L’Autorità garante per la protezione dei dati personali (“Garante privacy” o “Autorità”), a seguito di una segnalazione che lamentava la diffusione di dati personali di candidati a un concorso pubblico, con il provvedimento n. 160 del 17 settembre 2020 ha irrogato all’azienda ospedaliera “A. Cardarelli” di Napoli (“Azienda” o “Committente”) una sanzione pecuniaria pari ad 80.000,00 euro per illecito trattamento di dati personali.

Parimenti, con il provvedimento n. 161 del 17 settembre 2020, il Garante privacy ha altresì comminato una sanzione di 60.000,00 euro alla società Scanshare S.r.l. (“Società” o “Outsourcer”), affidataria del servizio di gestione delle domande online e della fase di preselezione informatica dei partecipanti al concorso.

La segnalazione e l’attività istruttoria condotta dall’Autorità

La segnalazione pervenuta all’Autorità rappresentava che, collegandosi alla piattaforma per la gestione delle domande ai concorsi indetti dall’Azienda, era possibile per chiunque visualizzare il codice di iscrizione dei candidati a uno specifico concorso, associato ad un collegamento ipertestuale che permetteva l’accesso a un’area del portale nella quale erano contenuti alcuni documenti presentati dai candidati.

Ciò consentiva, da un lato, di visualizzare i predetti documenti (contenenti dati comuni e dati relativi alla salute) e, dall’altro, di modificare i dati inseriti dai candidati.

Sul punto, l’Azienda ha chiarito che la piattaforma gestionale utilizzata per l’attuazione dei concorsi apparteneva all’Outsourcer e, pertanto, non risiedeva in macchine aziendali né era gestita dal personale dipendente della Committente.

Inoltre, quanto alla durata del data breach occorso, nelle memorie difensive l’Azienda ha sottolineato l’affidamento riposto sulle garanzie fornite dalla Società, che aveva in un primo momento rassicurato che i dati erano stati resi accessibili a chiunque per un lasso di tempo minimo (i.e., pochi minuti).

Solo a seguito dell’accesso agli atti del fascicolo presso il Garante privacy, la Committente apprendeva che in realtà – per una errata configurazione dei sistemi che non era stata tempestivamente individuata dall’Outsourcer – i dati erano rimasti accessibili sulla piattaforma per un periodo pari a 25 giorni.

Esito dell’attività istruttoria

Come precisato dal Garante privacy nei provvedimenti in commento, la normativa vigente in materia di trattamento di dati personali consente ai soggetti pubblici che operano nello svolgimento di procedure concorsuali di trattare i dati personali degli interessati (compresi quelli rientranti nelle categorie particolari di dati) al fine di “adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (art. 6, par. 1, lett. c), GDPR) ovvero “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e), GDPR).

Inoltre, se da un lato il GDPR consente il trattamento di particolari categorie di dati personali (in cui rientrano i dati relativi alla salute) “per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro” (art. 9, par. 2, lett. b), GDPR), dall’altro ne vieta comunque la diffusione.

In ogni caso, precisa l’Autorità, le operazioni di trattamento – seppure autorizzate da una specifica previsione normativa – devono avvenire nel rispetto dei principi di cui all’art. 5, GDPR, ossia “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione”, nonché “integrità e riservatezza dei dati personali” e “responsabilizzazione” (o “accountability”).

L’informativa agli interessati e la base giuridica del trattamento

Il Garante privacy ha constatato che l’Azienda non ha fornito agli interessati le informazioni richieste dall’art. 13, GDPR (e.g., identità e dati di contatto del titolare e del responsabile del trattamento, finalità e base giuridica del trattamento, periodo di conservazione dei dati).

In particolare, non è stato ritenuto adeguato il sintetico documento pubblicato sulla pagina iniziale della piattaforma e contenuto sul manuale di gestione del portale, riportante esclusivamente la seguente dicitura: “l’utente fornisce il consenso al trattamento dei dati personali ai sensi del d.lgs. n. 196/2003, i dati forniti saranno raccolti e trattati presso l’UOC Risorse Umane della AORN Cardarelli, nonché presso la Ditta fornitrice della piattaforma informatica, esclusivamente nell’ambito del procedimento per il quale la presente dichiarazione viene resa”; ciò anche alla luce della mancanza di documenti integrativi eventualmente richiamati e/o forniti successivamente con modalità alternative (e.g., mediante invio di una e-mail di conferma dell’avvenuta registrazione al concorso).

Con specifico riferimento alla base giuridica del trattamento, l’Autorità ha altresì sottolineato:

  • l’inopportunità del consenso quale base giuridica del trattamento. Infatti, nel caso in esame, l’Azienda agisce nell’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri o, in ogni caso, per l’istaurazione e gestione di rapporti di lavoro e ciò comporta un “evidente squilibrio tra interessato e titolare” ai sensi del considerando 43, GDPR; pertanto
  • le operazioni di trattamento in esame trovano più opportunamente la propria base giuridica nella disciplina che regola l’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei pubblici concorsi.

La mancata regolamentazione del rapporto con la Società

Con riferimento ai ruoli privacy delle parti, l’Azienda – che pure ha riconosciuto il suo ruolo di titolare del trattamento – nelle memorie difensive ha rappresentato che la stessa Società si era qualificata come titolare e che, in ogni caso, i mezzi del trattamento erano sottratti al suo potere di disponibilità e di controllo.

Tuttavia, il Garante privacy ha sottolineato che la Società – vincitrice di una gara di appalto indetta dall’Azienda attraverso il Mercato Elettronico della Pubblica Amministrazione (“MEPA”) per la fornitura di servizi online di gestione delle domande e preselezione automatica di concorrenti per alcune procedure concorsuali – ha trattato i dati personali dei candidati sulla base di precise scelte della Committente, che ha determinato le finalità del trattamento e ha indicato le modalità di gestione delle diverse fasi della procedura, nonché i principali termini dell’esecuzione del servizio.

Una volta individuati i corretti ruoli privacy dell’Azienda e della Società (rispettivamente, titolare e responsabile del trattamento), l’Autorità ha quindi constatato la mancata regolazione del rapporto con l’Outsourcer.

In particolare, il responsabile è legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a), GDPR), al quale spettano le decisioni circa le finalità e le modalità del trattamento dei dati, nonché una responsabilità generale sui trattamenti posti in essere (ivi compresi quelli effettuati da terzi per suo conto).

Quanto al contenuto e alla natura dell’atto che definisce il ruolo del responsabile, l’Autorità inoltre ha avuto modo di ribadire che “il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare”, escludendo che l’avviso di indizione sul MEPA della procedura negoziata o la deliberazione di aggiudicazione della gara potessero avere le specifiche caratteristiche di un atto giuridico suscettibile di definire il ruolo del responsabile per carenza degli elementi previsti dal GDPR.

La sicurezza del trattamento e la diffusione di dati personali dei candidati alla procedura concorsuale

Ai sensi del GDPR, i titolari e i responsabili devono svolgere le operazioni di trattamento “in maniera da garantire un’adeguata sicurezza dei dati personali” (art. 5, par. 1., lett. f), GDPR,) e, di conseguenza, mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto “dei rischi presentati dal trattamento che derivano in particolare […] dalla divulgazione non autorizzata [… di] dati personali trasmessi, conservati o comunque trattati” (art. 32, GDPR).

Per contro, l’Azienda si è resa responsabile della mancata adozione di misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante la piattaforma gestita dalla Società, la quale – contrariamente a quanto sostenuto dall’Azienda nelle memorie difensive – non può essere ritenuta unicamente responsabile dell’illecita diffusione dei dati personali dei candidati alla procedura concorsuale.

Quanto sopra, sottolinea il Garante privacy, discende dalla responsabilità generale del titolare del trattamento che “ai fini della predisposizione delle misure tecniche ed organizzative che soddisfino i requisiti del Regolamento […] può ricorrere anche a un responsabile per lo svolgimento di alcune attività di trattamento, al quale impartisce specifiche istruzioni, anche sotto il profilo della sicurezza”.

Nel caso di specie, proprio in conseguenza della mancata regolazione dei rapporti con l’Outsourcer, la Committente non aveva in alcun modo fornito le predette le istruzioni, omettendo altresì di vigilare sulla sicurezza dei dati personali trattati per suo conto dalla Società.

In particolare, da quanto emerso dalle verifiche effettuate dall’Autorità:

  • l’insufficienza delle misure tecniche e organizzative adottate dall’Azienda per il tramite dell’Outsourcer ha contribuito a creare le premesse per il verificarsi della violazione di sicurezza oggetto di segnalazione, con la conseguente illecita diffusione di dati personali sul portale del concorso, compresi quelli relativi alla salute degli interessati;
  • l’Azienda non ha adottato né una procedura formale né dei controlli nei confronti dell’operato della Società idonei a garantire l’integrità e la rispondenza fra i dati inseriti nella piattaforma dai candidati e i dati effettivamente ricevuti allo scadere dei termini del concorso o dopo l’eventuale svolgimento della prova preselettiva. Ciò, ha sottolineato il Garante privacy, “è da considerarsi con particolare attenzione anche in ragione del fatto che un’eventuale discrepanza fra i documenti presentati dai candidati e quelli esaminati dall’Azienda ospedaliera avrebbe potuto determinare gravi effetti pregiudizievoli per gli interessati, quali ad esempio, la possibile esclusione dalla partecipazione al concorso o il mancato riconoscimento di eventuali titoli di preferenza, rispetto ad altri candidati”;
  • le modalità di trasmissione dei dati da parte dell’Outsourcer all’Azienda – effettuata mediante l’invio di un CD-ROM privo di meccanismi di protezione – non hanno consentito di proteggere adeguatamente i dati personali da accessi non autorizzati, i quali non sarebbero stati in ogni caso individuabili o tracciabili ex post.

 

Ulteriori accertamenti dell’Autorità

L’Autorità ha accertato che, al momento dell’emissione del provvedimento, i dati degli interessati forniti in sede di presentazione della domanda erano ancora accessibili tramite la piattaforma gestita dalla Società, la quale ha continuato a trattare illecitamente tali dati anche dopo la cessazione del rapporto contrattuale con la Committente.

A parere del Garante privacy, ciò dimostrerebbe che – anche in virtù della mancata adozione di un atto giuridico volto a regolare i rapporti tra le parti e, soprattutto, di controlli sull’operato dell’Outsourcer –l’Azienda ha di fatto perso il pieno controllo sui dati personali di cui era titolare, atteso che la Società ha continuato a trattare illecitamente tali dati anche dopo la cessazione del rapporto contrattuale con la Committente.

Le sanzioni irrogate dall’Autorità

Come anticipato, in virtù delle violazioni accertate, l’Autorità ha irrogato nei confronti dell’Azienda e della Società sanzioni pecuniarie pari, rispettivamente, a 80.000,00 e 60.000,00 euro, nonché la sanzione accessoria della pubblicazione sul sito del Garante privacy dei provvedimenti dalla stessa emanati.

Il quantum della pena pecuniaria è stato determinato alla luce dei parametri di cui all’art. 83, GDPR e, in particolare, considerando i seguenti elementi:

  • le violazioni sono connesse a un trattamento iniziato subito dopo la definitiva applicazione del GDPR (e., 25 maggio 2018);
  • la particolare delicatezza dei dati personali illecitamente trattati e diffusi;
  • la durata della permanenza online dei dati (e., circa 25 giorni);
  • il numero di interessati coinvolti (e., oltre 2.000 candidati);
  • la circostanza che la Società ha continuato a trattare i dati anche dopo la cessazione del rapporto contrattuale con l’Azienda;
  • il fatto che al momento dell’emissione del provvedimento era ancora possibile per chiunque consultare i dati personali conferiti dai partecipanti all’atto di iscrizione al concorso;
  • la collaborazione con l’Autorità nel corso dell’istruttoria del procedimento (scarsa con riferimento alla Società e proficua con riferimento all’Azienda);
  • l’assenza di precedenti violazioni pertinenti.

Con specifico riferimento alla Società, l’Autorità, ai sensi dell’art. 58, par. 2, lett. f), GDPR, ha vietato ogni ulteriore operazione di trattamento dei dati personali raccolti per conto dell’Azienda, ad eccezione di quanto necessario per l’accertamento, l’esercizio o la difesa dei diritti in sede giudiziaria.

Considerazioni finali

I provvedimenti in commento rivelano la gravità delle violazioni della normativa data protection posti in essere sia dall’Azienda sia dalla Società, soprattutto ove si consideri che le condotte sanzionate sono state interamente poste in essere in un momento in cui il GDPR era già pienamente applicabile.

Inoltre, ancora una volta il Garante privacy ha avuto modo di chiarire la concreta portata del principio di accountability nei riguardi sia dei titolari sia dei responsabili del trattamento, inteso come il dovere di adottare comportamenti attivi e idonei a dimostrare la corretta adozione di misure finalizzate ad assicurare l’applicazione della normativa vigente in materia di protezione e trattamento di dati personali.

Tale dovere, come chiarito dall’Autorità, risulta ancora più pregnante con riferimento ai titolari, ai quali compete una “responsabilità generale” sulle operazioni di trattamento, anche quando tali operazioni siano poste in essere, in tutto o in parte, da soggetti terzi che agiscono per loro conto.