Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Provvedimento del 17 settembre 2020 [9461321]

 

VEDI ANCHE Newsletter del 30 settembre 2020 

 

[doc. web n. 9461321]

Provvedimento del 17 settembre 2020

Registro dei provvedimenti
n. 161 del 17 settembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La segnalazione.

Con segnalazione pervenuta in data XX, è stata lamentata la diffusione di dati personali dei candidati a un concorso pubblico indetto dall’Azienda Ospedaliera di rilievo nazionale “A. Cardarelli” di Napoli (di seguito, l’Azienda). In particolare, è stato rappresentato che accedendo all’URL http://... era possibile visualizzare un elenco di codici, corrispondenti al “codice iscrizione” dei candidati a uno specifico concorso (XX). A ciascuno di tali codici era associato un collegamento ipertestuale, che riportava a un’area del portale nella quale erano contenuti alcuni documenti presentati dai candidati. Inserendo inoltre uno di questi codici nelle apposite caselle presenti nella pagina accessibile all’URL http://..., si accedeva a una maschera nella quale erano riportati i dati inseriti dai candidati con la possibilità di modificarli (cfr. relazione di servizio del XX, in atti) e, ancora, attraverso l’URL http://..., si visualizzavano ulteriori documenti allegati dagli stessi candidati, contenenti anche dati relativi alla salute. Tali circostanze sono state accertate dall’Ufficio del Garante (cfr. Relazione di servizio del XX, in atti).

2. L’attività istruttoria.

A seguito di una prima attività istruttoria, nei confronti dell’Azienda ospedaliera, è emerso che la piattaforma gestionale utilizzata per l’attuazione dei concorsi apparteneva alla società Scanshare s.r.l. (di seguito, la Società), outsourcer informatico affidatario del servizio di gestione delle domande online e della fase di preselezione informatica dei concorrenti.

In seguito, l’Ufficio, al fine di un compiuto esame della vicenda rappresentata, ha svolto un’attività di accertamento, ai sensi dell’art. 58 del Regolamento e 157 e 158 del Codice, nei confronti sia dell’Azienda ospedaliera (il XX), sia della Società (il XX, cfr. verbali delle operazioni compiute, in atti).

Nel corso dell’attività ispettiva i rappresentanti della Società - la quale in un primo momento aveva assicurato all’azienda che “l’accesso alle cartelle […] indicate è stato effettuato in un lasso di tempo di qualche minuto in cui la piattaforma risultava in manutenzione a causa di molteplici accessi simultanei da parte dei candidati” - hanno precisato (cfr. verbale XX, in atti):

- di avere reso disponibile “dal mese di XX il portale di concorso on-line per il Cardarelli, attraverso la personalizzazione del proprio specifico servizio”;

- che all’avvicinarsi dei termini di scadenza del concorso “il sistema ha avuto delle problematiche legate all’elevato numero di sessioni concorrenti derivanti dai numerosi accessi da parte dei candidati, generando per alcuni momenti dei DOS (disservizi)”, a seguito dei quali i tecnici della Società hanno provveduto, nella notte “fra il XX e il XX”, ad apportare degli accorgimenti tecnici riversando “il web server su di una macchina con prestazioni più elevate”;

- di avere verificato - a seguito della comunicazione con la quale l’Azienda ospedaliera inoltrava la richiesta di informazioni ricevuta dall’Autorità - “l’accessibilità dall’esterno della cartella XX”, imprevisto questo causato “probabilmente” dal fatto che “durante il citato intervento di manutenzione, è stato rimosso accidentalmente dalla cartella XX il file .XX, necessario a configurare, tra le altre cose, l’accessibilità dall’esterno alla cartella stessa”;

- che il ripristino della corretta visibilità della cartella è avvenuto “il XX circa” quando “dopo aver effettuato ulteriori riscontri, il file .XX è stato […] nuovamente caricato nella cartella XX”;

- in relazione ai “ruoli privacy”, di essere stata “in genere” nominata responsabile del trattamento “dall’ente che indice il concorso, in qualità di titolare. Nel caso del Cardarelli, invece, il tema della regolazione dei ruoli privacy non è stato affrontato in sede di stipula del contratto […e] di non aver ricevuto la nomina a responsabile del trattamento da parte dell’Azienda Ospedaliera”;

- scaduti i termini per la presentazione delle domande del concorso, “i soli dati anagrafici” dei candidati sarebbero stati trasposti su un CD e trasmessi all’Azienda ospedaliera, alla quale, dopo l’eventuale preselezione, sarebbe stato inviato un altro CD contenente i dati di “coloro che hanno superato la prova preselettiva, anche gli allegati forniti all’atto della domanda”;

- i dati anagrafici dei candidati e la relativa documentazione sarebbero stati conservati “per circa un mese dalla fine della prova preselettiva o dalla scadenza del bando sui propri sistemi”, successivamente, tali dati, trasposti su un CD/DVD, sarebbero stati conservati fin quando l’Azienda ospedaliera ne avesse disposto l’eliminazione;

- a seguito dell’evento, sono state implementate ulteriori misure di sicurezza, prevedendo sulla home-page del portale, quale misura ulteriore per accedere alla domanda presentata, l’inserimento, oltre che del già previsto codice identificativo, anche del codice fiscale del candidato.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti nell’ambito della complessa istruttoria avviata, dell’esame di tutta la documentazione acquisita nel corso delle due verifiche ispettive compiute e trasmessa successivamente da parte dell’Ente e della Società coinvolti, nonché dei fatti emersi nel corso dell’attività istruttoria e delle successive valutazioni effettuate, ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con la nota sopra menzionata, l’Ufficio ha rilevato che la Società ha posto in essere un trattamento dei dati personali degli interessati, nelle modalità sopra descritte, in violazione dei principi di liceità, correttezza e trasparenza, (art. 5, par. 1, lett. a) del Regolamento); dell’art. 13 del Regolamento, in quanto non è stata fornita agli interessati un’idonea informativa; in violazione degli artt. 6 e 9, del Regolamento, nonché degli artt. 2-ter, e 2-sexies del Codice, in quanto i dati sono stato trattati, comunicati e diffusi in assenza di un’idonea base giuridica; nonché in violazione dell’art. 2-septies comma 8 del Regolamento, in quanto sono stati diffusi dati relativi alla salute; in violazione dell’art. 32 in quanto non sono state adottate adeguate misure tecniche e organizzative volte a garantire la riservatezza e l’integrità dei dati personali trattati.

A seguito della nota contenente le contestazioni ai sensi dell’art. 166 del Codice (cfr. ricevuta di consegna prot. n. XX, in atti), come verificato con l’ausilio dell’Ufficio Archivio e Protocollo, la Società non ha fatto pervenire le proprie memorie difensive né ha formulato richiesta di audizione.

3. Esito dell’attività istruttoria.

In base alla disciplina in materia di protezione dei dati personali, il titolare deve trattare i dati personali (art. 4, n. 1, del Regolamento) in modo lecito, corretto e trasparente (art. 5, par. 1, lett. a) del Regolamento) e nel rispetto dei presupposti di cui agli articoli 6 e 9 del Regolamento.

Con riguardo alle categorie particolari di dati personali, inclusi quelli relativi alla salute, in merito ai quali è previsto un generale divieto di trattamento, lo stesso è consentito nei casi indicati all’art. 9, par. 2 del Regolamento (cfr. anche art. 9, par. 4 del Regolamento e art. 2-septies del Codice).

In ogni caso, è vietata la diffusione di dati relativi alla salute (art. 2-septies, comma 8, del Codice, cfr. anche art. 9, paragrafi. 1, 2, 4, del Regolamento), ossia di “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, n. 15; considerando n. 35 del Regolamento).

Anche in presenza di una specifica disposizione normativa che legittimi il trattamento dei dati personali, il titolare del trattamento è tenuto a rispettare i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione” nonché “integrità e riservatezza” dei dati e “responsabilizzazione” (art. 5 del Regolamento).

3.1. Il trattamento dei dati dei candidati effettuato dalla Società.

Dalla documentazione in atti è emerso che la Società ha reso disponibile il portale dei concorsi online per l’Azienda ospedaliera svolgendo, per conto e nell’interesse di quest’ultima, titolare del trattamento (artt. 6 e ss. dell’“Avviso di indizione sul “Mercato Elettronico/Acquisti in rete Pubblica Amministrazione di procedura negoziata”), operazioni di trattamento dei dati dei candidati nell’ambito della procedura concorsuale, indetta dall’Azienda per il reclutamento di personale sanitario da impiegare nelle proprie strutture (raccolta e gestione delle domande, gestione della fase di preselezione).

Come emerso nel corso dell’istruttoria e confermato dalla Società (cfr. Verbale di operazioni compiute, p.3), l’intera procedura è stata gestita senza che il proprio ruolo nel trattamento dei dati per conto dell’Azienda ospedaliera fosse disciplinato ai sensi dell’art. 28 del Regolamento. Non essendo stata individuata come Responsabile del trattamento, in assenza della prescritta “istruzione documentata” da parte del titolare (art. 28, par. 3, lett. a) del Regolamento), e non essendo stati individuati da parte della Società specifici presupposti che abbiano legittimato il trattamento dei dati personali, anche relativi alla salute, dei candidati, si deve concludere che lo stesso è stato effettuato in assenza delle condizioni di liceità previste dal Regolamento e dal Codice. In tale contesto, poiché la piattaforma gestita dalla Società è stata interessata anche da una violazione di dati personali che ha comportato la diffusione illecita di dati personali, anche relativi alla salute, dei candidati, si configura la violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento; 2-ter, 2-sexies e 2-septies, comma 8 del Codice.

3.2. La sicurezza dei dati.

In base al Regolamento, i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f), del Regolamento).

L’art. 32 del Regolamento pone in capo al titolare e al responsabile -tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio- l’adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.

Stando a quanto emerge dalla documentazione in atti e da quanto dichiarato della Società, la diffusione online dei dati personali è stata causata dall’elevato “numero di sessioni concorrenti derivanti dai numerosi accessi da parte dei candidati, generando per alcuni momenti dei DOS (disservizi)”, a seguito dei quali i tecnici della Società hanno provveduto, nella notte “fra il XX e il XX”, ad apportare alcuni accorgimenti tecnici riversando “il web server su di una macchina con prestazioni più elevate”. Solo a seguito della comunicazione ricevuta dall’Azienda ospedaliera, la Società in data XX “ha verificato l’accessibilità all’esterno della cartella XX”, imprevisto che la stessa ha imputato al fatto che “durante il citato intervento di manutenzione, è stato rimosso accidentalmente dalla cartella XX il file .XX, necessario a configurare, tra le altre cose, l’accessibilità dall’esterno alla cartella stessa”.

A tal riguardo, sulla base di quanto accertato, le misure tecniche e organizzative implementate per effettuare il trattamento dei dati dei candidati, sia nella fase di raccolta e gestione delle domande, sia in quella di preselezione del personale e, infine, in quella di comunicazione dei nominativi all’Azienda, non possono essere considerate adeguate in relazione agli specifici rischi del trattamento, come confermato anche dall’incidente occorso che ha determinato la diffusione dei dati personali degli interessati, ivi compresi dati relativi alla salute, rendendo altresì possibile a chi avesse avuto accesso al portale di modificare taluni dati inseriti dai candidati nella compilazione delle domande (cfr. relazione di servizio del XX) ).

Anche la modalità di invio dei dati all’Azienda ospedaliera, allo scadere dei termini del concorso o dopo l’eventuale svolgimento della prova preselettiva, non può ritenersi adeguata agli specifici rischi del trattamento - atteso che una discrepanza fra i documenti presentati dai candidati e quelli esaminati dall’Azienda avrebbe potuto avere conseguenze pregiudizievoli per gli interessati. Infatti, come è emerso nel corso degli accertamenti ispettivi, la Società non ha adottato alcuna procedura formale né alcun tipo di controllo successivo per assicurare la rispondenza fra i dati inseriti nella piattaforma dai candidati e i dati effettivamente consegnati all’Azienda ospedaliera. Per quanto riguarda la sicurezza, la modalità di consegna dei dati e dei documenti relativi ai candidati, effettuata mediante l’invio di un CD privo di meccanismi di protezione (password o cifratura dei dati contenuti) non consente infatti di proteggere adeguatamente i dati personali dei candidati da accessi non autorizzati, effettuati tramite lettura o copia dei dati contenuti nel supporto informatico. Tali eventuali accessi non autorizzati, tra l’altro, non sarebbero stati infatti in alcun modo individuabili o tracciabili, nemmeno con controlli ex post. Per tali ragioni le misure tecniche e organizzative adottate, nella fase di gestione delle domande presentate dai candidati per la partecipazione al concorso e le modalità impiegate per la loro successiva comunicazione all’Azienda ospedaliera, non appaiono adeguate alla natura, al contesto, alle finalità e ai rischi del trattamento, configurando violazioni, imputabili, seppur con diverso grado di responsabilità, non solo all’Azienda ospedaliera (nei confronti è stato adottato uno specifico provvedimento) ma anche alla Società (art. 5, par.1, lett. f) e dell’art. 32 del Regolamento).

4. Ulteriori accertamenti da parte dell’Ufficio

In occasione delle verifiche dell’Ufficio in relazione alle circostanze da valutare ai sensi dell’art. 83, par. 2, del Regolamento ai fini della quantificazione della sanzione applicabile allo specifico caso, è stato possibile verificare che i dati di dettaglio forniti in sede di presentazione della domanda dai singoli candidati sono, ad oggi, ancora presenti sulla piattaforma gestita dalla Società e accessibili mediante l’inserimento del codice univoco di iscrizione al concorso associato a ciascun candidato e il codice fiscale dello stesso nell’apposita maschera all’indirizzo: https://..., attraverso il form “XX” (cfr. relazione di servizio del XX, in atti).

Risulta pertanto che la Società continua a conservare, trattare e rendere comunque accessibili, con le modalità sopra descritte, i dati dei partecipanti al concorso attraverso la propria piattaforma, ancorché, stando a quanto risulta dalla documentazione in atti, il rapporto contrattuale con l’Azienda ospedaliera sia cessato in data XX.

5. Conclusioni.

Alla luce delle valutazioni sopra richiamate, non ricorrendo i casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019 si confermano i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, ad eccezione del profilo relativo alla violazione dell’art. 13 del Regolamento, originariamente contestato alla Società. Ciò in quanto, all’esito della complessiva istruttoria, la circostanza secondo cui in nessuna delle fasi di iscrizione al concorso e di compilazione online delle relative domande di partecipazione siano state rese ai candidati le informazioni indicate dall’art.13 del Regolamento, è da ritenersi imputabile all’Azienda ospedaliera, titolare del trattamento, come specificato nel provvedimento nei confronti della stessa. Né, peraltro, risulta dagli atti che l’Azienda abbia impartito diposizioni al fornitore del servizio in proposito.

Si rileva che il trattamento dei dati degli interessati, avvenuto in violazione della disciplina in materia di trattamento dei dati personali, ha avuto inizio con la pubblicazione del concorso in Gazzetta Ufficiale il XX, data a partire dalla quale i candidati potevano presentare la domanda di partecipazione al concorso; la violazione dei dati personali che ha determinato la diffusione online dei dati personali è avvenuta tra il XX e il XX; la cessazione dei rapporti con la Società è avvenuta nel XX.

Ne discende quindi che i trattamenti in esame si sono volti nella piena vigenza delle disposizioni del Regolamento e del Codice, si fa presente che al fine della determinazione del quadro normativo applicabile sotto il profilo temporale (art. 1, comma 2, della l. 24 novembre 1981, n. 689), queste costituiscono le disposizioni vigenti al momento della commessa violazione.

Anche in ragione del fatto che la Società non ha fatto pervenire memorie difensive nel corso del procedimento, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Società, in quanto il trattamento dei dati personali dei candidati al concorso indetto dall’Azienda, è avvenuto in violazione degli artt. 5, par. 1, lett. a), 6 e 9, del Regolamento, degli artt. 2-ter, 2-sexies e 2-septies, comma 8 del Codice, nonché in violazione dell’art. 32 del Regolamento.

La violazione delle predette disposizioni comporta, ai sensi dell’art. 2-decies del Codice e “salvo quanto previsto dall’articolo 160-bis”, l’inutilizzabilità dei dati personali trattati.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5 del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice.

6. Misure correttive (art. 58, par. 2, lett. f del Regolamento)

Come accertato nel corso dell’istruttoria, la Società, nonostante la cessazione della fornitura del servizio in favore dell’Azienda, continua a conservare, trattare e rendere disponibili sulla propria piattaforma i dati personali dei partecipanti conferiti all’atto dell’iscrizione al concorso.

L’art. 58, par. 2, lett. f), del Regolamento prevede che il Garante ha i poteri correttivi di “imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento”.

In tale quadro si ritiene necessario, in ragione dell’illiceità del trattamento effettuato disporre, ai sensi dell’art. 58, par. 2, lett. f), la limitazione dei trattamenti in corso vietando alla Società ogni ulteriore operazione di trattamento con riguardo ai dati personali dei candidati al concorso raccolti per conto dell’Azienda, ad eccezione di quanto necessario per l’accertamento, l’esercizio o la difesa dei diritti in sede giudiziaria.

Ai sensi dell’art. 157 del Codice, la Società dovrà, inoltre, provvedere a comunicare a questa Autorità le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. f) entro trenta giorni dalla notifica del presente provvedimento.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stata considerata la particolare delicatezza dei dati personali illecitamente trattati e diffusi (anche dati relativi alla salute, art. 4, par. 1, n. 15 del Regolamento) nonché, con riguardo all’incidente di sicurezza occorso, la durata della permanenza online (25 giorni), il numero di interessati coinvolti (tutti i candidati al concorso per XX, ossia oltre 2000 interessati, come risulta anche dalla delibera n. XX, ad oggi ancora disponibile sul sito web dell’Azienda, con la quale sono stati ammessi al concorso i candidati che hanno superato la prova preselettiva e i partecipanti esonerati da tale prova ai sensi dell’art. 20 l. n. 104/1992., nonché la scarsa collaborazione manifestata dalla Società nei confronti dell’Azienda ospedaliera, per conto della quale gestiva la procedura concorsuale e anche, nell’ambito dell’attività istruttoria, dell’Ufficio con riguardo alla vicenda in esame.

È stato inoltre considerato, sotto il profilo della gravità e della durata della violazione, del danno per gli interessati nonché del grado di responsabilità della Società, che la stessa nonostante la cessazione del rapporto con l’Azienda, continua a conservare e rendere disponibili, sulla propria piattaforma, i dati conferiti dai partecipanti all’atto dell’iscrizione al concorso.

Non risultano invece precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie, ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, nella misura di euro 60.000,00 (sessantamila) per la violazione degli artt. 5, par. 1, lett. a), 6, 9, 32 del Regolamento e artt. 2-ter, 2 sexies e 2-septies, comma 8 del Codice.

Tenuto conto della particolare delicatezza dei dati diffusi, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato da Scanshare s.r.l. in persona del legale rappresentante pro-tempore, con sede legale in Rende (CS), C.da Cutura, n. 7, P.I. 03118780786, per violazione degli artt. 5, par. 1, lett. a), 6, 9, 32 del Regolamento e artt. 2-ter, 2-sexies e 2-septies, comma 8 del Codice, nei termini di cui in motivazione:

- ai sensi dell'art. 2-decies del Codice dichiara l’inutilizzabilità dei dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali, salvo quanto previsto dall’art. 160 bis del Codice;

- ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, dispone la limitazione del trattamento, vietando alla Società ogni ulteriore operazione di trattamento con riguardo ai dati personali dei candidati al concorso raccolti per conto dell’Azienda ad eccezione di quanto necessario per l’accertamento, l’esercizio o la difesa dei diritti in sede giudiziaria;

- ai sensi dell’art. 157 del Codice ordina di comunicare, entro trenta giorni dalla data di ricezione presente provvedimento, le iniziative intraprese per assicurare la cessazione del trattamento. Il mancato riscontro a una richiesta è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice;

ORDINA

a Scanshare s.r.l. in persona del legale rappresentante pro-tempore, con sede legale in Rende (CS), C.da Cutura, n. 7, P.I. 03118780786, di pagare la somma di euro 60.000,00 (sessantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla medesima Società di pagare la somma di euro 60.000,00 (sessantamila), in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 settembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi