Concorso pubblico per infermieri, sanzione per 140mila euro

Dati dei partecipanti non blindati. Multate l’Azienda ospedaliera Cardarelli di Napoli e la società che gestiva la piattaforma

80mila euro di multa all’Azienda ospedaliera Cardarelli di Napoli per aver trattato illecitamente i dati di oltre 2000 aspiranti infermieri. È quanto ha deciso il Garante della privacy a seguito di una istruttoria tutt’altro che semplice che ha fatto emergere numerosi e gravi inadempimenti alla disciplina della protezione dei dati. Una ulteriore sanzione (di 60mila euro) è stata inflitta alla società che gestiva la piattaforma per la raccolta online delle domande dei partecipanti.  

Dati liberamente accessibili e modificabili

L’indagine dell’Autorità Garante è partita dopo una segnalazione in cui veniva lamentato il fatto che i dati dei candidati alla selezione del concorso pubblico, in alcuni casi anche relativi alla salute (titoli di preferenza e certificazioni mediche), fossero liberamente accessibili online. Infatti, attraverso un semplice collegamento alla piattaforma che gestiva le domande, per una configurazione dei sistemi errata, si è potuto visualizzare per un determinato periodo un elenco di codici, assegnati ai candidati al momento dell’iscrizione al concorso, che attraverso semplici passaggi consentivano l’accesso a un’area del portale nella quale erano contenuti i documenti presentati dai partecipanti. Una possibilità, questa, che avrebbe potuto consentire di modificare i dati personali di ogni singolo candidato.

Violate le norme del Regolamento europeo

Sia l’Azienda ospedaliera che la società che gestiva la piattaforma hanno violato le norme del Regolamento europeo sulla protezione dei dati non avendo dottato adeguate misure tecniche e organizzative per garantire la sicurezza e l’integrità dei dati. Inoltre l’Azienda ospedaliera non aveva fornito ai partecipanti una idonea informativa e aveva anche omesso di regolamentare il rapporto con la società che gestiva la piattaforma con un contratto o con un altro atto giuridico che disciplinasse il trattamento dei dati effettuato per suo conto.

Dati conservati anche dopo la cessazione del servizio

Rilevato che la società ha conservato e reso disponibili sulla propria piattaforma i dati dei partecipanti anche dopo la cessazione della fornitura del servizio, il Garante ha vietato ogni ulteriore trattamento ad eccezione di quanto necessario per la difesa dei diritti in sede giudiziaria.

FONTE: garanteprivacy.it