Il Garante per la Privacy, con provvedimento del 17 settembre 2020, ha comminato una multa di 80 mila euro all’Azienda ospedaliera Cardarelli di Napoli per aver trattato illecitamente i dati di oltre 2000 aspiranti infermieri nonché un’ulteriore sanzione di 60 mila euro alla società che gestiva la piattaforma per la raccolta online delle domande dei partecipanti.

L’attività di indagine, nata a seguito di numerose segnalazioni, era finalizzata alla verifica dell’accessibilità online dei dati, in alcuni casi anche relativi alla salute candidati alla selezione di infermieri professionisti.

Il Garante, ha ritenuto illeciti i trattamenti dei dati personali svolti dall’Azienda ospedaliera e dalla Società poiché effettuati in violazione delle norme del Regolamento Europeo, evidenziando gravi inadempimenti della disciplina del GDPR.

La prima anomalia riscontrata atteneva ad un’errata gestione delle domande ed infatti sul portale non solo erano visibili i codici assegnati ai candidati consentendo così l’identificazione degli stessi. Inoltre era possibile modificare i dati personali inseriti dai concorrenti utilizzando i codici di assegnazione.

Entrambi i soggetti coinvolti non avevano adottato adeguate misure tecniche e organizzative per garantire la sicurezza e l’integrità dei dati.

A ciò si aggiunga che l’Azienda ospedaliera non aveva fornito ai partecipanti una idonea informativa, né tanto meno aveva regolamentato il rapporto con la Società che gestiva la piattaforma tramite idoneo contratto che disciplinasse le modalità di trattamento dei dati effettuato per suo conto.

Il Garante è infine intervenuto vietando ogni ulteriore trattamento dei dati ad eccezione di quanto necessario per la difesa dei diritti in sede giudiziaria, atteso che anche dopo la cessazione della fornitura, l’Azienda conservava i dati dei partecipanti sulla piattaforma.

Si rimane in attesa delle iniziative prese a tutela della privacy.