Il caso Ospedale Cardarelli – Società Scanshare srl passerà alla storia della privacy come la sentenza Bosman nel mondo del calcio.
Perché? Perché questo è il primo caso in cui viene sanzionato un responsabile del trattamento in quanto non nominato.
Responsabile de facto, ma non de iure. E questa “dimenticanza” è costata 60 mila euro al mancato responsabile.
Vediamo insieme da cosa è scaturita l’intera questione.
Il fatto
Con una segnalazione pervenuta all’Autorità Garante, è stata lamentata la diffusione di dati personali dei candidati a un concorso pubblico indetto dall’Azienda Ospedaliera “A. Cardarelli” di Napoli. In particolare, è stato indicato che accedendo ad un URL del sito dell’Azienda Ospedaliera, era possibile visualizzare un elenco di codici alfanumerici corrispondenti ai candidati del concorso. Da qui era possibile visionare i vari documenti, e addirittura modificarli.
L’istruttoria
A seguito di una prima attività istruttoria nei confronti dell’Azienda ospedaliera, è emerso che la piattaforma gestionale utilizzata per l’attuazione dei concorsi apparteneva alla società Scanshare s.r.l., outsourcer informatico affidatario del servizio di gestione delle domande online e della fase di preselezione informatica dei concorrenti.
La mancata nomina
Solitamente un outsourcer di servizi informatici, in relazione ai “ruoli privacy”, deve essere nominata responsabile del trattamento da parte del Titolare, che in questo specifico caso è l’ente che indice il concorso. Nel caso in esame, invece, il tema della nomina a responsabile non è stato affrontato né in sede di stipula del contratto, né successivamente, ma sempre prima dell’inizio del trattamento, e quindi la società Scanshare s.r.l dichiarava di non aver ricevuto la nomina a responsabile del trattamento da parte dell’Azienda Ospedaliera. Dalla documentazione richiesta agli atti è emerso che la Società ha reso disponibile il portale dei concorsi online per l’Azienda ospedaliera svolgendo, per conto e nell’interesse di quest’ultima, operazioni di trattamento dei dati dei candidati nell’ambito della procedura concorsuale, indetta dall’Azienda stessa per il reclutamento di personale sanitario da impiegare nelle proprie strutture. Il tutto senza aver ricevuto opportuna nomina a responsabile del trattamento come previsto dall’art. 28 del GDPR.
Le conseguenze della mancata nomina
Il Garante della Privacy, ha quindi rilevato che la società outsourcer ha effettuato un trattamento dei dati personali degli interessati, in violazione dei principi di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a- del Regolamento, e dell’art. 13 del Regolamento), in quanto non ha fornito agli interessati stessi un’idonea informativa per trattare i loro dati in qualità di soggetti del diritto, non avendo ricevuto ufficialmente in forma scritta la nomina a responsabile per tale attività. Come emerso nel corso dell’istruttoria, la società Scanshare s.r.l. ha gestito l’intero trattamento dei dati senza che il proprio ruolo fosse disciplinato ai sensi dell’art. 28 del Regolamento (nomina a responsabile). Non essendo stata individuata come Responsabile del trattamento, in assenza della prescritta “istruzione documentata” da parte del titolare (art. 28, par. 3, lett. a- del Regolamento), si deve concludere che lo stesso è stato effettuato in assenza delle condizioni di liceità previste dal Regolamento e dal Codice.
La sanzione
Il Garante ha pertanto disposto all’Azienda Ospedaliera di Rilievo Nazionale “Antonio Cardarelli”, […] di pagare la somma di euro 80.000,00 (ottantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, e alla società Scanshare s.r.l. […] di pagare la somma di euro 60.000,00 (sessantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione