Sanzione privacy Cardarelli Napoli – il commento di Gianluca Pirozzi
A seguito della riunione del 17 settembre 2020 di Piazza Venezia, Roma, viene emanato uno dei primi provvedimenti dell’attuale collegio del Garante Privacy, recentemente costituito, il cui relatore, Avv. Guida Scorza, analizza precisamente tutte le violazioni commesse dall’azienda sanzionata, descrivendo, passo dopo passo, la corretta applicazione della normativa relativa alle diverse fattispecie sottese al caso documentato, affrontando gli aspetti più rilevanti delle nuove disposizioni previste dal Regolamento UE 679/16 (di seguito “Regolamento”) e dal D.Lgs 196/2003 (di seguito “Codice Privacy”).
Il caso riguarda una nota azienda ospedaliera di Napoli “A. Cardarelli” (di seguito “azienda”), ritenuta responsabile di una condotta illecita, accertato che, chiunque, accedendo alle risorse web messe a disposizione dalla stessa, aveva la possibilità di visualizzare un elenco di codici alfanumerici, corrispondenti al “codice iscrizione” dei candidati a un concorso pubblico indetto dalla struttura ospedaliera. A ciascuno di tali codici era associato un collegamento ipertestuale che permetteva l’accesso a un’area del portale nella quale erano contenuti alcuni documenti presentati dai candidati a integrazione della domanda di partecipazione al concorso. Digitando i codici nelle caselle di inserimento dei dati presenti nella pagina accessibile all’URL http://…, era consentito l’accesso a una maschera nella quale erano riportati i dati inseriti dai candidati con la possibilità di modificarli. Era, anche, possibile visualizzare, ulteriori documenti allegati dagli stessi candidati, contenenti anche dati relativi alla salute (es. titoli di preferenza e certificazione medica).
Tecnicamente, l’azienda ospedaliera sceglieva il suo contraente mediante la pubblicazione di una gara di appalto, al fine di selezionare un fornitore di servizi on-line per procedere alla creazione di una piattaforma gestionale utilizzata per l’attuazione di un concorso pubblico, affidando all’aggiudicatario, altresì, la cura della relativa fase di gestione delle domande online e successiva preselezione informatica dei concorrenti. Naturalmente, per le varie tipologie di contratti di appalto stipulati tra le parti, sia per i privati che per le pubbliche amministrazioni, devono essere sempre rispettate, oltre alle norme relativi agli appalti, codice civile e amministrativo, anche, le norme e le disposizioni, previste dal Regolamento, dal Codice Privacy ed i provvedimenti del Garante. (E soprattutto, per i documenti informatici, le nuove “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici” adottate da AgID)
I Principi e la base giuridica del trattamento
Preliminarmente, dall’attività istruttoria del Garante è emerso che il trattamento dei dati personali degli interessati effettuato dall’azienda veniva effettuato in violazione del principio di liceità, correttezza e trasparenza disattendendo l’art. 5, par. 1, lett. a) del Regolamento. Secondo il Considerando 39 “Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto”. Per correttezza si intende il rispetto delle norme di legge previste per il trattamento dei dati personali, mentre, per considerare lecito un trattamento di dati personali, questo dovrebbe fondarsi su un’idonea base giuridica, così come indicato dall’art. 6 e 9 del Regolamento. Il principio della trasparenza, invece, impone che il titolare del trattamento renda agli interessati tutte le informazioni previste dagli artt. 13 e 14 del Regolamento garantendo che, le informazioni e comunicazioni relative al trattamento dei dati personali siano facilmente accessibili e comprensibili utilizzando un linguaggio semplice e chiaro.
Il trattamento posto in essere da un ente pubblico nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, risulta lecito se il trattamento è “necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (obblighi previsti dalla normativa nazionale “per finalità di assunzione”), art. 6, par. 1, lett. c) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” art. 6, par. 1, lett. e), del Regolamento. In ogni caso, l’art. 6, par. 3, lett. b) prevede che la base giuridica su cui si fonda il trattamento dei dati di cui al par. 1, lett. c) ed e) deve essere stabilito dal diritto interno degli stati membri, i quali, possono prevedere disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto. Difatti, l’adeguamento della disciplina nazionale ha introdotto l’art. 2 ter del Codice Privacy, secondo il quale, la base giuridica per il trattamento di dati personali “comuni” per le finalità su indicate, comprese la comunicazione e diffusione, è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento.
In tale quadro, con riguardo alle categorie particolari di dati personali, inclusi quelli relativi alla salute (in merito ai quali è previsto un generale divieto di trattamento, ad eccezione dei casi indicati all’art. 9, par. 2, lett. b) del Regolamento) il trattamento è consentito, “per assolvere specifici obblighi ed esercitare i diritti del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati Membri, […] in presenza di garanzie appropriate”. Anche per le categorie particolari di dati, per effetto dell’art. 9, par. 4, gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, come accaduto con l’introduzione dell’art. 2 septies del Codice Privacy.
Difatti, il legislatore italiano con la formulazione del comma 8 dell’art. 2-septies ha introdotto il divieto di diffusione dei dati relativi alla salute, ossia di “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, n. 15; considerando n. 35 del Regolamento).
Le ulteriori attività istruttorie svolte dal Garante hanno rilevato che il trattamento posto in essere dall’azienda con l’istituzione del concorso risulta essere stato effettuato in violazione dell’obbligo che impone al titolare del trattamento di rendere agli interessati una preventiva informativa, secondo quanto previsto dall’art. 13 del Regolamento, anche nel rispetto del “principio di trasparenza” (art. 5, lett. a) del Regolamento).
Infatti, il documento adottato dall’azienda per rendere le informazioni agli interessati, non prevedeva i contenuti obbligatori di cui all’art. 13 del Regolamento, oltre a presentare un riferimento al “consenso al trattamento dei dati”, quale condizione di liceità del trattamento, non pertinente nel caso di specie.
Il relatore Avv. Scorza spiega chiaramente, come “Il consenso dell’interessato, non può, di regola, costituire un valido presupposto di liceità per il trattamento dei dati personali quando sussista “un evidente squilibrio tra l’interessato e il titolare” (cfr. considerando 43 del Regolamento), specie quando questo sia un’autorità pubblica che agisce nell’esecuzione di un “compito di interesse pubblico o connesso all’esercizio di pubblici poteri” (art. 6, par.1, lett. e) del Regolamento; Linee Guida sul consenso ai sensi del Regolamento UE 2016/679- WP 259- del 10 aprile 2018 e da ultimo modificate il 4 maggio 2020) o nell’ambito di attività comunque riconducibili alla instaurazione e gestione di rapporti di lavoro (es. “per finalità di assunzione”, art. 88 del Regolamento)”. Pertanto, si ritiene problematico per il datore di lavoro trattare i dati personali dei dipendenti attuali o futuri sulla base del consenso, in quanto è improbabile che questo venga prestato liberamente. Per la maggior parte delle attività di trattamento svolte sul posto di lavoro, la base legittima non può e non dovrebbe essere il consenso del dipendente (articolo 6, paragrafo 1, lettera a)) in considerazione della natura del rapporto tra datore di lavoro e dipendente. Il datore di lavoro può utilizzare il consenso come base giuridica legittima per il trattamento solo in alcune situazioni, in cui è in grado di dimostrare che sia stato effettivamente espresso liberamente. Per questo motivo, dato lo squilibrio di potere tra il datore di lavoro e il suo personale, i dipendenti possono manifestare il loro consenso liberamente soltanto in casi eccezionali, quando non subiranno alcuna ripercussione negativa per il fatto che esprimano il loro consenso o meno.
Nel caso di specie, l’azienda avrebbe dovuto individuare, per legittimare il trattamento dei dati comuni e le categorie particolari di dati, la base giuridica negli artt. 6 par. 3 lett. b e 9 par. 4 del Regolamento, i quali richiamano gli artt. 2 ter e 2 sexies del Codice Privacy. Successivamente, prima di iniziare il trattamento, in occasione della raccolta dei dati, l’azienda avrebbe dovuto fornire agli interessati tutte le informazioni elencate nell’art. 13 del Regolamento, tra cui le finalità e la corretta base giuridica, specificando altresì, gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali, dove sarebbe stato opportuno indicare il nominativo della società aggiudicatrice della gara di appalto come soggetto giuridico esterno nominato Responsabile del trattamento ex art. 28 del Regolamento.
Il ruolo del Responsabile del trattamento
Come anticipato in precedenza, l’Azienda ospedaliera aveva affidato alla Società fornitrice della piattaforma informatica l’attività riguardante il trattamento dei dati personali dei candidati alla prova concorsuale nella fase di raccolta e gestione delle domande e in quella di preselezione dei candidati, nonché il servizio di assistenza e manutenzione tecnica, attraverso la stipula di un contratto di appalto, senza tenere in considerazione le responsabilità dei trattamenti posti in essere, ed in assenza di valutazioni circa le possibili implicazioni derivanti da operazioni di trattamento di dati personali effettuati per conto del titolare del trattamento.
La decisione di esternalizzare alcune fasi della procedura concorsuale indetta per l’assunzione di nuovo personale sanitario da impiegare nelle proprie strutture discende da una precisa scelta dell’Azienda ospedaliera, Titolare del trattamento, avendo determinato le finalità e le modalità del trattamento. In particolare, il titolare è il soggetto sul quale ricade una “responsabilità generale” sui trattamenti posti in essere, anche quando questi siano effettuati da altri soggetti “per suo conto”. Al fine di rispettare l’Art. 28 del Regolamento, il titolare del trattamento deve obbligatoriamente regolare il rapporto con il responsabile del trattamento, stipulando per iscritto un contratto o altro atto giuridico, che oltre a vincolare reciprocamente le due figure, consenta al titolare di impartire istruzioni al responsabile e preveda, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, nonchè, gli obblighi e i diritti del titolare. Pertanto, è doveroso segnalare che, in queste ipotesi, deve essere sempre e necessariamente, sottoscritto tra le parti un documento (contratto o atto giuridico) che contenga gli elementi previsti dall’art. 28 del Regolamento!
Il Responsabile del trattamento sarà, di conseguenza, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare”, adottando tutte le misure richieste dall’art. 32 del Regolamento, e soprattutto, dovrà cooperare ed assistere il titolare, al fine di dare seguito alle richieste per l’esercizio dei diritti degli interessati, e per garantire il rispetto degli obblighi in materia di sicurezza dei dati e valutazione d’impatto previsti dalla sezione 2 e 3 del Capo IV del Regolamento.
La mancata sottoscrizione di un accordo tra titolare e responsabile comporta notevoli conseguenze negative nei confronti del titolare, come la violazione dell’art. 28 del Regolamento, autonomamente sanzionabile. Ma, le conseguenze possono essere rivelate anche sotto il profilo della sicurezza del trattamento, come una mancata comunicazione di Data breach da parte del Responsabile al Titolare. Infatti, non bisogna dimenticare che il Titolare del Trattamento, anche se nomina un Responsabile del Trattamento, dovrà sempre mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento sarà effettuato conformemente al Regolamento, riaggiornando e riesaminando dette misure, qualora necessario.
Risulta pertanto accertato che l’Azienda ospedaliera ha omesso di regolare il rapporto con la Società, che ha effettuato il trattamento dei dati dei candidati per proprio conto e nel proprio esclusivo interesse, in violazione dell’art. 28 del Regolamento, che ha comportato una sanzione pecuniaria per entrambe le parti.
La Sicurezza del trattamento
Un’ulteriore conseguenza della mancata regolazione del rapporto con il responsabile del trattamento si avrà in termini di sicurezza del trattamento, sia per l’assenza di necessarie istruzioni sul trattamento dei dati personali che il titolare avrebbe dovuto fornire al responsabile, ma anche per l’assenza di qualsivoglia controllo, ovvero, attività di vigilanza o revisione in merito alla sicurezza dei dati trattati, per proprio conto, dal responsabile. Tale contesto evidenzia, oltre tutto, che le parti contrattuali non siano dotate di un’idonea organizzazione privacy (data governance) rispetto al mutato contesto normativo, capace di dimostrare il rispetto degli obblighi previsti dal Regolamento.
Per garantire la sicurezza del trattamento, il Titolare del trattamento nei rapporti con il responsabile del trattamento deve regolare tutti gli aspetti dei trattamenti disciplinando con particolare attenzione le clausole e/o le modalità organizzative da attuare, per rendere operativo il flusso di informazioni da ricevere dal responsabile, e curando altresì la gestione delle violazioni dei dati personali, prevedendo un obbligo di assistenza nell’adempimento delle disposizioni previste dagli artt. 33 e 34 del Regolamento.
In relazione all’evento discusso, si precisa che, l’art. 3 ter, comma 4, lett. b), descrive il termine “diffusione”, come il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione, ed al comma 1 dispone che tale operazione sia ammessa esclusivamente in presenza di una norma di legge, (mentre i dati relativi alla salute non possono essere diffusi (art. 2 septies, comma 8)), la conseguenza del mancato rispetto di queste disposizioni, provoca inevitabilmente una violazione di dati personali, che secondo l’art. 4.12) risulta la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali tramessi, conservati o comunque trattati.
Pertanto, il Garante sostiene che, l’incidente di sicurezza verificatosi non può essere ritenuto “imputabile unicamente all’outsourcer”, in quanto, secondo quanto emerso dalla condotta del titolare del trattamento, quest’ultimo, risulta responsabile della mancata adozione di misure tecniche e organizzative adeguate a garantire la riservatezza e l’integrità dei dati personali trattati mediante l’ausilio della piattaforma gestita dalla Società, in violazione degli artt. 5, par.1, lett. f) e 32 del Regolamento.
In riferimento alla mancata notificazione di cui all’art. 33 del Regolamento della violazione di sicurezza, il Garante ha considerato il comportamento collaborativo assunto dall’azienda ospedaliera nel corso dell’istruttoria del procedimento non potendo essere ritenuta responsabile delle informazioni parziali e inesatte che, in una prima fase, ha fornito all’Autorità “facendo affidamento sulle garanzie fornite dall’appaltatore, specie in ordine alla durata minimale del data breach rilevato” e alle cause dell’incidente di sicurezza occorso.
In conclusione, le valutazioni preliminari svolte nel corso del procedimento istruttorio hanno rilevato l’illiceità del trattamento di dati personali effettuato dall’Azienda, in quanto il trattamento dei dati personali dei candidati al concorso indetto dalla medesima, avveniva in violazione degli artt. 5, par. 1, lett. a), 6 par. 1, lett. c) ed e), 13, 28 e 32 del Regolamento e degli artt. 2-ter e 2-septies del Codice, dove quest’ultimo, prevede lo specifico divieto di diffusione dei dati sulla salute.
Il Garante, sostiene che la violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5 del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento medesimo come richiamato anche dall’art. 166, comma 2, del Codice.
Inoltre, con l’ordinanza di ingiunzione per il pagamento della somma di euro 80.000,00 a titolo di sanzione amministrativa pecuniaria, viene disposta altresì, la sanzione amministrativa accessoria della pubblicazione del provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7 del Codice Privacy, per il ricorrere dei presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.
Avv. Gianluca Pirozzi – Of Counsel