Occhio alla gestione dei dati personali e al rispetto della privacy dei candidati nell’ambito dei concorsi pubblici. In tal caso, infatti, i dati sensibili non possono essere visibili a terzi o peggio divulgati su richiesta. Il rischio è quello di vedersi applicare una multa salata dal Garante per la privacy. Ad affermarlo è lo stesso Garante nella Newsletter del 30 settembre 2020.
Nel caso di specie, un’azienda ospedaliera ha trattato illecitamente i dati di oltre 2.000 aspiranti infermieri. Tale comportamento è valso l’applicazione di una multa di 80.000 euro. Stesso trattamento è stato riservato alla società che gestiva la piattaforma per la raccolta online delle domande dei partecipanti.
La misura è scattata a seguito di una segnalazione nella quale si si lamentava il fatto che i dati dei candidati alla selezione – in alcuni casi anche relativi alla salute (titoli di preferenza e certificazioni mediche) – fossero liberamente accessibili online.
Per vederci chiaro, l’Autorità ha avviato una complessa istruttoria, anche attraverso accertamenti ispettivi, che ha messo in luce numerosi e gravi inadempimenti alla disciplina di protezione dati.
Concorsi pubblici e privacy: vietato divulgarli online
A causa di un’errata configurazione dei sistemi, mediante un semplice accesso sulla piattaforma per la gestione delle domande, era stato possibile visualizzare un elenco di codici in un determinato arco temporale.
Tali codici, in particolare, risultavano assegnati ai candidati al momento dell’iscrizione al concorso, che attraverso semplici passaggi consentivano l’accesso a un’area del portale. All’interno della piattaforma telematica erano contenuti anche i documenti presentati dai partecipanti.
Cosa peggiore, inoltre, utilizzando i predetti codici si sarebbe perfino potuto modificare i dati personali inseriti dai concorrenti.
Alla luce di tale situazione, l’Autorità – composta dal Presidente Pasquale Stanzione, dalla Vicepresidente Ginevra Cerrina Feroni e dai Componenti Agostino Ghiglia e Guido Scorza – ha ritenuto senz’altro illeciti i trattamenti di dati personali svolti:
- sia dall’azienda ospedaliera;
- sia dalla società perché effettuati in violazione delle norme del Regolamento europeo.
Concorsi pubblici e privacy: obbligatorio fornire idonea informativa sulla gestione dati
Entrambi i soggetti non avevano, quindi, adottato adeguate misure tecniche e organizzative per garantire la sicurezza e l’integrità dei dati.
L’Azienda ospedaliera, oltretutto, non aveva fornito ai partecipanti una idonea informativa e aveva anche omesso di regolamentare il rapporto con la società che gestiva la piattaforma con un contratto o con un altro atto giuridico che disciplinasse il trattamento di dati effettuato per suo conto.
Il Garante infine, rilevato che la società continuava a conservare e rendere disponibili sulla propria piattaforma i dati dei partecipanti anche dopo la cessazione della fornitura del servizio, ha vietato ogni ulteriore trattamento. Eccezion fatta di quanto necessario per la difesa dei diritti in sede giudiziaria.
Concorsi pubblici e privacy: comunicazione iniziative e sanzione
Per concludere, entro 30 giorni, la società dovrà comunicare all’Autorità le iniziative prese per assicurare la cessazione del trattamento.
Nella quantificazione della sanzione, pari a:
- 80000 euro per l’azienda ospedaliera;
- 60000 euro per la società che gestiva la piattaforma per la raccolta online delle domande dei partecipanti;
il Garante ha tenuto in particolare considerazione il fatto che le violazioni sono connesse a un trattamento iniziato subito dopo la definitiva applicazione del Regolamento.
L’Autorità tenuto conto della particolare delicatezza dei dati diffusi, oltre alla sanzione pecuniaria, ha applicato la sanzione accessoria della pubblicazione dei due provvedimenti sul proprio sito web.