Il Garante per la protezione dei dati personali ha reso noto, in data 30 settembre 2020, di aver condannato un azienda sanitaria e l’azienda che forniva la piattaforma per le richieste di partecipazione.
Nel caso di specie, la sanzione è scattata in quanto le informazioni di 2000 candidati infermieri, anche quelle relative a certificazioni mediche o a titoli di preferenza, fossero liberamente accessibili online.
A seguito di una segnalazione da parte di uno dei partecipanti l’Autorità ha quindi avviato una complessa istruttoria che è passata anche per accertamenti ispettivi e che ha messo in luca tutta una serie di gravi illeciti e violazioni della normativa in materia di protezione dei dati personali.
Vietata la divulgazione dei partecipanti ai concorsi
A causa di un errore nella configurazione della piattaforma, era possibile accedere alla piattaforma e visualizzare un elenco di codici relativi ad un determinato arco temporale, tali codici, mediante una serie di semplici passaggi consentivano il log in ad una area riservata della piattaforma online che conteneva i documenti dei partecipanti, permettendo così un accesso abusivo.
Grazie a tali codici, inoltre, era possibile, a chi accedesse, modificare le informazioni dei partecipanti, complicando ulteriormente la posizione della azienda sanitaria e del fornitore della piattaforma.
Alla luce di tale situazione, l’Autorità – composta dal Presidente Pasquale Stanzione, dalla Vicepresidente Ginevra Cerrina Feroni e dai Componenti Agostino Ghiglia e Guido Scorza – ha ritenuto assolutamente illecito il trattamento di dati personali svolto tanto dall’azienda ospedaliera quanto dalla società fornitrice.
Le contestazioni
- Entrambi i soggetti non avevano, quindi, adottato adeguate misure tecniche e organizzative per garantire la sicurezza e l’integrità dei dati.
- L’Azienda ospedaliera, oltretutto, non aveva fornito ai partecipanti una idonea informativa e aveva omesso di regolamentare il rapporto con la società che gestiva la piattaforma con un contratto o con un altro atto giuridico che disciplinasse il trattamento di dati effettuato per suo conto (nomina a responsabile del trattamento ex. art. 28 GDPR)
- Il Garante infine, ha rilevato che la società continuava a conservare e rendere disponibili sulla propria piattaforma i dati dei partecipanti anche dopo la cessazione della fornitura del servizio, ha vietato ogni ulteriore trattamento. Eccezion fatta di quanto necessario per la difesa dei diritti in sede giudiziaria.
Le sanzioni
- Entro 30 giorni la società coinvolta dovrà comunicare al Garante le misure messe in atto per garantire la cessazione del trattamento.
- 80000 euro di sanzione per l’azienda ospedaliera;
- 60000 euro di sanzione per la società che gestiva la piattaforma per la raccolta online delle domande dei partecipanti;
- L’Autorità tenuto conto della particolare delicatezza dei dati diffusi, oltre alla sanzione pecuniaria, ha applicato la sanzione accessoria della pubblicazione dei due provvedimenti sul proprio sito web.