Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Provvedimento del 17 settembre 2020 [9461168]

 

VEDI ANCHE Newsletter del 30 settembre 2020

 

[doc. web n. 9461168]

Provvedimento del 17 settembre 2020

Registro dei provvedimenti
n. 160 del 17 settembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La segnalazione.

Con segnalazione pervenuta in data XX, è stata lamentata la diffusione di dati personali dei candidati a un concorso pubblico indetto dall’Azienda Ospedaliera di rilievo nazionale “A. Cardarelli” di Napoli (di seguito, l’Azienda). In particolare, è stato rappresentato che accedendo all’URL http://... era possibile visualizzare un elenco di codici alfanumerici, corrispondenti al “codice iscrizione” dei candidati a uno specifico concorso (XX). A ciascuno di tali codici era associato un collegamento ipertestuale che permetteva l’accesso a un’area del portale nella quale erano contenuti alcuni documenti presentati dai candidati a integrazione della domanda di partecipazione al concorso. Digitando i codici nelle caselle di inserimento dei dati presenti nella pagina accessibile all’URL http://..., era consentito l’accesso a una maschera nella quale erano riportati i dati inseriti dai candidati con la possibilità di modificarli (cfr., segnalazione e relazione di servizio del XX).

Attraverso l’URL http://..., era possibile visualizzare, inoltre, ulteriori documenti allegati dagli stessi candidati, contenenti anche dati relativi alla salute (es. titoli di preferenza e certificazione medica).

Tali circostanze sono state accertate dall’Ufficio del Garante (cfr. Relazione di servizio del XX, in atti).

2. L’attività istruttoria.

In riscontro alle specifiche richieste dell’Ufficio, con note del XX, l’Azienda ha rappresentato che:

- la piattaforma gestionale utilizzata per l’attuazione dei concorsi appartiene alla società Scanshare s.r.l. (di seguito, la “Società”), affidataria del servizio di gestione delle domande online e della fase di preselezione informatica dei concorrenti;

- la piattaforma non risiedeva su macchine aziendali e non era gestita da personale dipendente dell’Azienda, ma dalla stessa Società, che trattava i dati qualificandosi titolare del trattamento;

- con riguardo alla vicenda oggetto di segnalazione la Società, alla quale l’Azienda aveva chiesto una relazione tecnica sull’accaduto, ha dichiarato che “l’accesso alle cartelle […] indicate è stato effettuato in un lasso di tempo di qualche minuto in cui la piattaforma risultava in manutenzione a causa di molteplici accessi simultanei da parte dei candidati”.

In seguito, l’Ufficio ha condotto un’attività di accertamento, ai sensi dell’art. 58 del Regolamento e 157 e 158 del Codice, nei confronti sia dell’Azienda (il XX), sia della Società (il XX, cfr. verbali delle operazioni compiute, in atti).

I rappresentanti dell’Azienda, nel corso dell’attività ispettiva, hanno dichiarato:

- di avere indetto una gara di appalto attraverso il Mercato Elettronico della Pubblica Amministrazione (MEPA) “per la selezione di un fornitore di sevizi on-line di gestione delle domande e preselezione automatica di concorrenti per alcune procedure concorsuali”, all’esito della quale è risultata vincitrice la Società (v. Deliberazione del Direttore Generale n. 40 del 18 gennaio 2018, allegato al verbale cit.);

- che il servizio affidato consisteva nella gestione delle domande presentate dai candidati e della relativa documentazione; nei casi in cui il numero delle domande presentate fosse stato elevato, la società avrebbe dovuto occuparsi anche dell’organizzazione e gestione delle prove preselettive. Inoltre, in occasione della pubblicazione dei bandi, la Società avrebbe dovuto predisporre un apposito modulo - da pubblicarsi sulla piattaforma on-line, raggiungibile all’indirizzo: http://... - nel quale i candidati che avessero inteso presentare la domanda potevano inserire i propri dati anagrafici, i titoli, gli attestati di carriera e i criteri di preferenza (quali, a titolo esemplificativo, quelli di invalidità), allegando i documenti attestanti le dichiarazioni rese;

- che la Società non ha fornito alcuna attestazione di conformità relativamente ai dati e ai documenti forniti, che sono stati memorizzati su un CD-ROM, privo di precauzioni di protezione e al cui interno i file erano “conservati in cartelle, denominate con nome e cognome del candidato e il codice assegnato dalla procedura. I file sono resi disponibili in formato PDF non firmato” (verbale di operazioni compiute, p. 3);

- l’Azienda sarebbe venuta a conoscenza dell’evento segnalato solo in occasione della nota di richiesta di elementi dell’Autorità, a seguito della quale, non avendo rilevato alcuna anomalia sui propri sistemi, ha chiesto chiarimenti in merito alla Società; solo a quel punto la Società avrebbe fornito “una descrizione tecnica […] dell’evento […ed] esplicitato le misure di sicurezza adottate dal fornitore relativamente alle procedure di accesso, di autenticazione, di tracciamento degli accessi nonché alla configurazione della piattaforma” (verbale di operazioni compiute, p. 4).

Nel corso dell’istruttoria l’Azienda ha esercitato il diritto di accesso ai documenti amministrativi e agli atti ispettivi effettuati dal Garante nei confronti della Società. Il relativo procedimento di accesso agli atti è stato definito dall’Ufficio con nota del XX (prot. n. XX).

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti nell’ambito della complessa istruttoria avviata, dell’esame di tutta la documentazione acquisita nel corso delle due verifiche ispettive compiute e trasmessa successivamente da parte dell’Ente e della Società coinvolti, nonché dei fatti emersi nel corso dell’attività istruttoria e delle successive valutazioni effettuate, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con la nota sopra menzionata, l’Ufficio ha rilevato che il trattamento dei dati personali degli interessati, nelle modalità sopra descritte, è stato effettuato dall’Azienda in violazione del principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) del Regolamento) e dell’art. 13 del Regolamento, in quanto non è stata fornita agli interessati, che hanno partecipato al concorso, un’idonea informativa; in violazione dell’art. 28 del Regolamento, in quanto l’Azienda ha omesso di regolamentare il rapporto con la Società mediante un contratto o altro atto giuridico che disciplinasse il trattamento effettuato per suo conto dalla Società; in assenza di un idoneo presupposto di liceità e in violazione del divieto di diffusione dei dati sulla salute (artt. 6 par. 1, lett. c) ed e) del Regolamento e artt. 2-ter e 2-septies, comma 8 del Codice); in violazione dell’art. 32 del Regolamento, per mancata adozione di adeguate misure tecniche e organizzative volte a garantire la riservatezza e l’integrità dei dati personali trattati

Con nota del XX l’Azienda ospedaliera ha fatto pervenire le proprie memorie difensive, rappresentando, tra l’altro, che:

- “la violazione contestata va analizzata nel contesto concreto ed effettivo del contratto d'appalto stipulato dall’A.O., a mezzo procedura di evidenza pubblica, con la società gerente la piattaforma informatica che ha originato l'incidente di sicurezza (c.d. "data breach") […in quanto l’assetto dei rapporti tra le parti] non prevedeva […] alcuna influenza effettiva della struttura pubblica committente sul concreto funzionamento della piattaforma;

- “la stessa società affidataria del servizio […] si qualifica espressamente come titolare del trattamento in quanto soggetto che, nel complesso, esercita un potere decisionale autonomo sulle finalità e modalità di trattamento dei dati personali, ivi compreso il profilo della sicurezza” (cfr. doc. recante “Specifiche funzionali del portale, comprensive dell'architettura del sistema nonché dei flussi dati tra le sue varie componenti”, in atti);

- “se sul piano strettamente formale ed organizzativo, permane la sfera di titolarità del trattamento in capo all' Azienda Ospedaliera per quanto attiene le finalità del trattamento dei dati dei candidati, i mezzi dello specifico trattamento […] sono, di fatto, sottratti alla sua sfera di disponibilità e al potere di controllo diretto e/o continuativo” anche perché “il sito http://... […] non risiede sulle macchine aziendali, né è gestito da personale interno” (cfr. nota interna del XX indirizzata al Responsabile della Protezione dei Dati e al Direttore Amministrativo, del XX in atti);

- “il procedimento sanzionatorio avviato dal Garante dovrà tener conto, della effettiva ripartizione di responsabilità” tra l’Azienda e la Società e “del tasso di influenza effettiva esercitabile da ciascuna” nonché “del livello di controllo reale dei flussi telematici che vede l'outsourcer aggiudicatario assumere un ruolo di gran lunga predominante nella concreta gestione della piattaforma sulla quale vengono caricate online dai concorrenti” e “a vagliare le due sfere di imputazione relative alle posizioni "effettive"”, anche alla luce dell’art. art. 83, comma 2, lett. d) del Regolamento e dell’art. 3 della  l. n. 689/1981; ciò in quanto “l’incidente di sicurezza […] ha comportato, in maniera accidentale, una divulgazione non autorizzata dei dati immessi dai partecipanti al concorso sulla piattaforma” ma “non appare ricollegabile, né in termini oggettivi (nesso di causalità materiale), né in termini soggettivi (rimproverabilità della condotta colposa), alla sfera di trattamento di cui è titolare effettivo […]”;

- “la durata della violazione contestata corrisponde ad un arco temporale che, pur non essendo storicizzabile con certezza, appare sicuramente circoscritto entro il mese di XX”; in particolare, sul punto è stato evidenziato “il tasso d’incuria e malafede in cui è incorso l'appaltatore nei riscontri forniti all'esponente, per la evidente contraddizione con quanto dichiarato […] nella nota del XX con la quale rassicurava l'A.O. sia sull'osservanza del GDPR al proprio interno, sia sul brevissimo intervallo temporale in cui si sarebbe esaurita la violazione, posto che l'accesso alle cartelle sarebbe stato possibile, a dire dell'amministratore [della società…], in un lasso di tempo di qualche minuto in cui la piattaforma risultava in manutenzione a causa dei molteplici accessi simultanei da parte dei candidati”;

- per tali ragioni “facendo affidamento sulle garanzie fornite dall'appaltatore, specie in ordine alla durata minimale del data breach rilevato”, l’Azienda aveva riscontrato al Garante nei medesimi termini per poi essere invece smentito “dalle dichiarazioni rese dal Responsabile sviluppo software della  […società] in sede di verbale di operazioni compiute dal Garante presso l'outsourcer” ove si legge che “la piattaforma di gestione online delle domande di partecipazione ai concorsi per XX aveva subito un intervento manutentivo - consistente nel riversare il web server della piattaforma su una macchina con prestazioni più elevate - tra il XX ed il XX; in data XX, solo a seguito della richiesta di informazioni inviata dal Garante, l'outsourcer ha verificato l'accessibilità dall'esterno da cartella "XX" e vi ha posto rimedio in pari data tramite il medesimo rispondente, in funzione di amministratore di sistema” (cfr. verbale del XX , in atti);

- “una così ampia durata temporale del data breach occorso (pari a 25 gg. di accessibilità online delle cartelle) […sarebbe] stata taciuta dall'appaltatore alla committente […che ne sarebbe] venuta a conoscenza solo in seguito [dell’esercizio del diritto di accesso agli atti del fascicolo presso il Garante…] ove riferita in tempo utile alla committente, avrebbe consentito all'AO di orientarsi diversamente in merito agli adempimenti di discovery nei confronti degli interessati e di conseguente ravvedimento operoso previsti dall'art. 33 GDPR per le situazioni di data breach” che, pertanto, sarebbe “imputabile unicamente all’outsourcer”;

- per le ragioni esposte, con riguardo alla violazione dell’art. 32 del Regolamento, “la Committente non aveva alcuna possibilità di impedire l’evento verificatosi non essendo stata posta, ex ante, nelle condizioni di esercitare una qualsivoglia forma di vigilanza sull'operato dell'appaltatore”;

- con riguardo alle altre violazioni contestate (artt. 13 e 28 del Regolamento), “nel riconoscere le violazioni censurate”, l’Azienda ha precisato che “il processo dinamico di conformità dell'intera struttura sanitaria pubblica alla nuova normativa in materia di protezione dei dati personali […] richiede una tempistica di adempimenti sequenziali ed uno sforzo organizzativo di compliance che, rapportati alle dimensioni aziendali ed ai processi di lavoro interni, non hanno consentito di garantire la totale conformità aziendale, alla notoria scadenza del 25 maggio 2018, data di piena applicazione effettiva del GDPR. In particolare, nel caso di specie, in cui l'affidamento del servizio di gestione telematica dei concorsi indetti dall' A.O. risale a data antecedente il 25 maggio 2018 (cfr. stralcio Deliberazione D.G. n. 40 del 18 gennaio 2018 in all. XX)”.

In occasione dell’audizione, svoltasi presso il Garante in data XX, l’Azienda ospedaliera ha evidenziato la sensibilità dei nuovi vertici aziendali nei confronti della protezione dei dati, illustrando come “la nuova direzione stia proseguendo a mettere in atto un progetto complessivo di adeguamento al Regolamento […partecipando anche al] progetto “Soresa” per applicare il Regolamento in maniera uniforme in tutte le aziende sanitarie”. Nel ribadire che “la violazione dei dati personali si è verificata a causa dell’imperizia e della negligenza del fornitore”, ha, inoltre, affermato che, anche in ragione del fatto che la Società ha continuato a tenere “un atteggiamento poco collaborativo e rifiuta di assumere il ruolo di responsabile del trattamento, nonché di sanare con gli adempimenti necessari il precedente percorso lacunoso”, l’Azienda si riserva di tutelare i propri interessi nelle sedi giudiziarie e che, in ogni caso, il rapporto contrattuale in essere con la Società sarebbe cessato il XX.

3. Esito dell’attività istruttoria.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, qualora operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, del Regolamento), anche relativi a categorie particolari di dati, se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett.  e), del Regolamento).

La disciplina nazionale ha introdotto, inoltre, disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2, del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento, e tra queste la “diffusione” di dati personali, sono ammesse solo quando previste da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).

In tale quadro, con riguardo alle categorie particolari di dati personali, inclusi quelli relativi alla salute (in merito ai quali è previsto un generale divieto di trattamento, ad eccezione dei casi indicati all’art. 9, par. 2 del Regolamento e, comunque un regime di maggiore garanzia rispetto alle altre tipologie di dati, in particolare, per effetto dell’art. 9, par. 4, nonché dell’art. 2-septies del Codice), il trattamento è consentito, per assolvere specifici obblighi “in materia di diritto del lavoro […] nella misura in cui sia autorizzato dal diritto […] in presenza di garanzie appropriate” (art. 9, par. 2, lett. b), del Regolamento).

In ogni caso, è vietata la diffusione di dati relativi alla salute (art. 2-septies, comma 8, del Codice, cfr. anche art. 9, paragrafi. 1, 2, 4, del Regolamento), ossia di “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, n. 15; considerando n. 35 del Regolamento).

Anche in presenza di una specifica disposizione normativa che legittimi la diffusione o la comunicazione dei dati personali, il titolare del trattamento è tenuto a rispettare i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione” nonché “integrità e riservatezza” dei dati e “responsabilizzazione” (art. 5 del Regolamento).

3.1. L’informativa agli interessati e la base giuridica del trattamento.

Alla luce degli elementi acquisiti e delle dichiarazioni rese nel corso dell’istruttoria, è emerso che i candidati alla specifica procedura concorsuale in esame non hanno ricevuto dall’Azienda le informazioni necessarie ad assicurare un trattamento corretto e trasparente. In nessuna delle fasi di iscrizione al concorso e di compilazione online delle relative domande di partecipazione, risultano, infatti, essere stati forniti gli elementi essenziali richiesti dall’art. 13 del Regolamento.

Il sintetico documento pubblicato sulla pagina iniziale della piattaforma, contenuto anche nel Manuale di gestione del portale, riporta unicamente che “l’utente fornisce il consenso al trattamento dei dati personali ai sensi del d.lgs. n. 196/2003, i dati forniti saranno raccolti e trattati presso l’UOC Risorse Umane della AORN Cardarelli, nonché presso la Ditta fornitrice della piattaforma informatica, esclusivamente nell’ambito del procedimento per il quale la presente dichiarazione viene resa” (cfr. nota dell’Azienda prot. n. XX del XX). Tale documento, che non contiene alcun rinvio a un’informativa completa o ad altro documento integrativo, eventualmente disponibile in altra sezione del sito, non può essere ritenuto sufficiente, ai fini dell’adempimento all’obbligo di rendere agli interessati tutte le informazioni richieste dalla disciplina di protezione dei dati (artt. 13 e 14 Regolamento; vedi sul punto anche la Sentenza della Corte Europea dei Diritti dell'Uomo del 5 settembre 2017 - Ricorso n. 61496/08 - Causa Barbulescu c. Romania, spec. n. 140). Né alcun tipo di informativa risulta essere stata fornita ai partecipanti attraverso modalità alternative (ad esempio, mediante invio, da parte dell’Azienda o della Società, di una e-mail di conferma della avvenuta registrazione ai fini della partecipazione al concorso).

Per tali ragioni il trattamento risulta essere stato effettuato in violazione dell’obbligo che impone al titolare del trattamento di rendere agli interessati una preventiva informativa, secondo quanto previsto dall’art. 13 del Regolamento, anche nel rispetto del “principio di trasparenza” (art. 5, lett. a) del Regolamento).

Sempre con riferimento alla trasparenza e correttezza del trattamento, si precisa che il riferimento, nel documento citato, al “consenso al trattamento dei dati”, quale condizione di liceità del trattamento, non risulta pertinente nel caso di specie.

Il consenso dell’interessato, infatti, non può, di regola, costituire un valido presupposto di liceità per il trattamento dei dati personali quando sussista “un evidente squilibrio tra l’interessato e il titolare” (cfr. considerando 43 del Regolamento), specie quando questo sia un’autorità pubblica che agisce nell’esecuzione di un “compito di interesse pubblico o connesso all’esercizio di pubblici poteri” (art. 6, par.1, lett. e) del Regolamento; Linee Guida sul consenso ai sensi del Regolamento UE 2016/679- WP 259- del 4 maggio 2020) o nell’ambito di attività comunque riconducibili alla instaurazione e gestione di rapporti di lavoro (es. “per finalità di assunzione”, art. 88 del Regolamento). Tali circostanze ricorrono nel caso di specie.

Per tali ragioni, il trattamento di dati, anche relativi a categorie particolari di dati personali, contenuti in documentazione attestante titoli di preferenza, di precedenza o di riserva di posti, nonché in dichiarazioni rese ai sensi della l. 104/92, essendo finalizzato all’assunzione di personale da parte di un soggetto pubblico, trova la propria base giuridica nella specifica disciplina di settore che regola l’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei pubblici concorsi (cfr., in particolare, d.lgs. 30 marzo 2001, n. 165 e d.P.R. 9 maggio 1994, n. 487) e non nel consenso degli interessati (cons. 43, art. 88, par.1 del Regolamento; v. anche Parere 2/2017 sul trattamento dei dati sul posto di lavoro, adottato dal Gruppo di lavoro art. 29 adottato l’8 giugno 2017, WP 249).

3.2.  Mancata definizione del ruolo svolto dalla Società nel trattamento dei dati personali dei candidati al concorso.

Alla luce della documentazione in atti, emerge che l’Azienda ospedaliera ha affidato alla Società fornitrice della piattaforma informatica l’attività riguardante il trattamento dei dati personali dei candidati alla prova concorsuale nella fase di raccolta e gestione delle domande e in quella di preselezione dei candidati, nonché il servizio di assistenza e manutenzione tecnica.

Ai fini del rispetto della normativa in materia di protezione dei dati personali occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, par. 1, punto 7 del Regolamento e artt. 28 e 29 del Codice).

In particolare, il titolare è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una “responsabilità generale” sui trattamenti posti in essere (v. art. 5, par. 2 c.d. “accountability” e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8) e 28 del Regolamento).

Il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a) del Regolamento).

Il Regolamento ha disciplinato anche gli obblighi e le altre forme di cooperazione cui è tenuto il responsabile del trattamento quando agisce per conto del titolare e l’ambito delle rispettive responsabilità (v. artt. 30, 33, par. 2 e 82 del Regolamento).

In base all’art. 24 del Regolamento tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, spetta in primo luogo proprio al titolare del trattamento mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento. Dette misure devono inoltre essere riesaminate e aggiornate, qualora necessario.

Come risulta dagli atti l’Azienda ospedaliera ha trattato i dati personali dei candidati, in qualità di titolare, assumendone le corrispondenti responsabilità; ciò trova conferma anche nel documento, pubblicato sulla pagina iniziale della piattaforma, ove era evidenziato che “i dati forniti saranno raccolti e trattati presso l’UOC Risorse Umane della AORN Cardarelli, nonché presso la Ditta fornitrice della piattaforma informatica, esclusivamente nell’ambito del procedimento per il quale la presente dichiarazione viene resa” (cfr. nota dell’Azienda prot. n. XX del XX).

La decisione di esternalizzare alcune fasi della procedura concorsuale indetta per l’assunzione di nuovo personale sanitario da impiegare nelle proprie strutture discende da una precisa scelta dell’Azienda ospedaliera; la Società fornitrice ha quindi trattato i dati personali dei candidati nell’ambito di un servizio strumentale finalizzato alla gestione di talune fasi della procedura concorsuale (in particolare, acquisizione delle domande di partecipazione e gestione della fase preselettiva dei candidati da ammettere al concorso). Le funzioni svolte dalla Società hanno quindi comportato un trattamento dei dati personali dei candidati di cui l’Azienda ospedaliera risulta comunque titolare, avendone determinato le finalità e avendo indicato le modalità di gestione delle diverse fasi della procedura nonché i principali termini dell’esecuzione del servizio (artt. 6 e ss. dell’“Avviso di indizione sul “Mercato Elettronico/Acquisti in rete Pubblica Amministrazione di procedura negoziata”).
Ciononostante, il rapporto con la Società non è stato opportunamente regolato, ai sensi dell’art. 28 del Regolamento, come risulta dalla documentazione in atti e come confermato anche dall’Azienda ospedaliera.

Il citato “Avviso di indizione sul “Mercato Elettronico/Acquisti in rete Pubblica Amministrazione” di procedura negoziata mediante Richiesta di Offerta (RdO) n. XX (avente ad oggetto “Servizio di gestione domande on-line e preselezione informatica per l’ammissione dei concorrenti ad alcuni concorsi pubblici banditi dall’A.O.R. “A. Cardarelli”) e la “Deliberazione del Direttore Generale n. 40 del 18 gennaio 2018 sull’Aggiudicazione definitiva procedura negoziata espletata mediante Richiesta di Offerta (RdO9 n. 1808823- Società Scanshare” (cfr. documentazione in atti) non hanno le specifiche caratteristiche dell’atto giuridico che definisce il ruolo del Responsabile, in quanto non contengono gli elementi previsti dall’art. 28 del Regolamento (cfr. spec. par. 3).

Risulta pertanto accertato che l’Azienda ospedaliera ha omesso di regolare il rapporto con la Società, che ha effettuato il trattamento dei dati dei candidati per proprio conto e nel proprio esclusivo interesse, in violazione dell’art. 28 del Regolamento.

3.3. La diffusione di dati personali dei candidati alla procedura concorsuale.

Nel caso di specie, l’attività istruttoria ha consentito di verificare che, per cause legate all’imperizia nel trattamento dei dati da parte del fornitore del servizio di cui si è avvalsa l’Azienda ospedaliera per la gestione della procedura, si è verificata una diffusione di dati personali dei candidati al concorso in assenza di idoneo presupposto di liceità. Tenuto conto che la diffusione ha avuto ad oggetto anche dati relativi alla salute, rispetto ai quali la disciplina in materia di protezione dei dati personali, in ragione della particolare delicatezza di tale categoria di dati, prevede espressamente che “non possono essere diffusi” (art. 2-septies, comma 8 del Codice), il trattamento di cui l’Azienda è titolare risulta essere stato effettuato in violazione degli articoli 5, lett. a), 6 par. 1, lett. c) ed e) del Regolamento e degli artt. 2-ter e 2-septies, par. 8 del Codice.

3.4. La sicurezza del trattamento.

In base al Regolamento, i dati devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f), del Regolamento).

Al riguardo, l’art. 32 del Regolamento stabilisce che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” e che “nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare […] dalla divulgazione non autorizzata [… di] dati personali trasmessi, conservati o comunque trattati”.

In ragione della “responsabilità generale” del titolare del trattamento (art. 5, par. 2 del Regolamento) lo stesso è tenuto a “mettere in atto misure adeguate ed efficaci [e…] dimostrare la conformità delle attività di trattamento con il […] Regolamento, compresa l’efficacia delle misure” (cons. 74, artt. 4, punto 7) e 24 del Regolamento) e, in tale ambito, ai fini della predisposizione delle misure tecniche e organizzative che soddisfino i requisiti stabiliti dal Regolamento, il titolare può ricorrere anche a un Responsabile per lo svolgimento di alcune attività di trattamento, al quale impartisce specifiche istruzioni, anche sotto il profilo della sicurezza (v. cons. 81 del Regolamento).

Dalle verifiche effettuate, le misure tecniche e organizzative adottate dall’Azienda ospedaliera, per il tramite del fornitore del servizio, per la gestione della procedura concorsuale - in particolare, le modalità di raccolta e gestione delle domande di partecipazione dei candidati, la sicurezza dei dati agli stessi riferiti, le modalità di accesso ai dati tramite protocollo “http” e le modalità di trasmissione degli stessi all’Azienda ospedaliera al termine dalla presentazione delle domande - non si sono invece rivelate idonee a garantire un livello di sicurezza adeguato ai rischi dello specifico trattamento. Ciò ha contribuito, peraltro, a creare le premesse per il verificarsi della violazione di sicurezza, oggetto di segnalazione, con la conseguente illecita diffusione dei dati personali, anche relativi alla salute, degli interessati, comportando inoltre la possibilità, per chiunque avesse fatto accesso all’URL per l’inserimento dei dati, di modificare taluni dati personali conferiti da altri interessati all’atto della compilazione delle domande (come peraltro verificato dall’ufficio in sede dei primi accertamenti, cfr. relazione di servizio del XX, in atti).

Analogamente, le modalità adottate per l’invio dei dati all’Azienda - allo scadere dei termini del concorso o dopo l’eventuale svolgimento della prova preselettiva - non possono ritenersi adeguate né sotto il profilo della esattezza dei dati trattati (art. 5, comma 1, lett. d) del Regolamento), né sotto il profilo della sicurezza e integrità (art. 5, comma 1, lett. f) del Regolamento).

Con riguardo al primo profilo, l’Azienda ospedaliera non ha, infatti, adottato alcuna procedura formale, né alcun tipo di controllo, idonei a garantire l’integrità e la rispondenza fra i dati inseriti nella piattaforma dai candidati e i dati effettivamente ricevuti. Ciò è da considerarsi con particolare attenzione anche in ragione del fatto che un’eventuale discrepanza fra i documenti presentati dai candidati e quelli esaminati dall’Azienda ospedaliera avrebbe potuto determinare gravi effetti pregiudizievoli per gli interessati, quali ad esempio, la possibile esclusione dalla partecipazione al concorso o il mancato riconoscimento di eventuali titoli di preferenza, rispetto ad altri candidati.

Con riguardo al secondo profilo, si osserva che le modalità di trasmissione dei dati e di consegna dei documenti relativi ai candidati, effettuata mediante l’invio di un CD-ROM privo di meccanismi di protezione (password o cifratura dei dati contenuti), non hanno consentito di proteggere adeguatamente i dati personali da accessi non autorizzati (ad es. mediante consultazione o copia dei dati contenuti nel supporto informatico). Tali eventuali accessi non autorizzati, ove fossero avvenuti, non sarebbero stati infatti in alcun modo individuabili o tracciabili, nemmeno con controlli ex post.

Peraltro, proprio anche in conseguenza della mancata regolazione del rapporto con il fornitore del servizio (vedi sopra par. 3.2), l’Azienda ospedaliera non ha impartito allo stesso le necessarie istruzioni, anche in ordine alle modalità con le quali avrebbe dovuto mettere a propria disposizione tutte le informazioni necessarie per dimostrare il rispetto degli obblighi nel trattamento dei dati (art. 5, par. 2 e art. 24 del Regolamento), né risulta abbia in alcun modo svolto attività di vigilanza o revisione in merito alla sicurezza dei dati trattati, per proprio conto, dalla Società (art. 28, comma 3, spec. lett. a) e h) del Regolamento). Né rileva, ai fini di un’eventuale esclusione di responsabilità dell’Azienda ospedaliera che “l’outsourcer aggiudicatario [avesse assunto] un ruolo predominante nella concreta gestione della piattaforma”.

Per tali ragioni, contrariamente a quanto sostenuto nelle memorie difensive, l’incidente di sicurezza verificatosi non può essere ritenuto “imputabile unicamente all’outsourcer” e l’Azienda ospedaliera si è invece resa responsabile della mancata adozione di misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante l’ausilio della piattaforma gestita dalla Società, in violazione degli artt. 5, par.1, lett. f) e 32 del Regolamento.

4. Ulteriori accertamenti da parte dell’Ufficio.

In occasione delle verifiche effettuate dall’Ufficio sulle circostanze da valutare ai sensi dell’art. 83, par. 2, del Regolamento ai fini della quantificazione della sanzione applicabile allo specifico caso, è emerso che, nella sezione “Amministrazione trasparente” dell’Azienda ospedaliera, sezione “XX” accedendo all’URL http://www.ospedalecardarelli.it/..., sono pubblicati numerosi atti e documenti (es. graduatorie, ricorsi amministrativi, deliberazioni) relativi alla medesima procedura concorsuale e contenenti dati personali, anche relativi a categorie particolari e alla salute, dei partecipati al concorso (cfr. relazione di servizio del XX, in atti).

Ferme restando le valutazioni in ordine alla liceità di tale diffusione di dati che saranno oggetto di un autonomo procedimento, è stato rilevato che, tra i dati personali pubblicati, vi sono anche i codici univoci di iscrizione al concorso associati a ciascun candidato e, in alcuni casi, anche i codici fiscali degli stessi. Inserendo tali codici nell’apposita maschera all’indirizzo: https://...attraverso il form “XX”, si è accertato che i dati di dettaglio forniti in sede di presentazione della domanda dai singoli candidati sono tutt’ora presenti e accessibili sulla piattaforma gestita dalla Società.

Ciò dimostra che, anche per effetto della mancata regolamentazione dei rapporti con la Società fornitrice del servizio, l’Azienda ospedaliera abbia di fatto perso il pieno controllo sui dati personali che era tenuta a trattare nello svolgimento delle proprie funzioni, atteso che anche “dopo che è terminata la prestazione dei servizi relativi al trattamento” (art. 28, par.3, lett. g) del Regolamento) e nonostante il rapporto contrattuale in essere con la Società sia cessato il XX, la stessa continua a conservare, trattare e rendere comunque accessibili, con le modalità sopra descritte, i dati dei partecipanti al concorso attraverso la propria piattaforma.

5. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati degli interessati, avvenuto in violazione della disciplina in materia di trattamento dei dati personali, ha avuto inizio con la pubblicazione del concorso in Gazzetta Ufficiale il XX, data a partire dalla quale i candidati potevano presentare la domanda di partecipazione al concorso; la violazione dei dati personali che ha determinato la diffusione online dei dati personali è avvenuta tra il XX e il XX; la cessazione dei rapporti con la Società è avvenuta nel XX. Si rileva quindi che i trattamenti in esame si sono svolti nella piena vigenza delle disposizioni del Regolamento e del Codice; al fine della determinazione del quadro normativo applicabile, sotto il profilo temporale (art. 1, comma 2, della l. 24 novembre 1981, n. 689), queste costituiscono infatti le disposizioni vigenti al momento della commessa violazione.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda, in quanto il trattamento dei dati personali dei candidati al concorso indetto dalla medesima, è avvenuto in violazione degli artt. 5, par. 1, lett. a), 6 par. 1, lett. c) ed e), 13, 28 e 32 del Regolamento e degli artt. 2-ter e 2-septies del Codice che prevede lo specifico divieto di diffusione dei dati sulla salute.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5 del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento medesimo come richiamato anche dall’art. 166, comma 2, del Codice.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stata considerata la particolare delicatezza dei dati personali illecitamente trattati e diffusi (anche dati relativi alla salute, art. 4, par. 1, n. 15 del Regolamento) nonché, con riguardo all’incidente di sicurezza occorso, la durata della permanenza online (25 giorni) e il numero di interessati coinvolti (tutti i candidati al concorso XX, ossia oltre 2000 interessati, come risulta anche dalla delibera n. XX, ad oggi ancora disponibile sul sito web dell’Azienda, con la quale sono stati ammessi al concorso i candidati che hanno superato la prova preselettiva e i partecipanti esonerati da tale prova ai sensi dell’art. 20 l. n. 104/1992. È stato altresì considerato che, come verificato, la cessazione del rapporto con la Società non ha posto fine al complessivo trattamento che, allo stato, risulta, in parte, ancora in corso. Tali circostanze evidenziano la lesività della condotta, non potendo essere presa in considerazione, a tal fine, la circostanza, addotta dall’Azienda ospedaliera negli scritti difensivi, che “nessuna istanza di esercizio dei diritti ex art. 15 e ss. GDPR, né diffida, reclamo (formale o informale), richiesta di risarcimento e/o azione legale risultano intentati contro l'A.O. in conseguenza dell'evento” (cfr. nota XX, cit.).

Sotto il profilo della gravità e della durata della violazione, del danno per gli interessati nonché del grado di responsabilità dell’Azienda, è stato inoltre considerato che, a causa della successiva condotta dell’Azienda, consistente nella pubblicazione sul proprio sito web istituzionale di numerosi atti e documenti contenenti dati personali dei partecipanti alla procedura concorsuale (profili in ordine ai quali l’Autorità si riserva di avviare autonomo procedimento) e, per l’effetto, della contestuale reperibilità in rete dei codici fiscali e dei codici univoci associati a ciascun candidato, è tutt’ora possibile per chiunque consultare i dati conferiti dai partecipanti all’atto dell’iscrizione al concorso.

Di contro è stato considerato che l’Azienda ospedaliera, sebbene non abbia proceduto alla notificazione di cui all’art. 33 del Regolamento (a causa della carenza di elementi informativi forniti dalla Società) ha collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento, non potendo essere ritenuta responsabile delle informazioni parziali e inesatte che, in una prima fase, ha fornito all’Autorità “facendo affidamento sulle garanzie fornite dall'appaltatore, specie in ordine alla durata minimale del data breach rilevato” e alle cause dell’incidente di sicurezza occorso (fino al mese di XX, l'Azienda confidava infatti, sulla base dei riscontri fornitigli fino ad allora dalla Società, che l'incidente informatico fosse stato risolto nel giro dei "pochi minuti", cfr. nota del XX, cit.). Non risultano, inoltre, precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene pertanto di determinare l’ammontare della sanzione pecuniaria, tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie, ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, nella misura di euro 80.000 (ottantamila) per la violazione degli artt. 5, par. 1, lett. a), 6 par. 1, lett.c) ed e), 13, 28, 32 del Regolamento e 2-ter del Codice, nonché dell’art. 2-septies, comma 8 del Codice. Nella quantificazione della sanzione il Garante ha tenuto in particolare considerazione il fatto che le violazioni sono connesse a un trattamento iniziato subito dopo la definitiva applicazione del Regolamento.

Tenuto conto della particolare delicatezza dei dati diffusi, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 144 del Codice, l’illiceità del trattamento effettuato dall’Azienda Ospedaliera di Rilievo Nazionale “Antonio Cardarelli", per violazione degli artt. artt. 5, par. 1, lett. a), 6 par. 1, lett. c) ed e), 13, 28, 32 del Regolamento e 2-ter del Codice, nonché dell’art. 2-septies, comma 8 del Codice, nei termini di cui in motivazione;

ORDINA

all’Azienda Ospedaliera di Rilievo Nazionale “Antonio Cardarelli", in persona del legale rappresentante pro-tempore, con sede legale in Napoli (80131), Via A. Cardarelli, n. 9, C.F. 06853240635, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 80.000,00 (ottantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla medesima Azienda di pagare la somma di euro 80.000,00 (ottantamila), in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 settembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi