La protezione dei dati personali trattati nelle piattaforme informatiche on-line gestite da soggetti esterni alle PP.AA. da utilizzare per raccogliere e verificare le domande di partecipazione a procedure concorsuali pubbliche nonchè per svolgere, raccogliere e verificare le prove preselettive.
Egregia Redazione
ai fini della sua pubblicazione sul Vostro pregiato sito web, se ritenuto utile, invio l’allegato file certamente di interesse per gli organi competenti all’espletamento di procedure concorsuali nel caso che alcune fasi siano esternalizzate.
Grazie per la Vostra sempre cortese disponibilità, Cordiali saluti.
Agostino Galeone
______________
a cura di Agostino Galeone
LA PROTEZIONE DEI DATI PERSONALI TRATTATI NELLE PIATTAFORME INFORMATICHE ON-LINE GESTITE DA SOGGETTI ESTERNI ALLE PP.AA. DA UTILIZZARE PER RACCOGLIERE E VERIFICARE LE DOMANDE DI PARTECIPAZIONE A PROCEDURE CONCORSUALI PUBBLICHE NONCHÉ PER SVOLGERE, RACCOGLIERE E VERIFICARE LE PROVE PRESELETTIVE.
Provvedimento del Garante della Privacy n. 160 del 17 settembre 2020
Al fine di richiamare l’attenzione dei soggetti che svolgono, nella qualità di titolare del trattamento e di responsabile del trattamento di un’amministrazione pubblica nonché di responsabile del trattamento esterno (ditta fornitrice del servizio informatico per la ricezione e il controllo delle domande di partecipazione ai concorsi per l’assunzione di personale nonché per lo svolgimento delle prove preselettive) le fasi del procedimento di affidamento del citato servizio ad un operatore economico esterno, nella presente sintesi del su citato provvedimento del Garante della Privacy si ritiene opportuno porre in evidenza le violazioni al Regolamento UE n. 679/2016 e al d.lgs. n. 196/2003 come modificato dal d.lgs. n. 101/2018 – di seguito riportate – rilevate, contestate e sanzionate dal Garante ai predetti soggetti, nell’auspicio che in simili fattispecie possano essere evitate le stesse violazioni.
PREMESSA
Una ASL, al fine di espletare delle procedure concorsuali finalizzate all’assunzione di personale, ha indetto una gara di appalto, attraverso il MEPA, “per la selezione di un fornitore di sevizi on-line di gestione delle domande e preselezione automatica di concorrenti per alcune procedure concorsuali”.
Il servizio affidato alla ditta aggiudicataria consisteva nella gestione delle domande presentate dai candidati e della relativa documentazione; e, nel caso in cui il numero delle domande presentate fosse stato elevato, la società avrebbe dovuto occuparsi anche dell’organizzazione e gestione delle prove preselettive. Inoltre, in occasione della pubblicazione dei bandi, la Società avrebbe dovuto predisporre un apposito modulo – da pubblicarsi sulla piattaforma on-line, raggiungibile all’indirizzo: http://……., nel quale i candidati che avessero inteso presentare la domanda potevano inserire i propri dati anagrafici, i titoli, gli attestati di carriera e i criteri di preferenza (quali a titolo esemplificativo, quelli di invalidità), allegando i documenti attestanti le dichiarazioni rese.
La piattaforma utilizzata per tali operazioni concorsuali non risiedeva su macchine dell’ASL e non era gestita da personale dipendente della stessa ASL, ma dalla Società fornitrice e gestrice della piattaforma e dei relativi programmi informatici, la quale trattava i dati qualificandosi titolare del trattamento.
Il Garante della Privacy, a seguito di una segnalazione con la quale si lamentava il fatto che i dati – compresi dati relativi alla salute (titoli di preferenza e certificazioni mediche) – dei candidati alla selezione fossero liberamente accessibili on-line, avendo accertato l’illiceità dei trattamenti di dati personali svolti dall’ASL e dalla Ditta gestrice della piattaforma informatica perché effettuati in violazione di diverse norme del Regolamento UE n. 679/2016, ha comminato sanzioni pecuniarie amministrative per complessivi 140.000,00 euro (80.000,00 euro all’ASL e 60.000,00 euro alla Ditta).
Nel determinare le predette sanzioni, anche con riferimento alla quantificazione delle stesse, il Garante ha tenuto conto della particolare delicatezza dei dati diffusi e del fatto che il trattamento era iniziato subito dopo la definitiva applicazione del Regolamento. Ed, inoltre, ha ritenuto di applicare la sanzione accessoria della pubblicazione dei due provvedimenti sul proprio sito web.
Si tenga conto che la sanzione pecuniaria amministrativa comminata alla pubblica amministrazione in qualità di titolare del trattamento e da questa corrisposta al Garante della Privacy non può che determinare, conseguentemente, una responsabilità per danno erariale a carico del responsabile del procedimento afferente all’affidamento del servizio esternalizzato anche per mancata vigilanza sull’operato dell’operato economico affidatario.
I Garante nella fattispecie oggetto del su richiamato provvedimento ha rilevato le seguenti violazioni :
-
VIOLAZIONE DELL’OBBLIGO DI FORNIRE UNA PREVENTIVA INFORMATIVA SUL TRATTAMENTO.
Il trattamento risulta essere stato effettuato in violazione dell’obbligo che impone al titolare del trattamento – la ASL – di rendere agli interessati una preventiva informativa, secondo quanto previsto dall’art. 13 del Regolamento, anche nel rispetto del “principio di trasparenza” (art. 5, lett. a) del Regolamento).
In nessuna delle fasi di iscrizione al concorso e di compilazione online delle relative domande di partecipazione i candidati hanno ricevuto conoscenza degli elementi essenziali dell’informativa prescritti dall’art. 13 del Regolamento UE n. 679/2016.
Ai fini di un compiuto adempimento dell’obbligo di rendere agli interessati tutte le informazioni richieste dalla disciplina di protezione dei dati (artt. 13 e 14 Regolamento) non era certamente sufficiente il sintetico documento pubblicato sulla pagina iniziale della piattaforma. Si sarebbe potuto ovviare con un rinvio a un’informativa completa o ad altro documento integrativo, eventualmente disponibile in altra sezione del sito ovvero con altra modalità alternativa attraverso una e-mail di conferma della avvenuta registrazione ai fini della partecipazione al concorso.
-
CONSENSO NON NECESSARIO DEL CANDIDATO PER IL TRATTAMENTO DEI SUOI DATI
L’avere riportato nel sintetico documento relativo all’informativa pubblicato sulla pagina iniziale della piattaforma la seguente frase: “l’utente fornisce il consenso al trattamento dei dati personali ai sensi del d.lgs. n. 196/2003, i dati forniti saranno raccolti e trattati presso l’UOC Risorse Umane della ……., nonché presso la Ditta fornitrice della piattaforma informatica, esclusivamente nell’ambito del procedimento per il quale la presente dichiarazione viene resa”, quale condizione di liceità del trattamento, non risulta pertinente nel caso di specie.
Il consenso dell’interessato, infatti, non può, di regola, costituire un valido presupposto di liceità per il trattamento dei dati personali quando sussista “un evidente squilibrio tra l’interessato e il titolare” (cfr. considerando 43 del Regolamento), specie quando questo sia un’autorità pubblica che agisce nell’esecuzione di un “compito di interesse pubblico o connesso all’esercizio di pubblici poteri” (art. 6, par.1, lett. e) del Regolamento; Linee Guida sul consenso ai sensi del Regolamento UE 2016/679- WP 259– del 4 maggio 2020) o nell’ambito di attività comunque riconducibili alla instaurazione e gestione di rapporti di lavoro (es. “per finalità di assunzione”, art. 88 del Regolamento). Tali circostanze ricorrono nel caso di specie.
Per tali ragioni, il trattamento di dati, anche relativi a categorie particolari di dati personali (c.d. dati sensibili), contenuti in documentazione attestante titoli di preferenza, di precedenza o di riserva di posti, nonché in dichiarazioni rese ai sensi della legge n. 104/92, essendo finalizzato all’assunzione di personale da parte di un soggetto pubblico, trova la propria base giuridica nella specifica disciplina di settore che regola l’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei pubblici concorsi (cfr., in particolare, d.lgs. 30 marzo 2001, n. 165 e d.P.R. 9 maggio 1994, n. 487) e non nel consenso degli interessati (cons. 43, art. 88, par.1 del Regolamento; v. anche Parere 2/2017 sul trattamento dei dati sul posto di lavoro, adottato dal Gruppo di lavoro art. 29 adottato l’8 giugno 2017, WP 249).
-
MANCATA DEFINIZIONE DEL RUOLO DELLA DITTA INCARICATA DEL TRATTAMENTO
Il titolare del trattamento (la pubblica amministrazione), allorché affida a un soggetto esterno (la Ditta fornitrice e gestrice dei predetti servizi informatici) anche soltanto una parte del trattamento dei dati personali contenuti in atti privati e/o pubblici di un qualunque procedimento amministrativo di competenza dello stesso titolare, ha l’obbligo di identificare per iscritto e con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di costoro (art. 4, par. 1, punto 7 del Regolamento e artt. 28 e 29 del Codice).
Il rapporto tra titolare (la pubblica amministrazione) e responsabile (la ditta affidataria dei servizi informatici) del trattamento deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto, che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità nonché le operazioni del trattamento consentite, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare e del responsabile. Sulla base di tale contratto o altro atto giuridico Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a) nonché artt. 30, 33, par. 2 e 82 del Regolamento).
In base all’art. 24 del Regolamento tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, spetta in primo luogo proprio al titolare del trattamento mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento. Dette misure devono inoltre essere riesaminate e aggiornate, qualora necessario.
Nel caso in esame il Garante ha accertato che l’ASL ha omesso di regolare il rapporto con la Società, che ha effettuato il trattamento dei dati dei candidati per proprio conto e nel proprio esclusivo interesse, in violazione dell’art. 28 del Regolamento. E ciò in quanto gli atti finalizzati alla selezione dell’operatore economico e all’aggiudicazione definitiva nonché il contratto di appalto non contengono gli elementi previsti dall’art. 28 del Regolamento (cfr. spec. par. 3).
-
ILLECITA DIFFUSIONE DI DATI PERSONALI
Per cause legate all’imperizia nel trattamento dei dati da parte del fornitore del servizio di cui si è avvalsa l’Azienda ospedaliera per la gestione della procedura, si è verificata una diffusione di dati personali dei candidati al concorso in assenza di idoneo presupposto di liceità.
Tenuto conto che la diffusione ha avuto ad oggetto anche dati relativi alla salute, rispetto ai quali la disciplina in materia di protezione dei dati personali, in ragione della particolare delicatezza di tale categoria di dati, prevede espressamente che “non possono essere diffusi” (art. 2-septies, comma 8 del Codice), il trattamento di cui l’Azienda è titolare risulta essere stato effettuato in violazione degli articoli 5, lett. a), 6 par. 1, lett. c) ed e) del Regolamento e degli artt. 2-ter e 2-septies, par. 8 del Codice.
-
SICUREZZA DEL TRATTAMENTO
In base al Regolamento, i dati devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f), del Regolamento).
Al riguardo, l’art. 32 del Regolamento stabilisce che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” e che “nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare […] dalla divulgazione non autorizzata [… di] dati personali trasmessi, conservati o comunque trattati”.
In ragione della “responsabilità generale” del titolare del trattamento (art. 5, par. 2 del Regolamento) lo stesso è tenuto a “mettere in atto misure adeguate ed efficaci [e…] dimostrare la conformità delle attività di trattamento con il […] Regolamento, compresa l’efficacia delle misure” (cons. 74, artt. 4, punto 7) e 24 del Regolamento) e, in tale ambito, ai fini della predisposizione delle misure tecniche e organizzative che soddisfino i requisiti stabiliti dal Regolamento, il titolare può ricorrere anche a un Responsabile per lo svolgimento di alcune attività di trattamento, al quale impartisce specifiche istruzioni, anche sotto il profilo della sicurezza (v. cons. 81 del Regolamento).
Le misure tecniche e organizzative adottate dall’Azienda ospedaliera, per il tramite del fornitore del servizio, per la gestione della procedura concorsuale – in particolare, le modalità di raccolta e gestione delle domande di partecipazione dei candidati, la sicurezza dei dati agli stessi riferiti, le modalità di accesso ai dati tramite protocollo “http” e le modalità di trasmissione degli stessi all’Azienda ospedaliera al termine dalla presentazione delle domande – non si sono invece rivelate idonee a garantire un livello di sicurezza adeguato ai rischi dello specifico trattamento. Ciò ha contribuito, peraltro, a creare le premesse per il verificarsi della violazione di sicurezza, oggetto di segnalazione, con la conseguente illecita diffusione dei dati personali, anche relativi alla salute, degli interessati, comportando inoltre la possibilità, per chiunque avesse fatto accesso all’URL per l’inserimento dei dati, di modificare taluni dati personali conferiti da altri interessati all’atto della compilazione delle domande (come peraltro verificato dall’ufficio in sede dei primi accertamenti, cfr. relazione di servizio del XX, in atti).
L’Azienda ospedaliera non ha, infatti, adottato alcuna procedura formale, né alcun tipo di controllo, idonei a garantire l’integrità e la rispondenza fra i dati inseriti nella piattaforma dai candidati e i dati effettivamente ricevuti. Ciò è da considerarsi con particolare attenzione anche in ragione del fatto che un’eventuale discrepanza fra i documenti presentati dai candidati e quelli esaminati dall’Azienda ospedaliera avrebbe potuto determinare gravi effetti pregiudizievoli per gli interessati, quali ad esempio, la possibile esclusione dalla partecipazione al concorso o il mancato riconoscimento di eventuali titoli di preferenza, rispetto ad altri candidati.
Le modalità di trasmissione dei dati e di consegna dei documenti relativi ai candidati, effettuata mediante l’invio di un CD-ROM privo di meccanismi di protezione (password o cifratura dei dati contenuti), non hanno consentito di proteggere adeguatamente i dati personali da accessi non autorizzati (ad es. mediante consultazione o copia dei dati contenuti nel supporto informatico). Tali eventuali accessi non autorizzati, ove fossero avvenuti, non sarebbero stati infatti in alcun modo individuabili o tracciabili, nemmeno con controlli ex post.
Peraltro, proprio anche in conseguenza della mancata regolazione del rapporto con il fornitore del servizio (vedi sopra par. 3.2), l’Azienda ospedaliera non ha impartito allo stesso le necessarie istruzioni, anche in ordine alle modalità con le quali avrebbe dovuto mettere a propria disposizione tutte le informazioni necessarie per dimostrare il rispetto degli obblighi nel trattamento dei dati (art. 5, par. 2 e art. 24 del Regolamento), né risulta abbia in alcun modo svolto attività di vigilanza o revisione in merito alla sicurezza dei dati trattati, per proprio conto, dalla Società (art. 28, comma 3, spec. lett. a) e h) del Regolamento).
Né rileva, ai fini di un’eventuale esclusione di responsabilità dell’Azienda ospedaliera che “l’outsourcer aggiudicatario [avesse assunto] un ruolo predominante nella concreta gestione della piattaforma”.
data, 3 ottobre 2020
