Un caso “classico”. Un’azienda decide di fare un concorso per una selezione del personale. Per necessità organizzative decide di coinvolgere un fornitore esterno. Decide anche di utilizzare una modalità digitale, tramite quindi una piattaforma on line.
Quante volte le aziende affrontano casi di questo tipo?
Recentemente anche lo stesso Garante si è trovato a esaminare un caso come questo arrivando a sanzionare sia l’Azienda, titolare del trattamento che il fornitore. Un provvedimento molto interessante, soprattutto sulle cose da “non fare”.
Vediamo brevemente il caso.
Un Ospedale avvia un concorso e decide di utilizzare una piattaforma on-line gestito in outsourcer informatico affidatario del servizio di gestione delle domande online e della fase di preselezione informatica dei concorrenti.
Collegandosi alla piattaforma online, però, in un breve lasso temporale è stato possibile visualizzare un elenco di codici assegnati ai candidati nel momento dell’iscrizione (cd. codici iscrizione), a ciascuno dei quali era associato un collegamento ipertestuale che consentiva l’accesso ad un’area riservata del portale, nella quale erano contenuti i documenti presentati dai partecipanti (tra cui certificazioni mediche e titoli di preferenza, contenenti dati relativi alla salute), con la possibilità di modificarli.
Utilizzando i codici di iscrizione si sarebbero potuto modificare perfino i dati personali inseriti dai concorrenti all’atto di compilazione delle domande.
Da tale fatto è seguita una complessa attività istruttoria condotta dall’Autorità Garante, che ha rilevato numerosi e gravi inadempimenti alla disciplina sulla protezione dei dati personali sia da parte dell’Azienda Ospedaliera che della società di gestione della piattaforma.
In particolare gli elementi sanzionati sono i seguenti.
Il fornitore che ha reso disponibile il portale destinato al concorso, svolgeva operazioni di trattamento dei dati dei candidati per conto e nell’interesse dell’Azienda ospedaliera (Titolare del trattamento), senza mai avere ricevuto da quest’ultima la nomina a Responsabile del trattamento (art 28 GDPR)
Il Fornitore avrebbe conservato i dati anagrafici dei candidati e la relativa documentazione “per circa un mese dalla fine della prova preselettiva o dalla scadenza del bando sui propri sistemi”, successivamente, tali dati, trasposti su un CD/DVD, privi di qualsiasi misura di sicurezza e sarebbero stati conservati fin quando l’Azienda ospedaliera ne avesse disposto l’eliminazione.
L’Azienda ospedaliera avrebbe omesso di fornire ai partecipanti al concorso l’informativa (art.13 GDPR) contenente le informazioni necessarie ad assicurare un trattamento corretto e trasparente dei dati personali.
Le misure di sicurezza tecniche ed organizzative adottate dalla Società e dall’Azienda ospedaliera, non si sono rivelate idonee a garantire un livello di sicurezza adeguato al rischio dello specifico trattamento.
Qualche considerazione merita la regolamentazione del rapporto di fornitura.
Circa l’omessa nomina, il fornitore avrebbe dovuto “farsi parte diligente” verso il titolare e proporla al titolare, peraltro l’assenza di nomina e di formalizzazione del rapporto non ha salvato il fornitore stesso dalle sanzioni del Regolamento. Spesso, l’obbligo di nomina viene lasciato in totale decisione del titolare del trattamento, ma è sempre meglio regolamentare in una nomina o in un Accordo il ruolo e i confini di responsabilità del Responsabile. La trasparenza nei rapporti aiuta a prevenire problematiche, ma anche a gestire eventuali contenzioni nell’attribuzione delle responsabilità.
Nel caso di specie, poi, l’Azienda ospedaliera non aveva impartito al fornitore le necessarie istruzioni, anche in ordine alle modalità con le quali avrebbe dovuto mettere a propria disposizione tutte le informazioni necessarie per dimostrare il rispetto degli obblighi nel trattamento dei dati, né aveva svolto attività di vigilanza o revisione in merito alla sicurezza dei dati trattati, per proprio conto, dalla Società (art. 28, comma 3, spec. lett. a) e h) del Regolamento).
L’omessa nomina, in altri termini, ha comportato l’assenza di istruzioni e regolamentazione tra titolare e responsabile sulle modalità di trattamento dati e sulle misure di sicurezza che sono un aspetto sempre molto critico nel rapporto con il fornitore, ma ancor più utile sarebbe stato condividere una Valutazione di Impatto Privacy che avrebbe consentito di evidenziare le criticità del progetto.
Quindi cosa “non” fare.
Innanzitutto non “dimenticarsi” di formalizzare il rapporto di fornitura sotto il profilo del trattamento dati. Non tralasciare le misure di sicurezza, soprattutto nella regolamentazione degli obblighi del fornitore. Non omettere vigilanza è obblighi di verifiche nei confronti del fornitore.
Non pensare che la Valutazione di Impatto privacy sia solo un obbligo del Regolamento, ma prova a utilizzarla per valutare le misure di sicurezza, anche del fornitore, nel tuo progetto.
Fonti: