E’ stata comminata una sanzione dal Garante privacy nei confronti di un ospedale e del suo outsourcer per trattamento illecito dei dati dei candidati in un concorso pubblico.
Il 17 settembre 2020, il Garante privacy ha comminato una sanzione di € 80 mila nei confronti di un ospedale e di € 60 mila nei confronti del suo outsourcer informatico, per aver trattato i dati di oltre 2.000 candidati infermieri tramite la piattaforma online direcruiting in violazione del Regolamento europeo per la protezione dei dati 2016/679 (GDPR) e del D. Lgs. 196/2003 (il Codice Privacy).
Mediante una segnalazione al Garante, è stata lamentata la diffusione di dati personali dei candidati a un concorso pubblico indetto dall’azienda ospedaliera, in alcuni casi anche relativi alla salute (come ad esempio, i titoli di preferenza e le certificazioni mediche). Il Garante ha pertanto avviato una complessa istruttoria, attraverso la quale è stato accertato che, a causa di un’errata configurazione dei sistemi informatici, si era verificato un data breach sulla piattaforma di gestione delle domande e preselezione automatica dei concorrenti. In particolare, per un determinato arco temporale erano stati visualizzati sulla piattaforma dei codici mediante i quali non soltanto era stato possibile accedere ai documenti presentati dai candidati, ma persino modificare i dati personali inseriti negli appositi moduli per la selezione.
Tramite verifiche e controlli – anche ispettivi –, il Garante privacy ha altresì rilevato numerosi e gravi inadempimenti rispetto alla normativa in materia di protezione dei dati personali sia da parte dell’azienda ospedaliera che dell’outsourcer.
Entrambi i soggetti non avevano adottato adeguate misure tecniche e organizzative per garantire la sicurezza e l’integrità dei dati. Inoltre, l’azienda ospedaliera non aveva fornito ai partecipanti un’idonea informativa e aveva anche omesso di regolamentare il rapporto con l’outsourcer IT mediante un contratto o un altro atto giuridico che disciplinasse il trattamento di dati effettuato per suo conto, in qualità di responsabile del trattamento. Per quanto riguarda invece l’outsourcer, il Garante privacy ha riscontrato che quest’ultimo continuava a conservare e rendere disponibili sulla propria piattaforma i dati dei partecipanti al concorso pubblico, anche dopo la cessazione della fornitura del servizio e ha quindi vietato ogni ulteriore trattamento, ad eccezione di quanto necessario per la difesa dei diritti in sede giudiziaria.
Il Garante ha pertanto ritenuto illeciti i trattamenti di dati personali effettuati tramite la piattaforma di recruiting e ha comminato all’azienda ospedaliera e alla relativa società di outsourcing informatico una sanzione di ammontare complessivo pari a € 140 mila. I provvedimenti sono stati pubblicati sul sito web del Garante, a titolo di sanzione accessoria.
Nella determinazione delle conseguenze delle violazioni perpetrate, è stato considerato, tra gli altri, la particolare delicatezza dei dati personali illecitamente trattati e diffusi che comprendevano anche dati relativi alla salute nonché, con riguardo all’incidente di sicurezza occorso, la durata della permanenza online (25 giorni), il numero di interessati coinvolti (oltre 2.000 interessati) e, sotto il profilo della gravità e della durata della violazione, del danno per gli interessati nonché del grado di responsabilità dell’azienda ospedaliera e della società di outsourcing.
Sul medesimo argomento, può essere interessante l’articolo “La comunicazione di un data breach secondo il Garante privacy”.