Il Garante per la Protezione dei Dati Personali ha emesso il provvedimento n. 44 del 10 febbraio 2022, che ha sanzionato una società operante come responsabile esterno della Regione Toscana con una sanzione amministrativa pecuniaria di 10.000€ a causa di una violazione della privacy. Questa violazione ha riguardato la pubblicazione accidentale dei dati personali, inclusi i punteggi di ogni candidato, di 3.548 partecipanti ad un concorso pubblico per esami per l’assunzione a tempo indeterminato.
La Regione Toscana si è avvalsa di una società nominata quale responsabile esterno del trattamento ex art. 28 del GDPR, ma dopo un’attività istruttoria, è emerso che la società non ha adottato misure tecniche e organizzative adeguate per garantire la protezione dei dati personali dei candidati. Ciò ha permesso a tutti i candidati di accedere ai dati personali e ai punteggi degli altri candidati per un breve lasso di tempo, violando l’art. 32 del GDPR. Inoltre, la società ha violato anche l’art. 28 par. 2 del GDPR perché ha utilizzato un servizio di hosting senza nominare un subresponsabile e senza l’autorizzazione del Titolare del trattamento.
L’episodio evidenzia l’importanza della compliance privacy e nomina di responsabile esterno non solo per i titolari del trattamento, ma anche per coloro che trattano dati personali per conto di altri, sia nel settore pubblico che privato. In particolare, se una società viene nominata quale responsabile esterno del trattamento, deve adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio e ottenere l’autorizzazione del Titolare del trattamento per l’utilizzo di servizi di hosting o per l’affidamento a subresponsabili.
Risulta quindi fondamentale la nomina di un responsabile esterno della privacy competente e attento alle normative sulla stessa, in modo da evitare sanzioni amministrative pecuniarie e proteggere i dati personali degli interessati. Se si vuole approfondire la tematica su privacy e nomina responsabile esterno, puoi affidarti alla nostra Consulenza Privacy per GDPR, dove metteremo a disposizione le linee guida e le informazioni dettagliate sulle normative e le procedure da seguire.