Garante per la protezione dei dati personali
Indice:
- Il fatto
- Le violazioni della disciplina in materia di Privacy
- La decisione del Garante
- Le sanzioni irrogate dal Garante
1. Il fatto
All’interno del provvedimento del Garante oggetto di commento, l’autorità di controllo ha contestato, a seguito di un reclamo di un cittadino, la violazione della normativa in materia di protezione dei dati personali da parte del Comune di Montalbano Jonico.
I fatti, come riportati nel provvedimento, riguardano la diffusione di dati e informazioni personali resi noti attraverso il sito web dell’ente. In particolare, attraverso l’area «Documenti e dati»/«Albo pretorio»/«storico» del sito web istituzionale, era possibile accedere e scaricare una Determinazione di liquidazione di un contributo economico a favore di un cittadino – che aveva a carico il padre disabile – per la eliminazione delle barriere architettoniche della propria abitazione, la quale riportava esplicitamente informazioni personali quali ad esempio il nominativo del beneficiario del contributo economico e del padre, con relativa indicazione della sua disabilità, luogo e data di nascita, informazioni relative alla liquidazione dell’importo di cui al contributo nonché della tipologia dei lavori effettuati e dell’impresa che li aveva eseguiti.
A fronte di tale reclamo, l’Ufficio del Garante ha avviato un’attività istruttoria per valutare se fosse stata attuata un’illecita diffusione dei dati personali nonché di quelli relativi alla salute dei soggetti coinvolti.
Da tale attività, è emerso che il Comune di Montalbano Jonico aveva effettivamente posto in essere trattamento dei dati personali non conforme alla disciplina dettata in materia.
A fronte dei dati emersi da tale verifica, il Garante ha proceduto quindi ad invitare l’Ente pubblico a presentare memorie difensive relative alla violazione accertata.
Il Comune di Montalbano Jonico ha, innanzitutto, dichiarato di aver precedentemente provveduto alla rimozione dei nominativi e delle loro informazioni e, inoltre, di aver già informato l’interessato della violazione del loro tempestivo intervento. Infine, l’ente ha confermato che la violazione era stata realizzata a causa di un mero errore degli uffici adibiti a tali attività.
2. Le violazioni della disciplina in materia di Privacy
Secondo il Garante privacy nel testo della Determinazione di liquidazione oggetto di esame è possibile evincere dati strettamente personali degli interessati, pertanto la accessibilità generalizzata a tale documento determina una diffusione di dati e informazioni personali, relative anche alla salute, del reclamante, e del padre a lui affidato poiché affetto da disabilità.
Preliminarmente, il Garante ricorda ciò che la disciplina in materia di protezione dei dati personali detta con riguardo alle modalità di gestione di informazioni dei privati cittadini da parte di un ente pubblico.
In particolare, rileva in primo luogo l’art. 2-ter, commi 1 e 3, del codice privacy che, richiamando il disposto dell’art. 6, par. 3, lett. b) del GDPR, prevede che i soggetti pubblici, come il Comune, possono diffondere dati personali solo se tale operazione è prevista da norma di legge o Regolamento, a condizione che siano comunque rispettati i principi dettati in materia di trattamento e diffusione dei dati personali, principalmente in base al principio di minimizzazione, il quale impone che il trattamento sia limitato ai soli dati ritenuti indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono stati raccolti e trattati (art. 5, par. 1, lett. c) GDPR).
In secondo luogo, nel caso di specie, che – come già precedentemente evidenziato – riguarda la diffusione di dati del soggetto reclamante e del padre a suo carico relative, anche, alla sua situazione di disabilità poiché portatore di handicap, rileva sia l’art. 2-septies, comma 8 del Codice Privacy, sia l’art. 9, parr. 1,2,4 del GDPR, i quali vietano la diffusione di dati relativi alla salute. Quest’ultimi, specifica l’art. 4, par. 11 del GDPR, devono essere intesi come tutti i «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute».
A tal proposito, già nel 2014, il Garante aveva specificato all’interno del provvedimento 243/2014 che dato idoneo a rivelare lo stato di salute non è solo l’indicazione della patologia, bensì qualsiasi informazione da cui si possa desumere, anche solo indirettamente, lo stato della malattia o l’esistenza di patologie dei soggetti interessati, compreso il riferimento alla condizione di invalidità, disabilità o handicap fisici e/o psichici.
Ebbene, secondo il Garante, nel caso in esame, tali informazioni erano state pubblicate nell’albo pretorio dell’Ente pubblico e mantenute dopo il tempo previsto per la loro pubblicazione. A tal proposito, il Garante ha specificato che, trascorso il periodo temporale utile alla pubblicazione, gli enti pubblici non posso continuare a diffondere i dati personali contenuti negli atti o documenti ivi pubblicati: decorsi 15 giorni dalla prima pubblicazione, se i dati non vengono rimossi l’ente incorre nella violazione dell’art. 2-ter commi 1 e 3 del Codice, poiché cessa di esistere la base giuridica idonea a consentire un trattamento ed una diffusioni conformi alla disciplina dettata in materia. Infatti, è prevista la possibilità per gli enti di prolungare l’accessibilità di detti atti o documenti all’interno del sito web solamente se i dati e le informazioni personali, che essi contengono, vengono oscurati.
3. La decisione del Garante
Il Garante ha ritenuto, inoltre, che le giustificazioni difensive fornite dal Comune di Montalbano Jonico – secondo cui si era trattato di un mero errore materiali degli addetti e che lo stesso Ente aveva già provveduto ad adottare provvedimenti idonei a far cessare tale violazione – non sono idonee a consentire l’archiviazione del caso.
All’esito dell’attività istruttoria, quindi, l’Ufficio ha concluso che il comportamento del Comune comportasse un trattamento illecito per una serie di ragioni chiaramente indicate:
- innanzitutto, l’Ente ha diffuso dati idonei a far conoscere la situazione di disabilità del padre del reclamante, incorrendo nella violazione dell’art. 2-septies comma 8 del Codice Privacy e dell’art. 9, parr. 1, 2, 4 del GDPR;
- la diffusione dei dati personali non ha rispettato il principio di minimizzazione dettato in materia e previsto dal GDPR, in quanto il trattamento dei dati non è stato limitato a quanto necessario rispetto alle finalità per cui sono stati raccolti;
- infine, essendo scaduto il termine di 15 giorni durante il quale la diffusione sarebbe stata lecita, in tutto il periodo successivo a questo, durante il quale il documento continuava ad essere accessibile attraverso il sito web, l’operazione è avvenuta in assenza di idonei presupposti normativi che avrebbero consentito, se presenti, una diffusione lecita.
4. Le sanzioni irrogate dal Garante
In conclusione, il Garante ha quantificato le sanzioni da irrogare all’Ente pubblico.
In primo luogo, il Garante ha tenuto in considerazione il fatto che l’Ente aveva tempestivamente provveduto a cessare la condotta illecita, avvertendo prontamente il soggetto interessato; in secondo luogo, ha tenuto in considerazione che nei confronti del Comune Montalbano Jonico non risultano precedenti violazioni; in terzo luogo, è stato ritenuto che la condotta del Comune è stata di natura colposa e avente ad oggetto la diffusione dei dati di solo due soggetti, comunque protrattasi per due anni.
In considerazione di tutto quanto sopra, il Garante ha irrogato una sanzione di euro 5.000 (ex art. 58, par. 2 e art. 83 GDPR), oltre alla sanzione accessoria di pubblicazione sul sito internet del Garante.
Il trattamento dei dati comporta molteplici rischi e sapere come affrontarli è molto importante. L’ebook “I rischi nel trattamento dei dati” analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.
I rischi nel trattamento dei dati – e-Book in pdf
L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2021 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento