Nel provvedimento oggetto di commento il Garante ha sanzionato un Comune per la pubblicazione da parte di quest’ultimo dei dati relativi alla positività al Covid-19 di un suo cittadino. In particolare, all’Autorità era giunta una segnalazione con la quale veniva contestata la violazione delle disposizioni in materia di dati personali in quanto erano stati diffusi, sulla pagina facebook e sul sito web istituzionale del Comune di Buccino, informazioni personali di persone o sottoposte a tampone o risultate positive al Covid-19 o poste in quarantena. Infatti, nella pagina web del Comune erano stati pubblicati ed erano direttamente accessibili a chiunque degli avvisi che riportavano, ad esempio, la positività di un cittadino al test Covid-19.
Alla luce di questa segnalazione, il Garante aveva avviato un’attività istruttoria al fine di accertare la presunta violazione, accertando, poi, che il Comune aveva effettivamente attuato una procedura di trattamento dei dati personali non conforme alle disposizioni dettate in materia.
>> CLICCA QUI per leggere il Provvedimento n. 372 del 14 ottobre 2021 del Garante per la protezione dei dati personali
L’attività del Garante
In considerazione di tali fatti, il Garante, nel suddetto provvedimento, ha preliminarmente ricordato che l’art. 2-ter del codice privacy prevede che i soggetti pubblici, quale il Comune, possono mettere a conoscenza di soggetti indeterminati informazioni personali di altri cittadini solo nel caso in cui tale operazione sia espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento.
Inoltre, il Garante ha ricordato che ogni attività di trattamento e diffusione di dati personali deve essere attuata in conformità a quanto previsto dall’art. 5 del GDPR, che detta i principi applicabili al trattamento medesimo: cioè il principio di liceità, correttezza, trasparenza, minimizzazione dei dati e adeguata conservazione degli stessi. Infine, tutele particolari sono previste in caso di trattamento di categorie particolari di dati personali, quali, ad esempio i dati attinenti alla situazione di salute mentale o fisica di una personale, comprensiva della prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 2-septies, comma 8 del Codice privacy; art. 9, parr. 1, 2, 4 GDPR).
All’esito dell’attività istruttoria avviata dal Garante, è stata accertata la violazione in materia di trattamento dei dati personali da parte del Comune di Buccino che, su invito dell’Autorità, aveva fatto pervenire alla stessa i propri scritti difensivi.
L’Ente, per giustificare la condotta contestatagli, aveva affermato che tale fatto doveva essere necessariamente contestualizzato, in quanto avvenuto in uno straordinario momento di emergenza epidemiologica, precisando che i casi di positività o presunta positività riportati negli avvisi erano collegati ai primi momenti straordinari di gestione della pandemia.
Una volta ricevuta la segnalazione, l’Ente aveva confermato di essersi tempestivamente attivato per risolvere le conseguenze derivate dalla condotta, considerando, tuttavia, che i destinatari del servizio web territoriale risultano essere di numero ridotto. Infine, confermava di aver tempestivamente eliminato gli avvisi sia dalla pagina web del Comune stesso sia dalla pagina facebook. Tuttavia, il Garante ha comunque valutato di non ritenere sufficienti tali giustificazioni al fine di archiviare il caso è dunque ha accertato che la condotta posta in essere dal Comune non era conforme alle disposizioni previste in materia di trattamento dei dati personali e, quindi, vi era stata una violazione della stessa.
In particolare, nel provvedimento oggetto di commento il Garante ha evidenziato come, secondo quanto previsto dall’art. 6, par. 1, lett. c) ed e) del GDPR,
“Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: (…)
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.
In virtù di tale disposizione, quindi, il trattamento dei dati personali si può fondare, oltre che sul consenso dell’interessato, su una base legittima prevista per legge dal presente regolamento o dal diritto dell’Unione o degli Stati membri.
Nel caso il cui il trattamento è effettuato da pubbliche autorità, poiché necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, è la norma giuridica a costituire il legittimo fondamento.
Inoltre, il Garante ricorda che l’art. 2-sexies del Codice privacy precisa che la finalità di interesse pubblico deve essere stabilita dal diritto dell’Unione o, nei casi previsti dalla legge, da un regolamento, che specifichino la tipologia di dati che vengono trattati, le operazioni eseguibili e, infine, le misure necessarie alla tutela dei diritti degli interessati al trattamento.
Infine, in riferimento alla condotta del Comune di Buccino, il Garante ha altresì ritenuto violate anche le disposizioni previste in materia di privacy con specifico riguardo alla particolare categoria di dati personali idonei a rivelare informazioni sullo stato di salute mentale e fisica del soggetto interessato. Infatti, la disciplina in materia (art. 2-septies, comma 8, del Codice; cfr. anche artt. 4, par. 1, n. 15; 9, parr. 1, 2, 4, del RGPD) vieta la diffusione, compresa la diffusione online come nel caso di specie, di questa particolare categoria di dati, in considerazione, anche, della particolare sensibilità di informazioni che trattano.
La decisione del Garante
Conclusa l’istruttoria e tenuto conto delle considerazioni di cui sopra, il Garante ha ritenuto che non vi fossero elementi sufficienti per consentire l’archiviazione del caso e quindi ha accertato e confermato le violazioni contestate al Comune
Infatti, nel caso di specie, il Garante ha ritenuto che, anzitutto, non vi sono norme di legge che consentano la pubblicazione di dati personali per un interesse pubblico da parte, in questo caso, del Comune di Buccino. Inoltre, la diffusione di categorie particolari di dati personali come sono, nel caso di specie, i dati dei soggetti risultati positivi al test COvid-19 (in quanto rivelano informazioni sullo stato di salute del soggetto interessato), viola chiaramente le disposizioni ex art. 2-septies, comma 8 del Codice Privacy e dell’art. 9 GDPR.
In considerazione di tutto quanto sopra, il Garante ha accertato l’illiceità del trattamento effettuato dal Comune di Buccino e, ritenendo tuttavia di non dover irrogare una sanzione amministrativa pecuniaria per questo caso, ha sanzionato il Comune, ai sensi dell’art. 58, par. 2, lett. b) del GDPR, con un semplice ammonimento.
Consigliamo l’Ebook:
I rischi nel trattamento dei dati – e-Book in pdf
L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2021 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento