Garante privacy: no alla diffusione dei dati che rivelano un disagio economico

Scarica PDF Stampa
Il caso della Regione Lombardia sanzionata dal Garante privacy per 200.000 euro per aver diffuso sul sito web istituzionale i dati personali di più di centomila studenti, che avevano richiesto borse di studio.

I dati di coloro che richiedono benefici economici vanno protetti in modo particolare per non rivelare la condizione di disagio economico e sociale delle persone interessate.

È quanto ha ribadito l’Autorità privacy che, a seguito di una segnalazione, ha sanzionato la Regione Lombardia per aver diffuso sul sito web istituzionale i dati personali di più di centomila studenti, che avevano richiesto borse di studio statali o sussidi economici per l’acquisto di libri di testo, dotazioni tecnologiche e strumenti per la didattica. Tenuto conto che per accedere al contributo occorreva essere in possesso di un valore ISEE non superiore a circa 15.000 euro e l’entità dei benefici era minima (sotto ai 1000 euro) la diffusione on line aveva come effetto immediato quello di rivelare la condizione di disagio economico degli interessati.

Nello specifico, come emerso dalla verifica preliminare dell’Ufficio, dall’home page del sito istituzionale della Regione era possibile consultare e scaricare l’elenco delle domande ammesse e finanziate, quello delle domande ammesse da finanziare, l’elenco dei beneficiari di borsa di studio statale e quello delle domande non ammesse. Tali liste riportavano dati personali quali l’Id della domanda, il nominativo del richiedente, la classe dello studente, il codice e la denominazione della scuola, il numero della domanda.

>> CLICCA QUI per leggere il provvedimento del Garante

Consigliamo l’Ebook:

I rischi nel trattamento dei dati – e-Book in pdf

L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici. 

Michele Iaselli | 2021 Maggioli Editore

9.90 €  8.42 €

La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, “dato personale” è

qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del Regolamento europeo 679/2016 “gdpr”).

Al riguardo, con particolare riferimento al caso sottoposto all’attenzione del Garante privacy, si ricorda che i soggetti pubblici, come la Regione, possono diffondere dati personali solo se tale operazione è prevista “da una norma di legge o, nei casi previsti dalla legge, di regolamento” (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra cui quello di “minimizzazione”, in base al quale i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c, gdpr).

Consigliamo il volume:

Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)

Quando deve essere designato un DPO? Chi deve nominarlo? Chi può essere nominato DPO e quali requisiti sono richiesti? DPO dipendente oppure soggetto esterno? Quale atto formale di nomina occorre in ambito pubblico? Se il DPO è un dipendente pubblico quale qualifica deve avere? Qual è la posizione del DPO nell’ente/azienda? Quali sono i suoi compiti?Aggiornata al D.lgs. del 10 agosto 2018, n. 101 in materia di privacy, questa pratica Guida risponde alle domande sopra enunciate e fornisce un’analisi dei compiti e dei margini di attività della nuova figura del “Responsabile dei dati personali” (anche noto come DPO, acronimo di Data Protection Officer), in considerazione degli adempimenti che imprese e soggetti pubblici devono affrontare per effetto del Regolamento UE 2016/679.Il testo è strutturato in numerosi quesiti di taglio pratico, ai quali l’autore fornisce una soluzione sulla scorta del testo normativo, delle linee guida adottate dal Gruppo di Lavoro ex art. 29 (WP29) e delle più recenti indicazioni fornite dal Garante della Privacy.Stefano ComelliniAvvocato in Bologna, patrocinante in Cassazione, si occupa prevalentemente di Diritto Industriale, Diritto dell’In- formatica e delle Telecomunicazioni nonché della disciplina della Privacy. E’ iscritto nell’elenco dei rappresentanti presso la EUIPO (Ufficio dell’Unione Europea per la proprietà intellettuale). Relatore in convegni, è particolarmente attivo sui social network, dove svolge attività di divulgazione giuridica. Nel 2002, il sito www.comellini.it, da lui cu- rato, ha ottenuto, dalla giuria di “Italex Award 2002 – il premio per i migliori siti giuridici italiani”, il riconoscimento di migliore studio legale online.Soluzioni di Diritto è una collana che offre soluzioni operative per la pratica professionale o letture chiare di problematiche di attualità. Uno strumento di lavoro e di approfondimento spendibile quotidianamente.L’esposizione è lontana dalla banale ricostruzione manualistica degli istituti ov- vero dalla sterile enunciazione di massime giurisprudenziali.Si giunge a dare esaustive soluzioni ai quesiti che gli operatori del diritto incon- trano nella pratica attraverso l’analisi delle norme, itinerari dottrinali e giuri- sprudenziali e consigli operativi sul piano processuale.

Stefano Comellini | 2018 Maggioli Editore

19.00 €  18.05 €

La normativa in materia di trasparenza sul web

La normativa statale di settore in materia di trasparenza prevede, con riferimento agli obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati, che “Le pubbliche amministrazioni pubblicano gli atti di concessione delle sovvenzioni, contributi, sussidi ed ausili finanziari […], e comunque di vantaggi economici di qualunque genere a persone […] di importo superiore a mille euro” nel corso dell’anno solare. In ogni caso, “È esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati (art. 26, commi 2-4, del d. lgs. n. 33 del 14/3/2013).

In ordine alla diffusione online di dati personali di soggetti beneficiari di contributi economici, fin dal 2014, il Garante ha fornito specifiche indicazioni alle pubbliche amministrazioni sulle cautele da adottare, con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).

Nelle Linee guida del Garante sopra citate, è espressamente sancito, con riferimento all’obbligo di pubblicazione degli atti di concessione di benefici economici (parte prima, par. 9.e), che “lo stesso d. lgs. n. 33/2013 individua una serie di limiti all’obbligo di pubblicazione di atti di concessione di benefici economici comunque denominati. Non possono, infatti, essere pubblicati i dati identificativi delle persone fisiche destinatarie dei provvedimenti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici, nonché gli elenchi dei relativi destinatari:

a) di importo complessivo inferiore a mille euro nel corso dell’anno solare a favore del medesimo beneficiario;
[…]
c) di importo superiore a mille euro nel corso dell’anno solare a favore del medesimo beneficiario “qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati” (art. 26, comma 4, d. lgs. n. 33/2013)”.

Conclusioni

L’Autorità ha ribadito che i soggetti pubblici, nel rispettare gli obblighi di trasparenza, possono diffondere dati personali solo se tale operazione è prevista da una norma di legge o di regolamento, nei casi previsti dalla legge e sempre nel rispetto dei principi in materia di protezione dei dati come, ad esempio, il principio di minimizzazione. Indicazioni, queste, già contenute nelle Linee Guida emanate dal Garante del 2014. Anche la normativa statale di settore in materia di trasparenza esclude, in ogni caso, la pubblicazione dei dati dei destinatari dei provvedimenti, qualora da tali dati sia possibile ricavare informazioni sulla situazione di disagio degli interessati.

Riscontrato l’illecito, il Garante ha sanzionato la Regione per 200.000 euro, tenendo conto dell’alto numero di persone i cui dati sono stati diffusi e del periodo di quasi 11 mesi in cui è avvenuta l’infrazione, ritenuta comunque di natura colposa. A seguito dell’intervento dell’Autorità, la Regione ha prontamente rimosso dal sito istituzionale i dati personali oggetto di violazione.