La pubblicazione sulla sezione amministrazione trasparente del sito web di un ente non a scopo di lucro di un certificato medico costituisce violazione della privacy
>>>Provvedimento n. 346 del 20 ottobre 2022<<<
1. I fatti
Un’avvocatessa lamentava al Garante per la protezione dei dati personali che ila Fondazione Teatro Regio di Torino, ente lirico non a scopo di lucro, aveva pubblicato sul proprio sito web, nella sezione amministrazione trasparente, tre determine del commissario straordinario che contenevano dati personali della stessa avvocatessa. In particolare, le prime due determine riguardavano la sostituzione della reclamante dagli incarichi che aveva presso la Fondazione in considerazione del suo stato di malattia e riportavano in allegato l’attestato di malattia telematico della reclamante. Invece, l’altra determina riguardava il trasferimento dei poteri e delle funzioni della reclamante in considerazione della sospensione cautelare adottata nei suoi confronti dalla Fondazione medesima.
Il Garante apriva quindi il procedimento sanzionatorio nei confronti della Fondazione, invitando detto ultimo Ente a fornire le proprie difese in merito agli addebiti mossi dalla reclamante.
La Fondazione, in primo luogo, sosteneva di essere un soggetto pubblico e pertanto obbligata a pubblicare sul proprio sito internet tutte le determine (cioè gli atti interni) che possano avere un riflesso all’esterno. Pertanto, nel caso di specie, poiché la determina riguardava la sostituzione di un responsabile cui erano stati affidati incarichi all’interno della Fondazione, quest’ultima aveva voluto essere il più trasparente possibile nello spiegare le ragioni che avevano portato alla sostituzione e il dipendente che si era occupato della pubblicazione della determina aveva, per errore materiale, omesso di esaminare la documentazione ricevuta, pubblicandola nella sua interezza e con gli allegati (che invece non andavano pubblicati).
In secondo luogo, la Fondazione rilevava di essere immediatamente intervenuta per oscurare i dati della reclamante, non appena aveva ricevuto la comunicazione del Garante e pertanto i dati non erano più visibili da diverso tempo.
Infine, la Fondazione faceva presente che in precedenza nessun altro dipendente aveva mai lamentato di aver subito delle violazioni dei propri dati personali.
Potrebbe interessarti anche:
2. Le valutazioni del Garante
Il Garante ha preliminarmente ricordato che la normativa in materia di privacy prevede che i soggetti pubblici, qualora siano datori di lavoro, possono trattare i dati personali dei propri dipendenti quando ciò è necessario per gestire il rapporto di lavoro o per adempiere a obblighi o compiti previsti dalla normativa di settore, ma che comunque i dati debbono essere trattati con appropriate garanzie e sempre in modo lecito, corretto e trasparente nei confronti dell’interessato, oltre che in maniera adeguata e limitata rispetto alle finalità per cui tali dati sono trattati. Anche quando si tratta di dati relativi alla salute, qualora il loro trattamento sia necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalle norme nazionali di settore, il trattamento è ammesso, ma il datore di lavoro è tenuto a rispettare i principi generali in materia di privacy. Tuttavia, in Garante precisa che, per quanto riguarda i dati relativi alla salute di una persona e che rivelino informazioni relative al suo stato di salute, in generale, tali dati non possono essere diffusi.
Nel caso oggetto di esame, il Garante per la protezione dei dati personali ha ritenuto che la Fondazione del Teatro Regio di Torino, anche se – in quanto ente pubblico – è soggetta alla normativa in materia di trasparenza delle amministrazioni pubbliche, ha violato le disposizioni del codice privacy nella misura in cui ha pubblicato sul proprio sito web dati relativi allo stato di salute della reclamante nonché in quanto tali dati non erano indispensabili rispetto alla finalità del trattamento medesimo.
Infatti, la pubblicazione dei dati relativi alla malattia della reclamante ha comportato una violazione del divieto di diffusione dei dati relativi alla salute dell’interessata nonché la violazione del principio di minimizzazione dei dati, in quanto tali informazioni e quelle idonee a rivelare l’adozione di una procedura disciplinare nei confronti dell’interessata non erano necessari per la finalità di trasparenza per cui era stata effettuata la pubblicazione medesima.
3. La decisione del Garante
In considerazione di quanto sopra, il Garante ha ritenuto che il trattamento dei dati personali posto in essere dalla Fondazione nel caso di specie fosse, quindi, illecito, in quanto non conforme ai principi di liceità, corrette e trasparenza nonché di minimizzazione dei dati e che e difese della Fondazione medesima, per quanto meritevoli di considerazione ai fini della valutazione della condotta, non sono sufficienti a consentire l’archiviazione del procedimento sanzionatorio instaurato nei confronti dell’Ente medesimo.
Pertanto, il Garante per la protezione dei dati personali ha ritenuto di applicare una sanzione amministrativa pecuniaria nei confronti della Fondazione, anche se non ha ritenuto più sussistenti i presupposti per adottare ulteriori misure correttive (in quanto la Fondazione aveva spontaneamente provveduto ad oscurare i dati della reclamante che erano stati pubblicati sul proprio sito web istituzionale).
Per quanto concerne la quantificazione della sanzione amministrativa pecuniaria, il Garante ha tenuto in considerazione diversi aspetti: da un lato, ha valutato la natura colposa della violazione (dovuta ad una errata valutazione di un dipendente dell’ Ente circa la tipologia di dati da pubblicare nell’ adempimento agli obblighi di trasparenza gravanti sulla Fondazione); dall’altro lato, ha valutato la mancanza di precedenti specifici in tema di violazione ella normativa a tutela dei dati personali a carico della Fondazione, il fatto che quest’ ultima si sia spontaneamente e immediatamente attivata per porre rimedio alla violazione non appena ricevuta la comunicazione di avvio del procedimento del Garante nei suoi confronti ed infine il fatto che la Fondazione ha collaborato con il Garante durante l’ istruttoria del procedimento stesso. Conseguentemente, il Garante ha comminato al titolare del trattamento una sanzione amministrativa pecuniaria, di €. 5.000 (cinquemila).
Volume consigliato
Come applicare il GDPR e il codice privacy
Grazie al D.Lgs. n. 101/2018 è avvenuto l’adeguamento del nostro Codice privacy (D.Lgs. n. 196/2003) alle numerose modifiche introdotte dal Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation. Con il decreto di adeguamento – entrato in vigore dal 19 settembre 2018 – il quadro può pertanto ritenersi completo e tutti gli enti, i professionisti e le società dovranno operare nel rispetto del GDPR e della disciplina contenuta nel Codice privacy, così come appena modificato. Ma quali incombenze e adempimenti ne deriveranno, in concreto? L’obiettivo di questo breve manuale è appunto quello di analizzare la nuova legislazione, indicando, anche attraverso esempi pratici e schede di sintesi, i profili di maggior rilievo che professionisti e imprese devono considerare per adeguarsi alla normativa ed evitare di incorrere in gravose sanzioni.Roberta Rapicavoli Avvocato, Master di primo livello in “Diritto delle tecnologie informatiche” organizzato dall’Osservatorio CSIG di Messina, esercita l’attività professionale nel settore della privacy, del diritto informatico e del diritto applicato a internet e alle nuove tecnologie. In tali settori del diritto presta assistenza e consulenza a imprese e professionisti. Si dedica ad attività divulgativa e formativa, pubblicando articoli e approfondimenti in materia di privacy e di diritto informatico su riviste di settore e siti web e partecipando, quale relatrice e docente, a eventi e corsi, organizzati in tutto il territorio nazionale, su tematiche attinenti alla protezione dei dati personali e sulle questioni di maggior interesse riguardanti il rapporto tra diritto e mondo del web e delle nuove tecnologie.
Roberta Rapicavoli | Maggioli Editore 2018
Scrivi un commento
Accedi per poter inserire un commento