g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Scanshare S.r.l. - 10 febbraio 2022 [9754332]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9754332]

Ordinanza ingiunzione nei confronti di Scanshare S.r.l. - 10 febbraio 2022

Registro dei provvedimenti
n. 44 del 10 febbraio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. La violazione dei dati personali.

Con nota del 30 luglio 2020 - integrata con le successive note del 31 luglio e del 6 agosto 2020 - la Regione Toscana ha notificato a questa Autorità, ai sensi dell’art. 33 del Regolamento, una violazione dei dati personali, avvenuta il 27 luglio 2020. In particolare è stata rappresentata la pubblicazione accidentale di alcuni dati personali, riferiti a 3.548 interessati, che hanno partecipato, in qualità di candidati, alle prove preselettive, svoltesi nelle giornate del 21, 22 e 23 luglio 2020, del concorso pubblico per esami per l’assunzione a tempo indeterminato di n. 84 assistenti amministrativi, indetto con decreto dirigenziale n. 1076 del 24 gennaio 2020.

In particolare, la Regione Toscana ha evidenziato che in data 27 luglio 2020, alle ore 15.45, la responsabile del predetto procedimento concorsuale riceveva una segnalazione circa l’avvenuta pubblicazione, nell’ambito di un gruppo costituitosi su un sistema di messaggistica istantanea (WhatsApp) e relativo al citato concorso, “dello screenshot di una comunicazione apparentemente intercorsa tra un candidato e la società Scanshare S.r.l., affidataria del servizio di organizzazione e gestione della preselezione delle prove concorsuali e Responsabile del trattamento dei dati inerenti le prove preselettive a seguito di stipula di contratto”. In detto screenshot veniva riportato un indirizzo web dal quale era possibile scaricare un file con le anagrafiche di coloro che avevano partecipato alla preselezione nei giorni 21, 22 e 23 luglio 2020 e i punteggi delle relative prove. L’immagine di una pagina del file è stata anch’essa inviata al responsabile del procedimento e, successivamente, nella versione completa “anch’essa inviata sullo stesso gruppo whatsapp” (cfr. notifica del 30 luglio 2020), il quale “si metteva immediatamente in contatto con l’affidatario, al fine di sospendere immediatamente la pubblicazione non autorizzata e non concordata dei sopra richiamati dati e informazioni”.

La Regione ha rappresentato che, “da quanto riferito dal Responsabile del Trattamento, durante la fase di upload dei dati oggetto della violazione al fine della predisposizione dei file e documenti da inviare all'amministrazione […], è stata erroneamente inviata una email ad una candidata che chiedeva, direttamente all'affidatario, informazioni riguardo i tempi della pubblicazione dei risultati, contenente l’url che avrebbe ospitato il portale per l'accesso ai candidati del proprio test e dei risultati e “puntante” all’applicazione web in upload, e quindi incompleta, da cui è stato possibile accedere ai dati in questione. La violazione è avvenuta a causa della casuale coincidenza dell’url del portale con il percorso in cui i dati erano in trasmissione. Tale criticità, secondo quanto riportato dal responsabile del trattamento, è durata il tempo necessario affinché il trasferimento dati fosse completato. L’upload è iniziato alle 14:49 e terminato alle 15:49” (cfr. notifica del 30 luglio 2020).

La Regione ha altresì evidenziato che, dopo essere venuta a conoscenza della violazione, “già a partire dalle ore 15.45 del 27/07/2020 [… ha proceduto] alla contestazione formale all’affidatario per violazione degli obblighi assunti con il contratto di affidamento del servizio di “Organizzazione e gestione della preselezione delle prove concorsuali” CIG 815268507F, siglato dalle parti in data 17/07/2020, in particolare con riferimento all’art. 16 “Trattamento dati personali” del suddetto contratto e art. 2 relativamente agli “Obblighi del fornitore” del capitolato speciale descrittivo e prestazionale”, diffidando Scanshare S.r.l. (di seguito Società) dal “ripetere o perseverare nei citati comportamenti, lesivi e gravemente negligenti”.

La Regione ha inoltre fornito copia della relazione prodotta dalla Società in data 30 luglio 2020, nella quale, tra le altre cose, è riportato che “è stata inoltrata ad Hostinger richiesta dei log degli indirizzi IP che hanno avuto accesso ai dati. È presumibile che un numero esiguo di candidati abbia avuto accesso [e] risulta, da quanto appreso anche da pagine pubbliche facebook, che molti partecipanti alle prove preselettive anche dopo l’accesso accidentale ai dati non avessero conoscenza dei risultati” e che “i dati pubblicati accidentalmente erano contenuti in file e tabelle non di facile interpretazione”.

Con note inviate tra il 31 luglio e il 17 settembre 2020 sono pervenuti a questa Autorità numerosi reclami (diverse decine) relativi alla questione sopra descritta e presentati, anche collettivamente, dai partecipanti al predetto concorso.

2. L’attività istruttoria.

Con le note del 10 settembre 2020, la Società, in risposta alla richiesta di informazioni formulata dall’Ufficio, ha dichiarato, in particolare, che:

“in seguito alla richiesta di un candidato […] il nostro responsabile informatico ha comunicato il link che avrebbe ospitato il portale e a cui accedere per la verifica del proprio elaborato; accidentalmente, tale link, coincideva con il nome della cartella in cui era in corso l'upload dei dati effettuato dalle 14:49 alle 15:49 del 27/07/2020. Il candidato ha poi condiviso il link in un gruppo whatsapp. È presumibile che i partecipanti al gruppo abbiano avuto accesso ai dati in upload. Si specifica che l'upload è durato un'ora, ma solo al termine dello stesso la cartella conteneva i dati completi, che sono risultati accessibili, a chi conosceva il link, solo per qualche minuto. La condivisione delle informazioni è avvenuta tramite “passaparola” tra i candidati”;

“ciascun candidato, può accedere ai propri dati sull’applicazione informatica per l’accesso alle prove, che è stata spostata su altro Url rispetto a quello oggetto della violazione. Per accedere ai propri dati l’utente, deve obbligatoriamente inserire: numero di protocollo delle domande di partecipazione al concorso, indirizzo email indicato nella domanda di partecipazione al concorso e codice fiscale. Il candidato ha accesso solo ed esclusivamente ai dati inerenti la propria prova concorsuale: Cognome, nome, data di nascita, codice fiscale, numero protocollo della domanda di candidatura, punteggio e lettura ottica del modulo delle risposte della prova preselettiva. Né il database dell’applicazione, né i dati oggetto della violazione, contengono documentazione prodotta all’atto della presentazione della domanda di partecipazione al concorso, diversa da quella sopra elencata”;

“il processo di upload dei dati avveniva con una trasmissione ftps allo spazio di hosting che avrebbe ospitato l’applicazione web. Al momento della violazione non erano presenti altre restrizioni agli accessi in quanto parte dell’applicazione ancora in upload” e che “[…] il file scaricabile integralmente, in quei pochi minuti, non era di facile lettura e totalmente in “chiaro” e conteneva alcuni dati, già pubblicati in precedenza sul sito di Regione Toscana, relativi alla convocazione dei candidati; in aggiunta erano presenti la data di nascita, il codice fiscale, il numero di protocollo della domanda, la stringa di lettura ottica e il punteggio ottenuto da ogni candidato”;

sotto altri profili la società ha dichiarato di aver avviato alcune analisi, anche con il supporto della società Hostinger International Ltd, con sede in Cipro (di seguito “Hostinger”), che svolge servizio di hosting, al fine di determinare il numero, anche approssimativo, di soggetti che hanno effettuato accessi non autorizzati ai dati personali oggetto di violazione. All’esito delle predette verifiche è emerso che “solo per qualche minuto i dati completi sono stati accessibili a chi conosceva il link, è presumibile che il file sia circolato tra i candidati non perché scaricato direttamente dal link ma tramite passaparola”.

Con nota del 4 dicembre 2020, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 28, par. 2, e 32 del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

La Società ha fatto pervenire le proprie memorie difensive con nota del 2 gennaio 2021, rappresentando, tra l’altro, che:

“il rapporto tra la Scanshare Srl e Regione Toscana è regolato da un accordo quadro avente come oggetto la gestione e l’organizzazione delle procedure concorsuali indette dalla Regione. In ottemperanza a tale accordo quadro, la Scanshare ha svolto tali servizi relativi al Concorso Pubblico per 84 Assistenti Amministrativi. Le prove preselettive si sono svolte presso Arezzo Fiere nei giorni 21 – 22 – 23 luglio 2020. I candidati iscritti risultavano essere 13.882, al termine delle prove sono risultati presenti durante la prova 3548 candidati. Tra i servizi prestati per la Regione Toscana, ai fini della trasparenza e riservatezza della procedura, la Scanshare ha messo a disposizione un portale tramite il quale i candidati, con credenziali personali, potevano accedere ognuno alla propria prova visualizzando l’immagine della Scheda delle risposte, della scheda anagrafica, del questionario, il correttore e il punteggio ottenuto”;

“nei giorni successivi allo svolgimento delle prove la Scanshare ha predisposto il portale e la documentazione da pubblicare per consentire ai candidati la visualizzazione della propria prova, ogni candidato avrebbe potuto accedere alla propria pagina di consultazione attraverso le seguenti credenziali: numero di protocollo domanda e codice fiscale. Prima della pubblicazione ufficiale del portale e in seguito ad una richiesta di un candidato, il nostro responsabile informatico ha comunicato, erroneamente, il link che avrebbe ospitato il portale a cui accedere per la verifica del proprio elaborato; accidentalmente, tale link, coincideva con il nome della cartella in cui era in corso l'upload dei dati effettuato dalle 14:49 alle 15:49 del 27/07/2020”;

“il responsabile informatico, che ha risposto alla email del candidato, è persona diversa dal personale informatico che si è occupato dell’upload, il caso fortuito ha voluto che entrambi scegliessero la stessa denominazione per il link del portale e il nome della cartella di upload. Il candidato ha poi condiviso il link in un gruppo whatsapp; è presumibile che i partecipanti al gruppo abbiano avuto accesso ai dati in upload. Si specifica che l'upload è durato un'ora, ma solo al termine dello stesso la cartella conteneva i dati completi, che sono risultati accessibili, a chi conosceva il link, solo per qualche minuto”;

“la condivisione delle informazioni è avvenuta tramite “passaparola” tra i candidati. Il processo di upload dei dati avveniva con una trasmissione ftps allo spazio di hosting che avrebbe ospitato l’applicazione web. I dati consultabili al termine dell’upload, per pochissimi minuti, erano i seguenti: Cognome, nome, data di nascita, codice fiscale, numero protocollo della domanda di candidatura, punteggio e lettura ottica del modulo delle risposte della prova preselettiva. Né il database dell’applicazione, né i dati oggetto della violazione, contengono documentazione prodotta all’atto della presentazione della domanda di partecipazione al concorso, diversa da quella sopra elencata […]. Inoltre si precisa che il file scaricabile integralmente, in quei pochi minuti, non era di facile lettura e totalmente in “Chiaro” e conteneva alcuni dati, già pubblicati in precedenza sul sito di Regione Toscana, relativi alla convocazione dei candidati”;

la Società ha adottato alcune misure per attenuare gli effetti della violazione per gli interessati;

“in riferimento alla società Hostinger si conferma che non è configurabile come sub responsabile. Nei giorni successivi all’accesso non autorizzato dei dati, la società Hostinger è stata da noi contattata, esclusivamente per fini esplorativi, per verificare se poteva accedere ai log in modo da comunicare a Regione Toscana e a codesta spettabile Autorità il numero di accessi alla cartella. La società Hostinger, però, così come già da noi affermato, non è stata in grado di comunicarci i log e non ha avuto accesso in alcun modo ai dati contenuti nello spazio messoci a disposizione. Per tali motivi, aver contattato Hostinger non può ritenersi dimostrazione che tale società sia configurabile come sub responsabile”.

La Società, inoltre, nel corso dell’audizione, ai sensi dell’art. 166, comma 6, del Codice, ha rappresentato che (cfr. verbale del 20 aprile 2021):

“la violazione dei dati personali è stata determinata da un incidente informatico di carattere non doloso”;

“la Società evidenzia che il TAR per la Toscana, sezione 1, con sentenza del 29 aprile 2020, n. 518, si è pronunciato stabilendo che, nell’ambito dell’esercizio di accesso agli atti, le domande, i documenti prodotti dai candidati e gli altri documenti delle procedure concorsuali costituiscono documenti rispetto ai quali di regola è esclusa l'esigenza di riservatezza a tutela dei terzi”;

“pertanto, questo orientamento della giurisprudenza amministrativa, anche se in un diverso contesto, può essere tenuto in considerazione nella valutazione della condotta oggetto del procedimento in quanto i dati personali oggetto di violazione - che sono stati consultati, per alcuni minuti, dai candidati al concorso - avrebbero potuto essere oggetto di richieste di accesso agli atti da parte degli stessi candidati”;

“la Società ritiene che, ancorché nel corso dell’istruttoria sia emerso che era stato richiesto a Hostinger di fornire copia dei log di accesso ai sistemi informatici coinvolti nella violazione dei dati personali, il fornitore del servizio di hosting non sia un responsabile del trattamento in quanto non ha accesso ai dati personali ospitati sui propri sistemi”.

3. Esito dell’attività istruttoria.

3.1. Il quadro normativo.

La disciplina di protezione dei dati personali prevede che, sebbene sul titolare del trattamento, che determina le finalità e le modalità del trattamento dei dati, ricada una “responsabilità generale” per i trattamenti posti in essere (v. art. 5, par. 2, c.d. principio di “accountability”, e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8), e 28 del Regolamento), il Regolamento, in ogni caso, ha previsto specifici obblighi e ha disciplinato le altre forme di cooperazione cui è tenuto il responsabile del trattamento e l’ambito delle relative responsabilità (v. artt. 30, 32, 33, par. 2, 82 e 83 del Regolamento).

Il responsabile del trattamento, infatti, è legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a), del Regolamento) e il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile anche sotto il profilo della sicurezza dei dati e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare e del responsabile.

Il responsabile non può, a propria volta, ricorrere a un altro responsabile “senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento” e, caso, “su tale altro responsabile del trattamento sono imposti […] gli stessi obblighi in materia di protezione dei dati, contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento” (art. 28, par. 2 e 4, del Regolamento).

Inoltre, l’art. 32 del Regolamento prevede che, non solo il titolare, ma anche il responsabile, nell’ambito delle proprie competenze e dei compiti delegati dal titolare, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” deve mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” e che “nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare […] dalla divulgazione non autorizzata […di] dati personali trasmessi, conservati o comunque trattati”.

3.2. La sicurezza del trattamento.

In via preliminare si prende atto della circostanza che la Società, dopo essere venuta a conoscenza della violazione dei dati personali, ha fornito assistenza al titolare nel garantire il rispetto degli obblighi in materia di sicurezza del trattamento, anche con riguardo alle misure adottate per porre rimedio e attenuare gli effetti negativi della violazione nei confronti degli interessati (artt. 28, par. 3, lett. f), e 32, del Regolamento).

Dall’accertamento compiuto sulla base degli elementi acquisiti, nonché delle successive valutazioni dell’Ufficio, risulta che i candidati hanno proceduto all’iscrizione al predetto concorso indetto dalla Regione, tramite il portale in questione, e che, nei giorni precedenti alle prove preselettive, la stessa ha inviato alla Società, fornitrice del servizio di organizzazione e gestione della fase preselettiva, responsabile del trattamento, i dati necessari all’espletamento di tali prove (nome, cognome, data di nascita e codice fiscale di ciascun partecipante alla procedura). Successivamente, la Società ha proceduto al “caricamento” dei dati relativi alle prove espletate sul server che avrebbe ospitato l’applicazione web per la consultazione da parte di ciascun candidato dei propri dati. In tale circostanza si è verificato l’incidente di sicurezza che ha dato luogo alla diffusione di numerosi dati personali (riferiti a circa 3.600 partecipanti alla fase preselettiva nei giorni 21, 22 e 23 luglio 2020).

Risulta accertato che, nello svolgimento delle attività necessarie alla predisposizione dell’applicazione web per la consultazione da parte di ciascun candidato dei propri dati, la società non avesse tuttavia adottato alcuna misura idonea a garantire che i dati personali di ciascun interessato fossero resi disponibili esclusivamente allo stesso interessato o a soggetti autorizzati. In particolare, la mancata adozione di procedure di autenticazione informatica - in occasione della predetta operazione di upload dei dati, in data 29 luglio 2020, dalle ore 14:49 alle 15:49 - ha reso possibile a chiunque si fosse collegato all’indirizzo web https://scanshareservice.com/regione-toscana/, peraltro erroneamente messo a disposizione di una candidata, di accedere liberamente ai dati personali dei circa 3.600 interessati partecipanti alla procedura in questione (ossia, nome, cognome, data di nascita, codice fiscale, giorno della prova e sessione di convocazione, numero di questionario estratto per la sessione alla quale ha partecipato ciascun candidato, esiti dettagliati dei singoli questionari e punteggio complessivo).

Nel caso di specie, la violazione dei dati personali è avvenuta per cause imputabili principalmente alla Società che ha trattato i dati in qualità responsabile del trattamento. In particolare, essendo stata rilevata l’assenza di specifiche misure di controllo degli accessi per limitare il trattamento ai dati ai soli interessati o ai soggetti autorizzati, si ritiene che le misure tecniche e organizzative adottate dalla Società non siano state adeguate al rischio e che ciò abbia comportato una violazione dell’art. 32 del Regolamento.

Né può ritenersi rilevante quanto rappresentato dalla Società in relazione al diritto di accesso ai documenti amministrativi, tradizionalmente riconosciuto dalla giurisprudenza amministrativa ai candidati delle procedure concorsuali, circostanza che non ricorre nel caso di specie, essendosi verificato invece un’incidente di sicurezza che ha comportato una diffusione online di dati personali.

3.3. Il ricorso al fornitore di servizi di hosting.

Sebbene la Società, nel fornire gli estremi identificativi del fornitore di servizi di hosting di cui si avvale (Hostinger), abbia rappresentato che lo stesso “non ha accesso al database in alcun modo, non interviene in alcun modo nel processo di trattamento dei dati personali” e che, con riferimento al trattamento dei dati personali in esame, “non è stato nominato e/o utilizzato nessun sub responsabile”, tuttavia, nel corso dell’istruttoria è stata prodotta dalla Regione una relazione, inviata dalla Società, dalla quale emerge che la stessa ha rappresentato di aver richiesto a Hostinger i “log degli indirizzi IP che hanno avuto accesso ai dati”.

Al riguardo, si osserva che stante la definizione di “trattamento di dati personali” (art. 4, punto 2), del Regolamento) e come riportato anche nella c.d. “Politica sulla Privacy” (spec. par. “6. Information pertaining to visitors and users of our user’s websites or services”) pubblicata sul sito web di Hostinger (URL: https://www.hostinger.it/privacy), il fornitore del servizio di hosting in questione – sia esso hosting di siti web su server condivisi, oppure hosting di server virtuali o fisici – tratta informazioni personali relative ai visitatori o agli utenti di un sito web ospitato sulla propria infrastruttura tecnologica. In primo luogo, Hostinger raccoglie, registra e conserva alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione telematica, quali l’indirizzo IP del dispositivo utilizzato dall’utente, la data e l’ora della connessione e l’indirizzo IP del server che ospita il sito web visitato dall’utente. Inoltre, pur non accedendo direttamente ai dati personali trattati nell’ambito di un sito web, Hostinger, in quanto fornitore di servizi di hosting, conserva tali dati sulla propria infrastruttura tecnologica, assicurando determinati livelli di servizio in termini di disponibilità dei sistemi e mettendo a disposizione dei propri clienti una serie di strumenti per gestire e monitorare il servizio (cfr., con riguardo alla mancata regolazione del rapporto con il fornitore del servizio di hosting, provv. 11 febbraio 2021, n. 49, doc. web n. 9562852, spec. par. 3.2).

Sulla base degli elementi sopra riportati, deve quindi ritenersi che, contrariamente a quanto sostenuto dalla Società, le operazioni sopra descritte diano comunque luogo a un trattamento di dati personali ai sensi dell’art. 4, punto 2), del Regolamento, da parte di Hostinger (cfr. Guidelines 7/2020 on the concepts of controller and processor in the GDPR, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, in particolare, par. 2.1.4, punto 40, nella parte in cui è riportato l’esempio relativo agli “Hosting services”).

Inoltre, si rileva che nel corso dell’istruttoria la Regione Toscana ha evidenziato che “non ha ricevuto comunicazioni né richieste di autorizzazione, da parte della Società Scanshare S.r.l., riguardanti il coinvolgimento di soggetti terzi e la loro nomina a sub-responsabili del trattamento dei dati” (cfr., con riguardo alla mancata autorizzazione del titolare a ricorrere a un altro responsabile del trattamento, provv. 10 giugno 2021, n. 236, doc. web n. 9685947, spec. par. 3.1).

Per tali ragioni – considerato anche che l’art. 16 del “contratto per l’affidamento del servizio “Organizzazione e gestione della preselezione delle prove concorsuali”, che disciplina, ai sensi dell’art. 28 del Regolamento, il trattamento dei dati personali in esame da parte della Società, al suo comma 3 prevede che “l’appaltatore si impegna a non mettere in atto trattamento diversi da quelli autorizzati dal titolare” – si ritiene che il ricorso da parte della Società ai servizi offerti da Hostinger, senza previa autorizzazione scritta dalla Regione Toscana, sia avvenuto in violazione dell’art. 28, par. 2, del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Società, per conto della Regione Toscana, in quanto affidataria del servizio di gestione di talune fasi della predetta procedura, in quanto avvenuto in assenza di adeguate misure tecniche e organizzative volte a garantire la riservatezza e l’integrità dei dati personali trattati in violazione dell’art. 32 del Regolamento e facendo ricorso ad una società per il servizio di hosting senza previa autorizzazione scritta del titolare del trattamento, in violazione dell’art. 28, par. 2, del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e dell’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi, è stato considerato l’elevato numero (oltre tremila partecipanti al concorso) di interessati i cui dati sono stati diffusi.
Di contro, è stato considerato che la violazione dei dati personali si è protratta per un breve arco temporale (circa un’ora) e che la Società ha prestato la propria ampia collaborazione nel corso dell’istruttoria.

Ai fini della commisurazione della complessiva sanzione è stato considerato altresì il fatturato della Società come risultante dall’ultimo bilancio di esercizio, nonché la circostanza che la Società medesima è stata coinvolta in un precedente procedimento, poi definito con il provvedimento n. 161 del 17 settembre 2020 (doc. web n. 9461321), nel corso del quale è stato accertato che la stessa, nella gestione di talune fasi di una procedura concorsuale indetta da altro committente pubblico, si era resa responsabile di un incidente di sicurezza relativo ai dati contenuti nelle domande di partecipazione al concorso. Per tali ragioni si ritiene che le precedenti violazioni commesse dalla Società debbano essere considerate precedenti specifici “relativamente allo stesso oggetto” (art. 83, par. 2, lett. i), del Regolamento) in relazione alla mancata adozione di adeguate misure di sicurezza (art. 32 del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 10.000 (diecimila) per la violazione degli artt. 28, par. 2, e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto dei numerosi interessati coinvolti nella violazione dei predetti dati, ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dalla società Scanshare S.r.l., descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 28, par. 2, e 32 del Regolamento, nei termini di cui in motivazione;

ORDINA

alla società Scanshare S.r.l. in persona del legale rappresentante pro-tempore, con sede legale in Rende (CS), C.da Cutura 7, P.I. 03118780786, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla società Scanshare S.r.l. di pagare la somma di euro 10.000 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs. n. 150 dell’1/9/2011);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi degli artt. 78 del Regolamento,152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 febbraio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei