I fatti
L’Ufficio del Garante nel corso di verifiche svolte nei confronti dell’Azienda Ospedaliera di rilievo nazionale “A. Caldarelli” aveva accertato che erano stati resi noti dalla stessa azienda all’interno della Sezione “Amministrazione trasparente” – sezione “Bandi di concorso” molteplici atti e documenti di graduatorie, ricorsi amministrativi, deliberazioni, contenenti dati personali relativi ad un concorso per titoli ed esami. Inoltre, attraverso l’accesso direttamente all’URL http://, era possibile non solo accedere a detti dati personali, bensì era possibile scaricare in formato PDF detti documenti. Quest’ultimi contenevano anche particolari categorie di dati personali, come ad esempio i dati relativi alla salute, ma anche informazioni strettamente personali quali i recapiti telefonici, indirizzo di residenza.
Il Garante, una volta appresi tali fatti, avviava un’attività di indagine.
L’Azienda Sanitaria veniva, quindi, invitata a presentare all’Ufficio del Garante memorie difensive in ordine ai fatti contestati. Il Garante contestava all’Aziende di aver posto in essere una condotta illecita di trattamento dei dati personali attraverso la pubblicazione sul sito web dei documenti contenti informazioni personali di una molteplicità di utenti. Il Garante aveva contestato, in particolare: la violazione del principio di liceità e trasparenza e il principio di minimizzazione dei dati; la violazione dell’art. 2-ter il quale dispone che la base giuridica per il trattamento dei dati personali effettuato per l’esecuzione di un compito di un interesse pubblico o connesso all’esercizio di pubblici poteri è esclusivamente costituita da una norma di legge o di regolamento o da atti amministrativi generali; la violazione dell’art. 2 sexies il quale prevede particolari regole per il trattamento di categorie particolari di dati necessario per motivi di interesse pubblico.
Infine, il Garante riteneva che la condotta contestata all’azienda fosse altresì contraria alla previsione dell’art. 2 septiese del Codice Privacy il quale dispone il divieto di diffusione dei dati relativi alla salute.
L’Azienda aveva, dunque, trasmesso all’Ufficio del Garante i propri scritti difensivi al fine di dimostrare di adottare, nonostante la violazione contestata, ogni misura idonea per il trattamento dei dati dei propri dipendenti.
Riguardo la violazione sollevata dal Garante, l’Azienda esponeva i seguenti fatti, in particolare:
- Veniva affermato che, ancora prima di iniziare le selezioni, erano pervenute denunce per presunti favoritismi o rischi che potessero in qualche modo essere connessi al corretto espletamento del concorso;
- Innanzi a tali fatti, la Direzione Generale aveva deciso di avvalorare il più possibile l’esigenza di trasparenza caratterizzante tutte le operazioni del concorso in questione;
- Veniva affidato ad un sistema di gestione esterno l’informatizzazione della presentazione delle candidature; tale sistema, a seguito di un incidente (c.d. data breach), assumeva una serie di misure idonee a garantire la massima protezione dei dati personali dei canditati;
- Non appena perveniva la nota dell’Ufficio del Garante, veniva immediata predisposta una procedura idonea alla rimozione dal portale di tutti i documenti indicanti informazioni di tipo personale e venivano adottate adeguate misure di sicurezza allo scopo di evitare nuovamente simili episodi.
Le violazioni contestate e l’attività istruttoria del Garante
Innanzitutto, il Garante ha ricordato che i soggetti pubblici possono trattare i dati personali raccolti e necessari per lo svolgimento di procedure concorsuali se il trattamento è necessario “per adempire un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” ai sensi dell’art. 6, par. 1, lett. c) ed e) del GDPR. Quest’ultimo indica quelli che sono i c.d. fondamenti di liceità del trattamento dei dati personali.
Altresì, il Garante ha ricordato che, con riguardo alla fattispecie in oggetto, l’operazione di diffusione dei dati personali, ovvero la pubblicazione online, da parte dei soggetti pubblici richiede la specifica previsione di una norma di legge o di regolamento.
Ciò detto, il Garante ha evidenziato che il trattamento di cui si contestava la conformità avesse riguardo a particolari categorie di dati personali, inclusi i dati relativi alla salute.
Con riferimento a detti dati, l’art. 4 del GDPR prevede che i medesimi “sono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. Il legislatore europeo ha prestato specifica attenzione ai dati relativi alla salute e li ha inseriti tra “le categorie particolari di dati personali” dei quali, in linea di massima, ne è vietato il trattamento ai sensi dell’art. 9 del GDPR.
Tuttavia, il paragrafo 2 dell’articolo ora richiamo prevede casi specifici in cui è possibile derogare al generale divieto di trattamento dei dati personali.
Ciò detto, il titolare del trattamento, ossia colui che determina le finalità e i mezzi del trattamento di dati personali (ex art. 4, par. 1, n. 7 GDPR), che nel caso di specie si identifica con l’Azienda ospedaliera, è tenuto a rispettare le disposizioni delle normative vigenti in materia di protezione e trattamento dei dati personali, sia a livello europeo sia a livello nazionale.
In considerazione di ciò, il Garante ha ritenuto che l’Azienda Sanitaria aveva posto in essere un trattamento dei dati personali dei canditati illecito, ossia non conforme alle previsioni del GDPR e del Codice privacy, non aderendo al principio di trasparenza, di liceità e di minimizzazione dei dati in virtù dei quali i dati devono essere trattati in modo lecito, corretto e trasparente e i dati raccolti e trattati devono essere adeguati e pertinenti a quanto necessario per le finalità per i quali sono trattati.
La decisone del Garante
Avendo, dunque, verificato che erano stati effettivamente diffusi attraverso il portale web dati personali, tra cui dati relativi alla salute, di coloro che avevano partecipato al concorso, il garante ha accertato le violazioni poste in essere dall’Azienda.
A tal riguardo, il Garante ha precisato che nonostante ci sia una generale previsione di pubblicità dei bandi di concorso per il reclutamento del personale presso le PA, non è ammissibile, in alcun modo, la diffusione online di dati e di informazioni personali, né è ammissibile derogare ai principi generali in materia di protezione dei dati personali.
Infatti, secondo il Garante “in ogni caso, non possono formare oggetto di pubblicazione dei dati concernenti i recapiti degli interessati, né quelli concernenti le condizioni di salute degli interessati … ”.
Ciò detto, il garante ha confermato la violazione delle disposizioni del GDPR e del Codice Privacy ed ha, perciò, adottato un’ordinanza ingiunzione con la quale ha condannato l’Azienda ospedaliera al pagamento di una sanzione amministrativa pecuniaria nella misura di €. 50.000,00, oltre alla sanzione accessoria della pubblicazione del presente provvedimento sul sito web del Garante.
Consigliamo l’ebook:
I rischi nel trattamento dei dati – e-Book in pdf
L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2021 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento