è illecita la pubblicazione nell’albo pretorio da parte di un Comune di dati relativi alla salute di una persona

è illecita la pubblicazione nell’albo pretorio da parte di un Comune di dati relativi alla salute di una persona

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

 

Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 3 del 15 gennaio 2020

Fatto

Nel 2018 il Garante per la protezione dei dati personali aveva ricevuto una segnalazione da parte di una persona che lamentava la illecita pubblicazione, da parte del Comune di Francavilla Fontana, sull’ albo pretorio del Comune medesimo, di dati personali che lo riguardavano.

Nel novembre dello stesso anno, così, il Garante effettuava una verifica preliminare, consultando il sito web dell’ente pubblico e riscontrando che nella sezione dedicata all’ albo pretorio era consultabile e scaricabile una Determinazione dirigenziali relativa al soggetto che aveva presentato il reclamo al Garante.

In particolare, all’ interno di detto documento, il Comune provvedeva alla liquidazione delle spese legali relative ad un giudizio in cui era stato condannato lo stesso Comune a favore del reclamante e nella motivazione della determina venivano riportati anche dati personali del reclamante nonché informazioni relative al grado di infermità per cause di servizio di quest’ ultimo e il relativo suo diritto a percepire un equo indennizzo. Inoltre, sempre all’ interno della motivazione della Determina dirigenziale, venivano indicate le coordinate IBAN dell’ avvocato che era stato incaricato dal Comune per l’ assistenza e la difesa nel suddetto giudizio.

A fronte dei risultati emersi dalla suddetta verifica preliminare effettuata dal Garante, quest’ ultimo invitava il Comune a fornire chiarimenti all’ Autorità di controllo.

In sostanza, l’ Ente pubblico si giustificava sostenendo che:

  • la pubblicazione nel sito web dedicato all’ albo pretorio della Determina dirigenziale era avvenuta per mero refuso ed errore materiale del personale incaricato, il quale ultimo non aveva rispetto le disposizioni operative che erano state impartite dal dirigente comunale;
  • il Comune aveva provveduto a rimuovere dal sito web il documento in questione, che non era quindi più visibile nel sito web né rintracciabile con i motori di ricerca utilizzabili sul web;
  • il Comune stava effettuando un percorso per adeguare il proprio sistema di gestione e archiviazione dei documenti alla disciplina introdotta dal GDPR e stava effettuando eventi di formazione sul tema per i propri dipendenti;
  • il Comune aveva disabilitato l’ opzione del proprio software di gestione dei documenti che permetteva di poter visionare nell’ albo pretorio i documenti anche oltre i 15 giorni, facendo così in modo che tutti i documenti – dopo tale periodo temporale di 15 giorni – vengano archiviati e possano essere consultati soltanto dal personale interno all’ Ente pubblico.

Il Garante, preso atto delle giustificazioni di cui sopra, le riteneva non soddisfacenti e soprattutto non idonee per poter portare alla archiviazione del procedimento sanzionatorio avviato e così proseguiva nel medesimo.

Volume consigliato

I Ricorsi al garante della privacy

I Ricorsi al garante della privacy

IASELLI MICHELE, 2019, Maggioli Editore

Il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce del regolamento n.1/2019, emanato dal Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo...



La decisione del Garante

Il Garante, ritenendo appunto non soddisfacenti le giustificazioni date dal Comune nella fase preliminare e non avendo ricevuto ulteriori scritti difensivi da parte dell’ Ente pubblico durante il procedimento, ha ritenuto illecito il comportamento del Comune in violazione della normativa in materia di protezione dei dati personali e conseguentemente ha irrogato nei sui confronti la sanzione pecuniaria dell’ importo di Euro 10.000.

Preliminarmente, il Garante ha individuato le disposizioni normative che si applicano nel caso di specie:

  • l’ articolo 4 del GPDR relativo alla definizione di dati personali, che vengono descritti come quelle informazioni relative a una persona fisica che sia identificata o identificabile; in particolare, si definisce identificabile un soggetto che può essere direttamente o indirettamente identificato attraverso gli elementi identificativi quali il nome, il numero di identificazione, la sua ubicazione, un identificativo online oppure uno o più elementi che caratterizzano la sua identità fisica, fisiologica, psichica, genetica, culturale o economica;
  • l’ articolo 5 del GDPR relativo alle modalità di trattamento dei dati personali, che deve avvenire nel rispetto – fra gli altri – del principio di minimizzazione, cioè in modo tale che i dati siano adeguati, pertinenti e limitati rispetto alla finalità che si persegue con il trattamento stesso;
  • infine, gli articoli del codice della privacy italiano relativi ai dati sulla salute dell’ interessato, i quali vietano la diffusione di dati personali attinenti alla salute fisica o mentale di una persona fisica (ivi compresa la prestazione di servizi di assistenza sanitaria da cui poter ricavare lo stato di salute dell’ interessato).

Ebbene, il Garante ha quindi ritenuto che il Comune abbia effettuato un trattamento non conforme ai suddetti principi in materia di protezione dei dati personali, in considerazione del fatto che ha pubblicato, sul sito web relativo all’ albo pretorio, una Determina dirigenziale nella quale erano visibili i dati sulla salute del reclamante (una persona fisica), ivi compresi i riferimenti alla tipologia di infermità per cause di servizio dell’ interessato, nonché le coordinate IBAN dell’ avvocato che aveva assistito il Comune nel giudizio contro l’ interessato.

In particolare, secondo l’Autorità di controllo, tali condotte violano il suesposto divieto di diffusione di dati relativi alla salute di una persona fisica (per quanto attiene alla pubblicazione delle informazioni sulla infermità dell’ interessato) e il principio di minimizzazione dei dati (per quanto riguarda la pubblicazione delle coordinate bancarie dell’ avvocato).

In considerazione di tali violazioni, il Garante ha ritenuto di applicare una sanzione amministrativa pecuniaria a carico dell’ Ente pubblico, come previsto dal GDPR.

Tale sanzione, secondo quanto previsto dal citato Regolamento europeo, deve essere quantificata, caso per caso, tenendo in considerazione una serie di elementi che sono indicati dalla stessa norma. In particolare, nel caso di specie, il Garante ha valutato i seguenti aspetti della vicenda per quantificare la sanzione:

  • che i dati diffusi erano relativi alla salute dell’interessato, avendo pubblicato le informazioni sulla sua patologia, nonché all’ aspetto economico di un altro interessato, avendo pubblicato il suo IBAN;
  • che il periodo di tempo di pubblicazione di tali dati è stato di oltre due mesi;
  • che la violazione dei suddetti principi in materia di protezione dei dati personali da parte del Comune è stata colposa (e non dolosa), in quanto l’Ente ha riferito che la pubblicazione dei dati era avvenuta per errore;
  • che il Comune ha collaborato con il Garante per porre rimedio alla violazione commessa, cancellando i dati immediatamente dopo aver ricevuto la richiesta di chiarimenti da parte del Garante;
  • che il Comune ha adottato misure tecniche e organizzative per evitare che la violazione si possa ripetere;
  • che non vi erano precedenti violazioni da parte del Comune.

In considerazione di tutti tali aspetti, il Garante ha quindi ritenuto di applicare a carico del Comune la sanzione pecuniaria dell’importo di diecimila euro.

Volume consigliato

I Ricorsi al garante della privacy

I Ricorsi al garante della privacy

IASELLI MICHELE, 2019, Maggioli Editore

Il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce del regolamento n.1/2019, emanato dal Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!