto di aver affidato ad una società terza il compito di gestire la piattaforma on line e quindi raccogliere i dati dei candidati non lo esonera da responsabilità in senso.
In considerazione di ciò, il Garante ha applicato una sanzione pecuniaria all’Ospedale di €. 80.000, addirittura superiore di €.20.000 rispetto a quella comminata alla società terza che aveva gestito la piattaforma on line in cui si era verificato il data breach.
Scrivi un commento
Accedi per poter inserire un commento