Il caso dell’Ospedale “Cardarelli” di Napoli, l’intervento del Garante e la sanzione per illecito trattamento di dati personali

Introduzione

Il 17 settembre 2020 il Garante per la protezione dei dati personali ha emesso il provvedimento n. 161 in seguito ad una segnalazione con la quale si lamentava la diffusione di dati personali riguardanti i candidati ad un concorso pubblico indetto dall’Azienda Ospedaliera “Cardarelli”.

Al termine delle indagini, molto complesse e articolate con accertamenti ispettivi presso i locali della società incaricata di gestire le iscrizioni online al concorso, sono emerse gravi violazioni in materia di protezione dei dati personali che hanno portato il Garante a sanzionare per € 80.000,00 l’Azienda Ospedaliera e per€ 60.000,00 la società gestore della piattaforma in questione.

Sia l’Azienda Ospedaliera che la società privata non avevano messo in atto le basilari regole per garantire l’integrità dei dati presenti sulla piattaforma e il conseguente rispetto del Regolamento UE e Codice Privacy e s.m.i.

Il caso

La segnalazione era partita perché accedendo ad un URL http:// …. potevano essere visualizzati i codici iscrizione al concorso corrispondenti ai singoli candidati di uno specifico concorso. È stato, quindi, rilevato che ciascun codice “riportava a un’area del portale nella quale erano contenuti alcuni documenti presentati dai candidati”[1]. Utilizzando sempre questi codici si poteva accedere ad una pagina ove erano presenti dati personali modificabili oltre a poter visionare ulteriori documenti allegati dai candidati stessi. L’istruttoria avviata dal Garante è risultata essere complessa perché oltre alle indagini sul web sono stati disposti gli accertamenti ispettivi dai quali è emerso che la piattaforma era gestita da una società privata affidataria del servizio di gestione delle domande di iscrizione al concorso da parte dell’Azienda Ospedaliera. Dall’attività ispettiva[2] condotta è emerso che la società incaricata, al momento della stipulazione del contratto, non era stata nominata responsabile del trattamento dall’Azienda Ospedaliera. Infatti l’art. 28 par. 3 prevede che “i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico, a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, i dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento […]”. La nomina del responsabile del trattamento deve avvenire in base alla disposizione dell’art. 28 GDPR rubricato “Responsabile del trattamento” e in casi come questo descritto si presume che essa debba intervenire poichè, trattandosi di concorsi pubblici indetti da strutture statali si presume che il rispetto della vigente normativa debba essere anche un segnale di correttezza e di dimostrazione dell’adozione di procedure corrette per evitare che i soggetti interessati subiscano danni o una violazione dei loro dati personali. Per questo motivo il responsabile del trattamento deve esser una persona che abbia una conoscenza specialistica della materia della privacy. [3] Dalle indagini svolte dal Garante Privacy è emerso che la società in questione ha messo in atto un trattamento dei dati dei soggetti interessati- coloro che si erano iscritti al concorso- violando di fatto le disposizioni del reg. UE 2016/679 e del D.Lgs. 101/2018 e precisamente la violazione è attinente a diversi articoli: art. 5 par. 1 lett. a) GDPR, art. 13 GDPR perché non è stata fornita una informativa completa agli interessati, l’art. 6 e art. 9 GDPR, nonché l’art. 2 ter, art. 2 sexies, art. 2 septies comma 8 Codice Privacy aggiornato al Regolamento del 2016. La violazione più grave è emersa relativamente al un trattamento non lecito di dati relativi alla salute, il cui trattamento è consentito solo in particolari casi indicati al paragrafo 2 art. 9 GDPR.[4]

La disciplina regolamentare e codicistica

Le disposizioni del Reg. UE 2016/679 e del D.Lgs. 101/2018 violate sono diverse, le più importanti sono rappresentate dagli articoli 6 e 9 GDPR. L’art. 6 è rubricato “Liceità del trattamento” e presuppone che il trattamento sia lecito solo al ricorrere di determinate ipotesi e condizioni. L’art. 9, rubricato “Trattamento di categorie particolari di dati personali”, prevede il divieto di trattamento di particolari dati personali attinenti lo stato di salute dell’interessato, la cui diffusione è vietata dall’art. 2 septies Cod. Privacy aggiornato e rubricato “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”. Quest’ultimo articolo ha richiamato la disposizione dell’art. 9 par. 4 GDPR.

L’errore grave commesso dalla società, ormai a quattro anni dall’entrata in vigore del GDPR e a due anni dal D.Lgs. 101/2018, è stato quello di agire “senza che il proprio ruolo nel trattamento dei dati per conto dell’Azienda Ospedaliera fosse disciplinato ai sensi dell’art. 28 del Regolamento”. Un trattamento dati effettuato dalla società senza attenersi al dettame del principio, fondamentale, della liceità del trattamento per garantire ai dati, a norma dell’art. 5 par. 1 lett. f) GDPR.[5] L’art. 28 GDPR prevede espressamente al paragrafo 3 la necessità di stipulare un contratto o altro atto giuridico per vincolare il responsabile del trattamento al titolare in quanto è fondamentale definire la materia disciplinata, la durata del trattamento, la finalità del trattamento, la tipologia dei dati che vengono trattati, gli interessati ai quali questi dati fanno riferimento e gli obblighi ai quali sono soggetti i titolari del trattamento.[6]

Il consenso dell’interessato è posto sullo stesso piano delle altre condizioni di liceità enunciate all’art. 6 e quindi il consenso è fatto rientrare, a livello dottrinale, nella fattispecie ampia del trattamento dei dati personali. Di fatto in questa vicenda è mancato il rispetto anche del considerando n. 42 che prevede che “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata, inequivocabile di accettare il trattamento dei dati personali che lo riguardano […]. Ciò potrebbe comprendere la selezione di una apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto […]”. Il consenso dell’interessato è uno dei pilastri per il trattamento dei dati di quest’ultimo perché inficia in toto la validità dell’azione.

La sanzione del Garante per la protezione dei dati personali

Al termine dell’attività ispettiva il Garante Privacy ha convenuto di dover emettere il provvedimento sanzionatorio nei confronti sia dell’Azienda Ospedaliera “Cardarelli” che della società privata incaricata di gestire la piattaforma di iscrizione al concorso indetto dall’azienda ospedaliera che, essendo titolare del trattamento, le deve essere imputata la violazione dell’art. 13 GDPR in merito all’informativa privacy che non è stata resa nota ai candidati al concorso. Infatti a norma dell’art. 83 par. 2 GDPR “le sanzioni ammnistrative pecuniarie sono inflitte in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’art.58, paragrafo 2, lettere da a) a h) e j), […]”.

Nel momento in cui l’Autorità Garante è chiamata ad irrogare una sanzione deve tenere conto di una serie di elementi che identificano la violazione e il suo livello di gravità individuati proprio nell’art. 83 Reg. UE 2016/679. Il paragrafo 3 dell’art. 83 del Regolamento prevede che qualora il titolare o il responsabile del trattamento violi con dolo o colpa alcune disposizioni regolamentari possano essere irrogate sanzioni fino a 10.000.000 € o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Il Garante ha accertato, durante l’istruttoria, che la società privata incaricata della gestione della piattaforma, pur non erogando più il servizio, nei confronti dell’Azienda Ospedaliera, “continua a conservare, trattare e rendere disponibili sulla propria piattaforma i dati personali dei partecipanti conferiti all’atto dell’iscrizione al concorso”.[7] A tal riguardo, a norma dell’art. 58 par. 2 lett. f), il Garante può “imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento”[8].

Infatti, è stato vietato alla società di effettuare operazioni di trattamento in riferimento ai dati personali dei candidati al concorso perché, nella fase dell’ispezione del Garante, questi dati erano ancora liberamente visibili e consultabili. Inoltre, ex art. 157 Codice Privacy aggiornato al GDPR, il Garante “può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all’interessato anche a terzi di fornire informazioni e di esibire documenti […]” e di comunicare tutte le azioni intraprese per ovviare alla violazione commessa.[9] Il Garante, ex art. 58 par. 2 lett. i) ex art. 83 Reg. UE 2016/679 e a norma dell’art .166 Codice Privacy aggiornato emette il provvedimento sanzionatorio perché ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure in funzione delle circostanze di ogni singolo caso”.[10]

Il Garante adotterà una ordinanza-ingiunzione con la quale disporrà anche l’applicazione della sanzione amministrativa pecuniaria. Per queste ragioni il Garante ha disposto l’irrogazione della sanzione pecuniaria in € 80.000,00 per violazione dell’art .5 par. 1 lett a), art. 6, art. 9, art. 32 del GDPR e art. 2 ter, 2 sexies, 2 septies comma 8 Codice Privacy aggiornato al Regolamento nei confronti dell’Azienda Ospedaliera e di € 60.000,00 nei confronti della società incaricata di gestire la piattaforma online per non aver ottemperato alle disposizioni regolamentari e codicistiche in materia di protezione dei dati personali.

Conclusioni

Questo nuovo intervento del Garante per la protezione dei dati personali dimostra, ancora una volta, quanta poca attenzione è rivolta ad una materia estremamente delicata come la protezione e il trattamento dei dati personali nonostante vi siano norme espressamente introdotte per garantire agli interessati il riconoscimento dei loro diritti. Infatti “nella quantificazione della sanzione il Garante ha tenuto in particolare considerazione il fatto che le violazioni sono connesse a un trattamento iniziato subito dopo la definitiva applicazione del Regolamento”. L’Autorità Garante, con i suoi interventi e in accoglimento dei reclami dei soggetti interessati, interviene per ristabilire la corretta applicazione della normativa e dimostrare che la compliance di aziende, sia private che pubbliche, alle disposizioni in materia, è un obiettivo da perseguire per evitare di incorrere in spiacevoli situazioni che possono sfociare nella violazione di diritti riconosciuti agli interessati o nella perdita di dati strettamente personali per non aver seguito la normativa in materia di privacy.

[1] Garante Privacy, Provvedimento del 17 settembre 2020, qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9461321

[2] Il Garante Privacy ha adottato il Regolamento 1/2019 “concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, in particolare per quanto concerne l’adozione dei provvedimenti correttivi di cui all’articolo 58, paragrafo 2, del RGPD, e delle sanzioni di cui agli articoli 83 del medesimo Regolamento e 166, commi 1 e 2, del Codice. Il regolamento è riportato in allegato alla presente deliberazione, della quale costituisce parte integrante, e ne dispone la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, ai sensi degli articoli 142, comma 5, 154, commi 1, lettera b) e 3, 156, comma 3, lettera a), e 166, comma 9, del Codice“. Garante Privacy, Deliberazione del 4 aprile 2019 – Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, ubblicato sulla Gazzetta Ufficiale n. 106 dell’8 maggio 2019). Qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9107633

[3] L’art. 4 par. 1 n. 8) GDPR fornisce la definizione di ‘responsabile del trattamento’ inteso come la “persona fisica o giuridica l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare”.

[4] Art. 9 par. 2 lett. a)-j) GDPR

[5] “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

[6] L’articolo 28 GDPR è rubricato “Responsabile del trattamento” e, in base al paragrafo 3, il responsabile ha l’obbligo di assistere il titolare nello svolgimento dell’attività di trattamento per garantire la sicurezza oltre che la riservatezza dei dati trattati.

[7] Garante Privacy, Provvedimento n. 161 del 17 settembre 2020, qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9461321

[8] L’art. 58 GDPR è rubricato “Poteri” in riferimento ai poteri di cui il Garante per la protezione dei dati personali dispone nell’esercizio della sua attività ispettiva, di indagine e di controllo (par. 1)

[9] L’art. 157 Codice Privacy è stato modificato dall’art. 14 comma 1 lett. g) D.Lgs. 101/2018

[10] L’art. 116 Codice Privacy è stato modificato dall’art. 15 comma 1 lett. a) D.Lgs. 101/2018