Sarah Yacoubi: "Il Garante della Privacy multa l'ospedale Cardarelli per l'errato trattamento dei dati dei partecipanti ad un concorso"

di SARAH YACOUBI*

L’intervento del Garante di protezione dei Dati, Dr. Pasquale Sanzionato, nei confronti dell’ospedale Cardarelli e della società che ha gestito un concorso pubblico per infermieri, non è il primo e non sarà l’ultimo, perché la privacy è un fatto culturale, ma soprattutto un diritto a garanzia della libertà individuale. 

Il provvedimento sanzionatorio nei confronti dell’azienda ospedaliera di Napoli è scaturito dall’illegittimo trattamento di circa 2000 nominativi. Il Garante per la privacy ha irrogato una multa di 80mila euro. Un’altra sanzione, di 60mila euro, è stata applicata alla società che gestiva la piattaforma per la raccolta online delle domande dei partecipanti. Il tutto sarebbe partito a seguito di una segnalazione nella quale si lamentava il fatto che i dati dei candidati alla selezione - in alcuni casi anche relativi alla salute (titoli di preferenza e certificazioni mediche) - fossero liberamente accessibili online. L’Autorità, a seguito della segnalazione, ha avviato una complessa istruttoria, inclusi gli accertamenti ispettivi, che ha messo in luce numerosi e gravi inadempimenti della disciplina di protezione dati.

Collegandosi alla piattaforma per la gestione delle domande, per un’errata configurazione dei sistemi, in un determinato arco temporale era stato infatti possibile visualizzare un elenco di codici, assegnati ai candidati al momento dell’iscrizione al concorso, che attraverso semplici passaggi consentivano l’accesso a un’area del portale nella quale erano contenuti i documenti presentati dai partecipanti. Utilizzando i codici si sarebbe perfino potuto modificare i dati personali inseriti dai concorrenti.

L’Autorità - composta dal Presidente Pasquale Stanzione, dalla Vicepresidente Ginevra Cerrina Feroni e dai Componenti Agostino Ghiglia e Guido Scorza - ha ritenuto illeciti i trattamenti di dati personali svolti dall’Azienda ospedaliera e dalla Società perché effettuati in violazione delle norme del Regolamento europeo.

Entrambi i soggetti non avevano infatti adottato adeguate misure tecniche e organizzative per garantire la sicurezza e l’integrità dei dati. L’Azienda ospedaliera, oltretutto, non aveva fornito ai partecipanti una idonea informativa e aveva anche omesso di regolamentare il rapporto con la Società che gestiva la piattaforma con un contratto o con un altro atto giuridico che disciplinasse il trattamento di dati effettuato per suo conto. Il Garante infine, rilevato che la Società continuava a conservare e rendere disponibili sulla propria piattaforma i dati dei partecipanti anche dopo la cessazione della fornitura del servizio, ha vietato ogni ulteriore trattamento ad eccezione di quanto necessario per la difesa dei diritti in sede giudiziaria. Entro 30 giorni la Società dovrà comunicare all’Autorità le iniziative prese per assicurare la cessazione del trattamento.

Nella quantificazione della sanzione il Garante ha tenuto in particolare considerazione il fatto che le violazioni sono connesse a un trattamento iniziato subito dopo la definitiva applicazione del Regolamento. Il caso dimostra come le Pubbliche Amministrazioni devono prestare particolare attenzione ai dati, potenzialmente sensibili, che ricevono nell’espletamento di procedure amministrative ad alto flusso come i concorsi pubblici. Non è sufficiente prevedere l’anonimizzazione del dato tramite codici, ma nel prosieguo dell’attività occorre salvaguardare l’integrità dei dati stessi.

*Privacy consultant
Data Protection Officer

CLICCA QUI