Buongiorno Dott. Chiarelli,
ho ascoltato con interesse il suo video commento relativo al caso di violazione della privacy nel corso di una procedura concorsuale indetta dall'Az. Ospedaliera Caldarelli e che ha portato il Garante ad infliggere una sanzionesignificativa alla ditta esterna che gestiva la selezione.
Avrei alcune domande in proposito che vorrei porle e che riporto nel seguito:
1) che tipo di rimedi giurisdizionali ha, a questo punto, la ditta coinvolta, che dovrà pagare 60.000 euro?
2) poiché anche l'Amministrazione ha agito in violazione del GDPR, poiché nel contratto, o con altre modalità, non ha attribuito ufficialmente alla ditta in questione il ruolo di Responsabile del trattamento dati, che tipo di "sanzioni" sono previste? Risponde il dirigente/responsabile del procedimento, suppongo, con i consueti profili di responsabilità (dirigenziale, penale, civile, amministrativo-contabile), su iniziativa dei privati che hanno ad esempio visto violati dati sensibilissimi come quelli della salute (sono stati divulgati certificati di invalidità), ma anche su iniziativa della stessa Amministrazione nei confronti del dirigente?
3) in casi analoghi a questo, in cui è stata addirittura annullata la selezione perché l'utilizzo dei dati personali non era lecito, l'Amministrazione subisce un danno economico perché dovrà rifare la procedura di selezione, può avanzare un qualche risarcimento danni nei confronti della ditta?
4) poiché, oltre al danno economico, viene coinvolta negativamente anche l'immagine dell'Amministrazione, è possibile una qualche azione risarcitoria anche sotto questo profilo?
5) infine, e forse più importante, poiché questa ditta si è resa protagonista anche di un altro recente caso di data breach di dati personali in un concorso in Regione (sono stata direttamente coinvolta), dove verrà "tracciato" il comportamento della ditta in precedenti affidamenti pubblici, in modo che le Amministrazioni, nell'ambito dei controlli sul possesso dei requisiti dell'aggiudicatario di appalto di servizi, possano tenerne eventualmente conto? Lo strumento è il rating di impresa di Anac?
L'argomento è molto interessante e ricco di spunti, ma mi fermo qui con le domande ringraziandola in anticipo per una risposta.
Saluti,
Fiorenza Bianchini
1) che tipo di rimedi giurisdizionali ha, a questo punto, la ditta coinvolta, che dovrà pagare 60.000 euro?
[b][color=red]RICORSO AL GIUDICE ORDINARIO[/color][/b]
2) poiché anche l'Amministrazione ha agito in violazione del GDPR, poiché nel contratto, o con altre modalità, non ha attribuito ufficialmente alla ditta in questione il ruolo di Responsabile del trattamento dati, che tipo di "sanzioni" sono previste?
[b][color=red]IL GARANTE NON HA APPLICATO SANZIONI[/color][/b]
Risponde il dirigente/responsabile del procedimento, suppongo, con i consueti profili di responsabilità (dirigenziale, penale, civile, amministrativo-contabile), su iniziativa dei privati che hanno ad esempio visto violati dati sensibilissimi come quelli della salute (sono stati divulgati certificati di invalidità), ma anche su iniziativa della stessa Amministrazione nei confronti del dirigente?
[b][color=red]POTREBBERO ESSERCI RICHIESTE DI RISARCIMENTO AL DIRIGENTE (DIRETTE MA RARE) O ALL'ENTE CHE POI SI RIFA' SUL DIRIGENTE IN GIUDIZIO DI RESPONSABILITA' CONTABILE. DA NON ESCLUDERE LA RESPONSABILITA' DISCIPLINARE[/color][/b]
3) in casi analoghi a questo, in cui è stata addirittura annullata la selezione perché l'utilizzo dei dati personali non era lecito, l'Amministrazione subisce un danno economico perché dovrà rifare la procedura di selezione, può avanzare un qualche risarcimento danni nei confronti della ditta?
[b][color=red]SI', SEBBENE VI SIA UN CONCORSO DI RESPONSABILITA'[/color][/b]
4) poiché, oltre al danno economico, viene coinvolta negativamente anche l'immagine dell'Amministrazione, è possibile una qualche azione risarcitoria anche sotto questo profilo?
[b][color=red]POSSIBILE[/color][/b]
5) infine, e forse più importante, poiché questa ditta si è resa protagonista anche di un altro recente caso di data breach di dati personali in un concorso in Regione (sono stata direttamente coinvolta), dove verrà "tracciato" il comportamento della ditta in precedenti affidamenti pubblici, in modo che le Amministrazioni, nell'ambito dei controlli sul possesso dei requisiti dell'aggiudicatario di appalto di servizi, possano tenerne eventualmente conto? Lo strumento è il rating di impresa di Anac?
[color=red]NO, IL CASELLARIO ANAC.
RICORDIAMOCI PERO' CHE AL MOMENTO LA DITTA E' "INNOCENTE FINO A PROVA CONTRARIA" POTENDO DIMOSTRARE IN GIUDIZIO LA SUA ESTRANEITA'.
SE IL PROCEDIMENTO DOVESSE CONCLUDERSI A FAVORE PIENO DELLA DITTA QUESTA POTREBBE LEI AGIRE IN GIUDIZIO ANCHE VERSO IL GARANTE (IPOTESI TEORICA!)
[/color]