g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Ospedaliera di Rilievo Nazionale “Antonio Cardarelli" - 25 novembre 2021 [9732406]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9732406]

Ordinanza ingiunzione nei confronti di Azienda Ospedaliera di Rilievo Nazionale “Antonio Cardarelli" - 25 novembre 2021

Registro dei provvedimenti
n. 407 del 25 novembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Premessa.

In occasione di alcune verifiche effettuate nell’ambito di un procedimento nei confronti dell’Azienda Ospedaliera di rilievo nazionale “A. Cardarelli” è stato accertato che nella sezione “Amministrazione trasparente” della stessa Azienda, sezione “Bandi di concorso”, accedendo all’URL http://..., risultavano pubblicati numerosi atti e documenti contenenti dati personali (es. graduatorie, ricorsi amministrativi, deliberazioni; cfr. relazione di servizio, in atti) relativi al concorso per titoli ed esami per la copertura di XX.

Come verificato dall’Ufficio, tali documenti – di cui era possibile effettuare il download in formato “pdf” - contenevano numerosi dati personali, anche relativi a categorie particolari e alla salute, nonché recapiti personali, codice fiscale, codice di partecipazione al concorso assegnato a ciascun candidato, numero di telefono, indirizzo di residenza, indirizzo PEC personale dei partecipati alla procedura (cfr. relazione di servizio del XX, cit.).

In particolare, tra gli atti e documenti che risultavano pubblicati, vi erano, ad esempio, la delibera n. XX dell’XX, con la quale vengono ammessi al concorso i candidati che hanno superato la prova preselettiva (all. A) nonché i partecipanti esonerati da tale prova ai sensi dell’art. 20 l. n. 104/1992 (all. B); la graduatoria di merito del concorso; le graduatorie intermedie relative alle diverse fasi della procedura, distinte per singola data e orario di svolgimento della relativa prova (esiti delle prove orali; esiti della prova pratica; esiti prova scritta); gli atti e le determine di ammissione con riserva di alcuni candidati alle diverse prove, con espressa indicazione delle relative motivazioni (es. contenzioso in atto) o atti di esonero di alcuni candidati dallo svolgimento delle prove (avviso candidati ammessi con riserva prova pratica; elenco candidati ammessi alla prova orale revisionato); gli atti relativi ai procedimenti di impugnazione della procedura concorsuale da parte di taluni candidati (es. ricorsi amministrativi; notifiche per pubblici proclami, sentenze e ordinanze del giudice amministrativo nell’ambito dei medesimi procedimenti); la delibera XX del XX, con cui si disponeva l’utilizzo della graduatoria di merito relativa al concorso per il reclutamento di nuovo personale da impiegare per fronteggiare l’emergenza epidemiologica da Covid -19 (cui era allegata la graduatoria definitiva, completa anche della colonna “annotazioni” in cui erano riportate indicazioni quali, “ammesso con riserva” “precede per età” “riserva dipendente”).

2. L’attività istruttoria.

Con nota del XX l’Ufficio, sulla base degli elementi acquisiti, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare del trattamento a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24 novembre 1981). Con la nota sopra menzionata, l’Ufficio ha contestato al titolare del trattamento la diffusione di dati personali, in violazione dei principi generali del trattamento e in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento e degli art. 2-ter, commi 1 e 3 e 2 sexies del Codice, nonché in violazione del divieto di diffusione dei dati sulla salute di cui all’art. 2-septies, comma 8, del Codice.

Con nota del XX l’Azienda ha fatto pervenire le proprie memorie difensive, allegando la documentazione necessaria a comprovare le misure adottate con riguardo ai trattamenti in corso nei confronti dei dipendenti, e precisando, tra l’altro, che:

- “l’A.O.R.N. Cardarelli nel XX con il precedente Management, ha bandito la procedura concorsuale per la copertura diXX;

- “Alla selezione hanno presentato domanda circa 14.000 candidati. L’indizione della procedura concorsuale ha suscitato un’altissima attenzione mediatica, rappresentando una grande opportunità di lavoro per tanti giovani disoccupati o lavoratori precari. Da subito, e cioè prima ancora di iniziare le selezioni, sono pervenute denunce per presunti favoritismi o rischi connessi al corretto espletamento del concorso”;

- “la linea strategica assunta dalla Direzione Generale allora in carica, è stata quella di dare ampio risalto all’esigenza di massima trasparenza di tutti i passaggi procedurali onde fugare ogni dubbio circa la correttezza delle operazioni concorsuali” anche in considerazione del fatto “che, nelle more della definizione della procedura, la maggior parte delle aziende del S.S.R. hanno deliberato l’utilizzo in convenzionamento della graduatoria del concorso”;

- “la prima misura che è stata adottata nella fase iniziale si è, quindi, concretizzata con la informatizzazione della procedura di presentazione delle candidature, attraverso l’affidamento [ad una società esterna] del servizio di “gestione domande on line e di preselezione informatica per l’ammissione […] a seguito di un “incidente di sicurezza (cd. data breach) […] sono state assunte tutta una serie di misure finalizzate a garantire la massima protezione dei dati personali […] in particolare, l’Amministrazione [...] ha aderito al progetto So.Re.Sa. S.p.A. per una gestione complessiva regionale degli adeguamenti necessari per rispondere compiutamente alle prescrizioni normative previste dal Regolamento […ed] ha aderito alla convenzione CONSIP SPC Cloud – Servizi di Identità digitale e Sicurezza Applicativa”;

- la Direzione Strategica, subentrata alla precedente, si è dimostrata “sin da subito sensibile alla materia data protection e, consapevole della sua importanza sociale ma anche strategica per l’Azienda, ha fatto proprio il principio di accountability e su di esso ha fondato il piano di implementazione e manutenzione della conformità aziendale al GDPR”;

- “[…] sotto la nuova Direzione Aziendale, il processo dinamico di conformità dell’intera struttura sanitaria pubblica alla nuova normativa in protezione dei dati personali è stato quasi interamente portato a termine”;

- “a seguito di trattativa privata condotta su MEPA, ha affidato […ad un’altra società] il servizio (permanente e non solo dedicato a singole procedure concorsuali di volta in volta affidate) di supporto, tramite piattaforma informatica/software, all’espletamento delle procedure selettive occorrente alla UOC GRU”;

- “non appena ricevuta la comunicazione di avvio del procedimento sanzionatorio, si è subito attivata per la rimozione dal portale di tutti i documenti afferenti alla procedura concorsuale in questione […] al fine di prontamente adottare tutte le misure di sicurezza e di miglioramento dei percorsi autorizzativi per la pubblicazione degli atti e delle notizie sul portale dell’Azienda”;

- “è stato quindi disposto di “rimuovere dal portale, sezione “amministrazione trasparente”, bandi concorso pagina riferita al concorso [in questione] tutti i documenti presenti [… e effettuate verifiche al fine di accertare la presenza di] altri concorsi per i quali sono state pubblicate le graduatorie provvisorie relative alle prove intermedie e provvedendo alla cancellazione quando possibile o alla rettifica degli atti, quando ancora obbligatoria la pubblicazione”;

- è stato altresì istituito “il comitato di redazione del Portale www.ospedalecardarelli.it al fine di dettare le linee guida per la pubblicazione dei contenuti e sovraintendere alla verifica degli argomenti da inserire nel portale. Il D.P.O. inoltre invita ad attuare quanto esposto nei corsi di formazione […] onde evitare gli incresciosi inconvenienti, così come evidenziato dal GDPD”;

- l’Azienda “ha, poi, invitato il R.U.P. e il Responsabile della Corruzione e Trasparenza a disporre tutte le misure correttive necessarie per attenuare gli effetti delle presunte violazioni contestate nonché ha ordinato agli stessi di predisporre un documento contenente le linee guida per indirizzare l’operato di tutti gli uffici coinvolti nell’ambito dell’U.O.C. Gestione Risorse Umane, da trasmettere preventivamente al DPO per acquisire il relativo parere”;

- “il giorno XX sono stati rimossi dal portale tutti gli atti e documenti relativi alla procedura in questione contenenti dati potenzialmente lesivi”;

- In data XX […il] Responsabile della Corruzione e Trasparenza ha trasmesso all’U.O.C. G.R.U. le “Linee guida” recanti le prime indicazioni operative “al fine di permettere all’UOC Gestione Risorse Umane di ottemperare a specifici obblighi di pubblicazione derivanti dalla normativa in materia di trasparenza”.

In data XX si è, inoltre, svolta l’audizione richiesta dall’Azienda, ai sensi dell’art. 166, comma 6, del Codice, in occasione della quale, nel confermare quanto già dichiarato in sede di memorie difensive, è stato rappresentato, tra l’altro, che:

- “le violazioni sono avvenute nell’ospedale più grande del Mezzogiorno presso il quale non venivano effettuate procedure concorsuali da oltre dieci anni”;

- “alla procedura, a fronte dei 20 posti messi a concorso, hanno partecipato circa 14.000 candidati, e fin da subito sono pervenuti all’Azienda ricorsi e segnalazioni di possibili brogli, anche prima dell’espletamento delle prove. In tale contesto la pubblicazione dei vari documenti sul sito dell’Azienda è frutto di una scelta di estrema trasparenza, sulla base di valutazioni poste in essere dalla precedente Direzione strategica, in carica al momento dell’indizione della procedura”;

- “dopo soli due giorni dalle contestazioni dell’Autorità si è provveduto alla rimozione integrale degli atti ritenuti sovrabbondanti e/o anonimizzando tutti i dati negli atti di cui si è ritenuto sussistente l’obbligo di pubblicazione”;

- è stato dato affidamento a una società esperta nell’organizzazione e svolgimento delle procedure concorsuali al fine di supportare l’amministrazione nel relativo espletamento ed è stato acquistato un nuovo software per la gestione delle procedure di concorso; è stato istituito un organismo tecnico permanente per il monitoraggio della pubblicazione degli atti sul sito web”;

- “nell’ambito della medesima procedura concorsuale è stata già irrogata, per effetto dell’incidente di sicurezza verificatosi nel corso della stessa, una sanzione nei confronti dall’Azienda […] e “tenuto conto che le nuove condotte oggetto di rilevo dall’Autorità hanno avuto origine nel medesimo contesto di tale procedura si chiede l’archiviazione del presente procedimento”;

- “l’amministrazione intende evidenziare le numerose iniziative intraprese per migliorare la compliance al Regolamento, messe in campo anche nel delicato periodo emergenziale in corso, chiedendo di tenere conto del livello di cooperazione con l’Autorità, ai fini del presente procedimento”.

3. Esito dell’attività istruttoria.

I soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, del Regolamento) se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice nel testo vigente al tempo in cui si riferiscono i fatti e le condotte oggetto di contestazione, anteriormente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Al riguardo, si evidenzia che - ai sensi della disciplina vigente al momento della condotta – l’operazione “diffusione” di dati personali (come la pubblicazione online), da parte di soggetti pubblici richiede la previsione di “una norma di legge o, nei casi previsti dalla legge, di regolamento” (art. 2-ter, commi 1-4, del Codice, poi modificato dal citato d.l. 8 ottobre 2021, n. 139).

Con riguardo alle categorie particolari di dati personali, inclusi quelli relativi alla salute - in merito ai quali è previsto un generale divieto di trattamento, ad eccezione dei casi indicati all’art. 9, par. 2 del Regolamento e, comunque un regime di maggiore garanzia rispetto alle altre tipologie di dati, in particolare, per effetto dell’art. 9, par. 4, nonché dell’art. 2-septies del Codice - , il trattamento è consentito per assolvere specifici obblighi “in materia di diritto del lavoro […] nella misura in cui sia autorizzato dal diritto […] in presenza di garanzie appropriate” (art. 9, par. 2, lett. b), del Regolamento) nonchè ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento). Il legislatore nazionale ha definito “rilevante” l’interesse pubblico per il trattamento “effettuato da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri” nelle materie indicate, seppur in modo non esaustivo, dall’art. 2-sexies del Codice, stabilendo che i relativi trattamenti “sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”.

In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, considerando 35), in ragione della particolare delicatezza di tale categoria di dati, “non possono essere diffusi” (art. 2-septies, comma 8 e art. 166, comma 2, del Codice e art. 9, parr. 1, 2, 4, del Regolamento; v. già art. 22, comma 8, del Codice previgente).

Il titolare del trattamento è inoltre tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) del Regolamento).

4. La diffusione di dati personali dei partecipanti alla procedura concorsuale

Dall’accertamento compiuto sulla base degli elementi acquisiti, nonché dalle specifiche dichiarazioni dell’Azienda, titolare del trattamento, risulta accertato che la stessa ha pubblicato, nella sezione “Amministrazione Trasparente” del proprio sito web istituzionale, atti e documenti contenenti dati personali, anche relativi a categorie particolari e alla salute dei candidati ad una specifica procedura concorsuale.

In primo luogo si fa presente che, in base a quanto previsto dalla disciplina in materia di trasparenza, di cui al d.lgs. 14 marzo 2013, n. 33, “Fermi restando gli altri obblighi di pubblicità legale, le pubbliche amministrazioni pubblicano i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l'eventuale scorrimento degli idonei non vincitori. Le pubbliche amministrazioni pubblicano e tengono costantemente aggiornati i dati di cui al comma 1” (art. 19, commi 1 e 2).

In tale quadro, come messo in evidenza di recente dal Garante (cfr. provv.ti 29 aprile 2021, n. 170, doc. web n. 9681778; 25 marzo 2021, n. 106, doc. web n. 9584421 e 11 marzo 2021, n. 89, doc. web n. 9581028), ad eccezione delle “graduatorie finali”, il d.lgs. 14 marzo 2013, n. 33 e le disposizioni in materia di trasparenza, richiamate dall’Azienda nel corso dell’istruttoria, non possono costituire idonea base giuridica per la diffusione online della maggior parte degli atti e documenti pubblicati dall’Azienda (es. determinazioni che riportino le valutazioni delle commissioni d’esame o dispongano l’esclusione o l’ammissione con riserva di taluni candidati; atti relativi ai procedimenti di impugnazione della procedura concorsuale da parte di taluni candidati etc.), in relazione ai quali, in base al quadro normativo vigente non è infatti previsto alcun obbligo di pubblicazione obbligatoria per finalità di trasparenza.

Sotto diverso profilo si ricorda inoltre che il Garante ha in diverse occasioni chiarito che “vanno distinte, considerato il profilo del diverso regime giuridico applicabile, le disposizioni che regolano gli obblighi di pubblicità dell’azione amministrativa per finalità di trasparenza [a cui si applica il regime previsto dal d. lgs. n. 33/2013 (termine di 5 anni di mantenimento del documento sul web, obbligo di indicizzazione, possibilità di riutilizzo, ecc.)] da quelle che regolano forme di pubblicità per finalità diverse» (cfr. «Introduzione»). In tale quadro, “devono ritenersi estranei all´oggetto del […] decreto legislativo [n. 33/2013] tutti gli obblighi di pubblicazione previsti da altre disposizioni per finalità diverse da quelle di trasparenza, quali gli obblighi di pubblicazione a fini di pubblicità legale, pubblicità integrativa dell´efficacia, pubblicità dichiarativa o notizia (cfr. Linee guida cit, doc. web n. 3134436), e, tra queste, anche le specifiche disposizioni normative che stabiliscono, in generale, la pubblicità degli esiti delle prove concorsuali e delle graduatorie di concorsi e procedure selettive nel pubblico impiego (sul punto Linee guida cit., spec. II, par. 3.b). Tali disposizioni (cfr. art. 7, d.P.R. 10 gennaio 1957, n. 3; nonché art. 15, d.P.R. 9 maggio 1994, n. 487, in particolare, commi 5, 6 e 6 bis e, più in generale, sulla pubblicità delle procedure di reclutamento del personale delle pubbliche amministrazioni, art. 35, comma 3, d. lgs. 30 marzo 2001, n. 165) svolgono infatti la diversa funzione di consentire agli interessati, partecipanti alle procedure concorsuali o selettive, l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa ma anche esse dispongono che siano pubblicate “nell’albo pretorio del relativo ente” le sole graduatorie definitive dei vincitori di concorso e non anche, in particolare, gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori, non ammessi o gli elenchi dei soggetti ammessi con riserva (cfr. art. 15, comma 6-bis, del d.P.R. 9/5/1994, n. 487, Regolamento recante norme sull’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi).

Più in generale, si fa presente che persino la presenza di uno specifico regime di pubblicità non può comportare alcun automatismo rispetto alla diffusione online dai dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali, quali – fra gli altri – quello di “minimizzazione”, in base al quale i dati personali – anche contenuti in atti o documenti la cui diffusione online sia prevista da una specifica base normativa – devono essere non solo “adeguati” e “pertinenti”, ma anche “limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c) del Regolamento). La disciplina di protezione dei dati prevede infatti che il titolare debba mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e debba essere “in grado di dimostrare” di averlo fatto alla luce del principio di responsabilizzazione (artt. 5, par. 2, 24 e 25, par. 2, del Regolamento).

Nello specifico contesto relativo agli obblighi di pubblicità di graduatorie concorsuali, infatti, il Garante ha precisato che, in ogni caso, “non possono formare oggetto di pubblicazione dati concernenti i recapiti degli interessati (si pensi alle utenze di telefonia fissa o mobile, l´indirizzo di residenza o di posta elettronica, il codice fiscale, l´indicatore Isee, il numero di figli disabili, i risultati di test psicoattitudinali o i titoli di studio), né quelli concernenti le condizioni di salute degli interessati ivi compresi i riferimenti a condizioni di invalidità, disabilità o handicap fisici e/o psichici” (part II, par. 3.b Linee guida cit.; cfr anche le Linee guida in materia di trattamento di dati personali, di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico, provv. del 14 giugno 2007, n.161, doc web n.1417809).

Alla luce delle considerazioni che precedono si deve concludere che la pubblicazione sul sito istituzionale, sezione “Amministrazione trasparente” dell’Azienda di tutti gli atti sopra descritti (con la sola eccezione della graduatoria “finale”, ai sensi dell’art. 19 d.lg. n. 33/2016), ha dato luogo, fino alla data della completa rimozione degli stessi (avvenuta in data XX), alla diffusione illecita di numerosi dati personali, anche relativi alla salute, dei partecipanti al concorso in questione, in violazione degli articoli 5, 6, 9 del Regolamento e degli artt. 2-ter, 2-sexies e 2-septies, comma. 8 del Codice (nel testo anteriore alle modifiche apportate dal d.l. n. 139 /2021).

5. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione e indicative della piena collaborazione del titolare del trattamento al fine di attenuare i rischi del trattamento, rispetto alla situazione presente all’atto dell’avvio dell’istruttoria, non consentono tuttavia di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano quindi insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Ai fini della determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della l. n. 689 del 24/11/1981, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati (principio del tempus regit actum). Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione che, considerata la natura permanente dell’illecito contestato, deve essere individuato all’atto di cessazione della condotta illecita, verificatasi, stando a quanto dichiarato dal titolare del trattamento, il giorno XX.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Azienda in violazione dei principi generali del trattamento nonché in violazione degli artt. 5, 6, 9 del Regolamento e degli artt. 2-ter, 2-sexies e 2-septies, comma 8 del Codice (nel testo anteriore alle modifiche apportate dal d.l. 139/2021).

La violazione delle predette disposizioni rende inoltre applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, parr. 4 e 5, del Regolamento.

Nel prendere atto che il titolare del trattamento ha, nel corso dell’istruttoria, provveduto a conformare il trattamento ai principi del Regolamento (adottando anche misure tecniche e organizzative idonee a evitare il verificarsi di analoghi trattamenti in futuro) e che, pertanto, la condotta ha esaurito i suoi effetti, si rileva che non ricorrono i presupposti per l'adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Ai fini dell’applicazione della sanzione è stato considerato che il trattamento ha avuto ad oggetto la diffusione di numerosi atti e documenti contenenti dati personali, anche relativi alla salute dei partecipanti alla procedura concorsuale, in violazione della disciplina in materia di protezione dei dati personali e che il titolare del trattamento ha operato nell’errata convinzione di poter perseguire, in tal modo, finalità di trasparenza dell’azione amministrativa, non tenendo però conto del vigente quadro normativo e delle indicazioni fornite nel tempo dal Garante a tutti i soggetti pubblici in materia (sia con le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” sopra citate, sia con numerose decisioni su singoli casi).

Di contro, è stato considerato che il titolare del trattamento ha comunque prestato la propria ampia collaborazione nel corso dell’istruttoria, provvedendo ad adottare, già a seguito dell’avvio dell’istruttoria, misure per rimuovere gli effetti della condotta e ad avviare, in pari tempo, i necessari approfondimenti per assicurare la piena conformità anche dei futuri trattamenti alle disposizioni in materia di protezione dei dati, nel rispetto del principio di responsabilizzazione.

Ai fini della commisurazione della complessiva sanzione è stato considerato altresì che l’Autorità è venuta a conoscenza dell’evento in occasione delle verifiche effettuate dall’Ufficio nell’ambito di un diverso procedimento a carico dello stesso titolare, poi definito con il provvedimento n. 160 del 17 settembre 2020 (doc web n. 9461168). Al riguardo, si ritiene che le precedenti violazioni commesse dall’Azienda - essendo conseguenti alla mancata regolamentazione dei rapporti con la società che aveva gestito talune fasi della medesima procedura concorsuale e al successivo incidente di sicurezza relativo ai dati contenuti nelle domande di partecipazione -, non possono essere considerate precedenti specifici “relativamente allo stesso oggetto” (art. 83, par. 2, lett. i) del Regolamento) rispetto alla condotta in esame, la quale pur essendo stata effettuata nel medesimo contesto, si riferisce a trattamenti per finalità eterogenee.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 50.000,00 (cinquantamila), per la violazione degli artt. 5, 6, 9 del Regolamento e degli artt. 2-ter, 2-sexies e 2-septies, comma 8, del Codice (nel testo anteriore alle modifiche apportate dal d.l. 139/2021).

Tenuto conto della natura dei dati oggetto di diffusione online e degli specifici rischi per i diritti degli interessati, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato dall’Azienda Ospedaliera di Rilievo Nazionale “Antonio Cardarelli per la violazione artt. 5, 6, 9 del Regolamento e degli artt. 2-ter, 2-sexies e 2-septies, comma 8, del Codice (nel testo anteriore alle modifiche apportate dal d.l. 139/2021).

ORDINA

all’Azienda Ospedaliera di Rilievo Nazionale “Antonio Cardarelli", in persona del legale rappresentante pro-tempore, con sede legale in Napoli- cap 80131, Via A. Cardarelli, n. 9, C.F. 06853240635, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento, di pagare la somma di euro 50.000,00 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

all’Azienda Ospedaliera di Rilievo Nazionale “Antonio Cardarelli", di pagare la somma di euro 50.000,00 (cinquantamila) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 novembre 2021

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei