È ormai consolidata l’idea che chi tratta dati personali è tenuto ad adottare specifiche misure di sicurezza, volte ad assicurare un livello adeguato di protezione in modo da evitare di incorrere in gravi incidenti informatici che possono mettere al rischio la privacy degli utenti.

L’adozione di misure tecniche ed organizzative adeguate al rischio, non solo è necessario per un corretto trattamento dei dati, ma è un obbligo previsto dal GDPR (art 32).

 

2000 infermieri: la portata dell’illecito trattamento da parte del Cardarelli di Napoli

Recentemente, ad essere sotto i riflettori è l’Azienda ospedaliera Cardarelli di Napoli, a cui il Garante Privacy ha irrogato una prima sanzione per avere trattato in modo illecito i dati di circa 2000 aspiranti infermieri candidati ad un concorso pubblico indetto dall’azienda ospedaliera.

E non solo.

Un’altra -pesante- sanzione è stata poi irrogata alla Società che gestiva la piattaforma per la raccolta online delle domande dei partecipanti al concorso.

 

Il fatto

Collegandosi alla piattaforma online utilizzata per la gestione delle domande di partecipazione al concorso, in un breve lasso temporale è stato infatti possibile visualizzare un elenco di codici assegnati ai candidati nel momento dell’iscrizione (cd. codici iscrizione), a ciascuno dei quali era associato un collegamento ipertestuale che consentiva l’accesso ad un’area riservata del portale, nella quale erano contenuti i documenti presentati dai partecipanti (tra cui certificazioni mediche e titoli di preferenza, contenenti dati relativi alla salute), con la possibilità di modificarli.

Utilizzando i codici di iscrizione si sarebbero potuto modificare perfino i dati personali inseriti dai concorrenti all’atto di compilazione delle domande.

 

L’esito dell’attività istruttoria condotta dal Garante

A seguito della complessa attività istruttoria condotta dall’Autorità Garante, sono stati rilevati numerosi e gravi inadempimenti alla disciplina sulla protezione dei dati personali da parte dell’Azienda Ospedaliera e della società di gestione della piattaforma.

In particolare è emerso che:

• la Società che ha reso disponibile il portale destinato al concorso, svolgeva operazioni di trattamento dei dati dei candidati per conto e nell’interesse dell’Azienda ospedaliera (Titolare del trattamento), senza mai avere ricevuto da quest’ultima la nomina a Responsabile del trattamento (art 28 GDPR).
• La Società avrebbe conservato i dati anagrafici dei candidati e la relativa documentazione “per circa un mese dalla fine della prova preselettiva o dalla scadenza del bando sui propri sistemi”, successivamente, tali dati, trasposti su un CD/DVD, sarebbero stati conservati fin quando l’Azienda ospedaliera ne avesse disposto l’eliminazione;
• L’Azienda ospedaliera avrebbe omesso di fornire ai partecipanti al concorso l’informativa (art.13 GDPR) contenente le informazioni necessarie ad assicurare un trattamento corretto e trasparente dei dati personali.
• Le misure di sicurezza tecniche ed organizzative adottate dalla Società e dall’Azienda ospedaliera, non si sono rivelate idonee a garantire un livello di sicurezza adeguato al rischio dello specifico trattamento.
• Diffusione dei dati personali dei candidati al concorso in assenza di un presupposto di liceità (compresi dati relativi alla salute, rispetto ai quali la disciplina in materia della protezione dei dati, prevede espressamente che “non possono essere diffusi”, art 9 GDPR).

 

Le sanzioni irrogate dal Garante

Alla luce di quanto esposto, l’Autorità Garante ha rilevato un illecito trattamento dei dati effettuato in violazione della disciplina in materia, irrogando una sanzione di 80 mila euro all’Azienda Ospedaliera Cardarelli e 60 mila euro alla società outsourcer informatico affidatario del servizio di gestione delle domande online e della fase di preselezione informatica dei concorrenti.