Trattamento illecito dei dati personali dei candidati di un concorso pubblico: intervento e precisazioni del Garante per la protezione dei dati personali (provvedimento del 17 settembre 2020, doc. web n. 9461168)

di Alessia Del Pizzo -

Negli ultimi anni il numero dei partecipanti ai concorsi pubblici è cresciuto notevolmente; ciò ha reso particolarmente complessa la costruzione logistica della selezione e la gestione di migliaia di candidati.

Una vasta platea di partecipanti, infatti, si traduce per l’ente organizzatore nel governo di un importante flusso di informazioni. Dunque, sempre più spesso, per venire in soccorso alle esigenze dei diversi soggetti pubblici l’intera trafila concorsuale viene affidata a società specializzate.

Nel contesto appena delineato, oltre alla progettazione del bando di concorso, alla raccolta delle domande di partecipazione dei candidati, alla gestione delle prove di selezione e delle graduatorie, le amministrazioni devono preoccuparsi anche e, soprattutto, di garantire il corretto trattamento dei dati personali, comuni e particolari; questi, invero, costituiscono una parte sostanziosa del patrimonio informativo generato dalla procedura concorsuale.

Recentemente, il Garante per la protezione dei dati personali è intervenuto a sanzionare un’Azienda Ospedaliera campana e la Società che gestiva la piattaforma gestionale utilizzata per l’attuazione del concorso per CPS infermieri. Nello specifico, a seguito di una segnalazione, con la quale si lamentava il fatto che i dati personali dei candidati alla selezione – compresi, ove presenti, quelli relativi alla salute (si pensi a titoli di preferenza e certificazioni mediche) – fossero liberamente accessibili online, l’Autorità ha avviato una complessa istruttoria, anche attraverso accertamenti ispettivi, che ha messo in luce numerosi e gravi inadempimenti alla disciplina di protezione dati.

Dai controlli effettuati è emerso che collegandosi alla piattaforma per la gestione delle domande, un’errata configurazione dei sistemi ha determinato per un certo arco temporale la possibilità di visualizzare l’elenco dei codici attribuiti a ciascun candidato al momento dell’iscrizione al concorso. In questo modo, chiunque attraverso semplici passaggi avrebbe potuto accedere all’area personale presente sul portale, potendo visualizzare i contenuti dei documenti presentati dai partecipanti e perfino modificare i dati personali inseriti dai concorrenti.

Dunque, per aver trattato illecitamente i dati di oltre 2000 aspiranti infermieri, l’Autorità ha irrogato una sanzione pari a 80mila euro all’Azienda Ospedaliera, nonché un’altra sanzione di 60mila euro alla Società che gestiva la piattaforma, applicando altresì la sanzione accessoria della pubblicazione dei due provvedimenti sul proprio sito web.

In realtà, queste sanzioni sono state il prodotto di più condotte contrarie alla normativa in materia di protezione dei dati personali.

Innanzitutto, entrambi i soggetti non hanno provveduto ad analizzare il contesto e a mettere in atto le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (art. 32 GDPR). Come noto, infatti, ogni operazione di trattamento dei dati è per sua intrinseca natura rischiosa; per questo motivo è richiesto al Titolare del trattamento un approccio proattivo e non reattivo alla tutela dei dati personali. La predisposizione di misure di sicurezza si traduce nell’implementazione di una serie di interventi di tipo tecnico, organizzativo e logico che hanno carattere preventivo e anticipatorio del potenziale rischio; quali da un lato la progettazione e attuazione di un piano organizzativo idoneo a far fronte alle singole esigenze che dovessero presentarsi nel corso del trattamento e, dall’altro, lo svolgimento di una costante attività di monitoraggio, aggiornamento e verifica del funzionamento del modello adottato.

Dall’istruttoria del Garante, inoltre, è emerso che l’Azienda Ospedaliera non aveva fornito ai partecipanti idonea informativa sul trattamento dei dati personali (art. 13 e 14 del GDPR) né provveduto a designare formalmente la società che gestiva la piattaforma quale Responsabile del trattamento ex art. 28 del GDPR.

Con riferimento a quest’ultimo punto, l’atto di designazione, che può essere costituito da contratto o altro atto scritto, è di fondamentale importanza poiché in questo modo il Titolare del trattamento va a definire nel dettaglio le attività che il Responsabile andrà a compiere per suo conto.

Il Garante, infine, rilevato che la Società ha continuato a conservare e rendere disponibili sulla propria piattaforma i dati dei partecipanti anche dopo la cessazione della fornitura del servizio, ha vietato ogni ulteriore trattamento ad eccezione di quanto necessario per la difesa dei diritti in sede giudiziaria. Entro 30 giorni la Società dovrà comunicare all’Autorità le iniziative prese per assicurare la cessazione del trattamento.

In conclusione, la vicenda in esame è espressione di poca contezza dei fondamentali aspretti della normativa in materia di protezione dei dati personali e, in particolare, del principio di accountability che attraversa trasversalmente l’intero GDPR. Il Garante, a tal riguardo, nell’approvare il provvedimento sanzionatorio ha ribadito che i dati personali dei partecipanti a un concorso non vanno solo salvaguardati ma addirittura “blindati”, proprio a sottolineare l’importanza delle operazioni di trattamento sottese alle procedure concorsuali.