Il Garante ha emesso sanzione verso una società che ha determinato la violazione di dati personali di oltre tremila candidati ad un concorso.

Il ricorso della Regione Toscana

È stata la Regione Toscana a adire il Garante per la protezione dei dati personali dopo che la responsabile di un procedimento concorsuale ha avuto notizia dell’avvenuta pubblicazione in un gruppo WhatsApp dello screenshot di una comunicazione apparentemente intercorsa tra un candidato e la società affidataria del servizio di organizzazione delle prove e Responsabile del trattamento dei dati. Screenshot in cui si trovavano un indirizzo web dal quale era possibile scaricare un file. Questo file conteneva le anagrafiche di coloro che avevano partecipato alla preselezione e i punteggi delle relative prove.

La Regione riferiva avere appreso dal Responsabile che durante la fase di upload dei dati violati era stata erroneamente inviata ad una candidata una mail. In questa email chiedeva, direttamente all'affidatario, informazioni riguardo i tempi della pubblicazione dei risultati. Questa comunicazione conteneva l’url che avrebbe ospitato il portale per l'accesso ai candidati ai propri risultati e “puntante” all’applicazione web in upload.

La violazione è avvenuta a causa della casuale coincidenza dell’URL del portale con il percorso in cui i dati erano in trasmissione. Tale criticità, secondo quanto riportato dal responsabile del trattamento, sarebbe durata il tempo necessario affinché il trasferimento dati fosse completato.

I risultati dell'istruttoria del Garante per la protezione dei dati personali

La decisione del Garante ha preso le sue mosse dalla considerazione che, sebbene la disciplina protezione dati ricada sul Titolare, il Regolamento, in ogni caso, ha previsto specifici obblighi e ha disciplinato le altre forme di cooperazione cui è tenuto il responsabile del trattamento e l’ambito delle relative responsabilità. Nella fattispecie, nello svolgimento delle attività necessarie alla predisposizione dell’applicazione web per la consultazione da parte di ciascun candidato dei propri dati, la società non aveva adottato alcuna misura idonea a garantire che i dati personali di ciascun interessato fossero resi disponibili esclusivamente allo stesso interessato o a soggetti autorizzati.

In particolare, non avevano adottat una procedura di autenticazione informatica. Respinta la tesi difensiva secondo cui si poteva garantire il diritto di accesso trattandosi di un incidente di sicurezza che ha determinato diffusione online di dati personali.

Inoltre, dall’istruttoria è emersa anche l’esistenza di trattamento dati ulteriore da parte della società, con sede a Cipro. Questa forniva i servizi di hosting senza che la regione Toscana, committente, ne sapesse nulla. Pertanto, non vi era alcuna autorizzazione, né tantomeno nomina, in tal senso. La società affidataria dell’incarico si era quindi avvalsa di un servizio di terzi in violazione del GDPR. Il Garante ha così ritenuto violazione anche l'assenza di adeguate misure tecniche e organizzative volte a garantire la riservatezza dei dati.

Qui il testo completo del provvedimento

La sanzione del Garante per la protezione dei dati personali

All’esito dell’accertamento, sulla base di tutti gli elementi indicati dal GDPR per valutare l’entità della sanzione, il Garante ha sanzionato la società affidataria del servizio il pagamento di € 10.000,00. È altresì verosimile che anche il servitore dei servizi hosting possa essere sanzionato per avere trattato dati senza autorizzazione scritta. La stessa somma è stata ingiunta anche alla regione Toscana quale Titolare del Trattamento per la avvenuta messa online dei dati dei partecipanti al concorso.

Per approfondire > GDPR e Marketing: il committente delle campagne risponde anche per le società terze