A seguito di un’articolata indagine svolta dall’Autorità Garante della privacy, l’Azienda ospedaliera Cardarelli di Napoli è stata multata per 80mila euro per aver trattato illecitamente i dati di circa 2000 aspiranti infermieri.
Sotto indagine anche la società che gestiva la piattaforma online per la raccolta delle domande dei partecipanti che è stata sanzionata per 60mila euro.
“L’Autorità – composta dal Presidente Pasquale Stanzione, dalla Vicepresidente Ginevra Cerrina Feroni e dai Componenti Agostino Ghiglia e Guido Scorza – ha ritenuto illeciti i trattamenti di dati personali svolti dall’Azienda ospedaliera e dalla Società perché effettuati in violazione delle norme del Regolamento europeo”.
L’INDAGINE DELL’AUTORITÀ
Una segnalazione ha reso noto che i dati dei candidati – relativi alla salute degli stessi, titoli di preferenza e certificazioni mediche – erano liberamente accessibili online.
Dalle indagini dell’Autorità Garante della privacy sono emersi numerosi e gravi inadempimenti alla disciplina di protezione dati.
Accedendo alla piattaforma per la gestione delle domande, si visualizzava l’elenco completo dei codici assegnati ai singoli candidati durante la fase di iscrizione al concorso.
Questo accadeva a causa di una non conforme configurazione dei sistemi.
Attraverso questi codici, con pochi e semplici passaggi, si poteva accedere all’area del portale in cui erano caricati tutti i documenti presentati dai partecipanti.
A quel punto era possibile sia entrare in possesso delle informazioni registrate precedentemente sia procedere con la modifica dei dati personali inseriti dai candidati.
I soggetti multati non avevano adottato le misure indispensabili a preservare i dati in sicurezza.
L’azienda ospedaliera, inoltre:
- non aveva fornito ai partecipanti un’informativa idonea;
- non aveva regolamentato il rapporto con la Società che gestiva la piattaforma attraverso un contratto o un adeguato atto giuridico.
Dalle indagini del Garante della privacy, oltretutto, è emerso che la Società continuava a rendere disponibili sulla propria piattaforma i dati dei candidati anche dopo la cessazione della fornitura del servizio.
Questo ha portato l’Autorità a vietare ogni ulteriore trattamento, fatta eccezione per quelli necessari alla difesa dei diritti in sede giudiziaria.
Entro i prossimi 30 giorni, la Società dovrà comunicare al Garante della privacy le operazioni adottate per assicurare la cessazione del trattamento.
LE SANZIONI
Nella quantificazione della sanzione il Garante della privacy ha considerato che tali violazioni riguardano un trattamento iniziato subito dopo definitiva applicazione del Regolamento.
Tenendo in considerazione la sensibilità dei dati diffusi, l’Autorità ha deciso di applicare, oltre alla sanzione pecuniaria, anche la sanzione accessoria della pubblicazione dei due provvedimenti sul proprio sito web.
Potrebbe interessarti anche L’ARTE DEL PHISHING
