Il Garante sottolinea il confine tra trasparenza e violazione della privacy

Scarica PDF Stampa
11La pubblicazione sul sito internet della ASL di dati personali relativi agli accessi civici viola la privacy e non è giustificata dalla trasparenza.

>>>Leggi Ordinanza ingiunzione n.199 del 26 maggio 2022<<<

     Indice

  1. I fatti 
  2. La decisione del Garante

1. I fatti

Il Garante per la protezione dei dati personali aveva avviato una istruttoria nei confronti di una Azienda sanitaria locale (ASL), avendo avuto notizia di una possibile violazione della normativa in materia di privacy a causa di una pubblicazione di dati personali sul sito web dell’azienda.

In particolare, all’esito della verifica compiuta dal Garante, era emerso che nella sezione amministrazione trasparente di detta ASL era possibile accedere ad una pagina web dove erano consultabili due files contenenti il registro provvisorio delle richieste di accesso agli atti da parte di oltre mille richiedenti, nei quali erano contenuti alcuni dati quali l’oggetto, il mittente e il destinatario della richiesta. Nel campo oggetto e mittente, detti documenti, contenevano dati personali degli interessati, quali il nominativo del soggetto o del suo rappresentante legale, ed in molti casi erano contenuti anche dei dati relativi alla salute degli interessati: infatti, considerando che le richieste di accesso agli atti riguardavano ovviamente (trattandosi di una ASL) documentazione sanitaria, nel campo “oggetto” vi erano spesso delle descrizioni dettagliate di quanto richiesto come per esempio il riferimento alle visite per accertare stati di invalidità oppure ad analisi tossicologiche oppure a visite psichiatriche ecc.

Ritenendo che la condotta sopra descritto potesse configurare una violazione della normativa privacy, il Garante ha dato avvio al procedimento sanzionatorio nei confronti dell’ASL, invitando quest’ultima a presentare le proprie memorie.

La struttura sanitaria si è difesa sostenendo la non volontarietà della condotta e affermando che i file in questione erano stati caricati sul sito internet per mero errore materiale, in quanto si trattava dei file provvisori e non di quelli definitivi. Secondo l’ASL, infatti, i file provvisori avrebbero dovuto essere lavorati ed epurati di tutti i dati personali, per poi creare un file definitivo da caricare sul sito internet. A conferma del fatto che si trattassi di un errore materiale, l’ASL adduceva il fatto che per tutti gli altri registri degli accessi civici, relativi ad altri anni, non si era verificata la problematica di cui sopra, in quanto i file erano stati caricati on line solo dopo la loro lavorazione.

Inoltre, la struttura sanitaria sosteneva che dopo aver ricevuto la comunicazione da parte del Garante aveva provveduto immediatamente a porre in essere numerose azioni per analizzare la problematica e per porvi rimedio; infine, segnalava di non aver ricevuto nessuna lamentela o segnalazione da parte degli interessati, anche perché i dati non erano di immediata consultazione ai visitatori del sito, poiché per potervi accedere i naviganti avrebbero dovuto compiere un inter informatico molto lungo.


Potrebbero interessarti anche: 


2. La decisione del Garante

Preliminarmente il Garante ha ricordato la nozione di “dato personale”, inteso come qualsiasi informazione che riguarda una persona fisica identificata o identificabile (“interessato”), nonché la stessa nozione di “identificabile”, secondo cui si considera tale la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. In secondo luogo, il Garante ha ricordato che i “dati relativi alla salute”, sono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Ebbene, i soggetti pubblici, come l’ASL, possono in generale diffondere dati personali secondo quanto previsto dal Codice privacy e in generale nel rispetto del principio di minimizzazione, mentre è vietato diffondere i dati relativi alla salute, in quanto rientranti nelle categorie di dati personali.

Il Garante ha, quindi, precisato che, con il termine diffusione si intende la possibilità di dare conoscenza dei dati a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

All’esito dell’istruttoria è emerso che il trattamento dati effettuato dall’ASL, come sopra descritto, non era conforme alla disciplina in materia di privacy, per il fatto che la pubblicazione delle informazioni come sopra individuate all’interno dei campi “oggetto” e “mittente” del registro delle richieste di accesso agli atti pubblicate sul sito internet istituzionale nella sezione “trasparenza”, sostanzia una diffusione dei dati personali, anche relativi alla salute. Tale trattamento, in particolare, è stato posto in essere in violazione del divieto di diffusione dei dati sulla salute degli interessati, del principio di minimizzazione dei dati (in quanto i dati pubblicati non erano limitati a quanto necessario in base alle finalità per cui erano stati trattati, cioè la trasparenza dell’amministrazione) e delle indicazioni contenute nelle linee guida ANAC e nella circolare ministeriale in tema di trasparenza (secondo cui le pubbliche amministrazioni possono pubblicare anche dati che non sono obbligate a pubblicare, ma devono farlo nel rispetto della normativa privacy).

In considerazione di quanto sopra, il Garante ha ritenuto di applicare un’ordinanza ingiunzione nei confronti dell’azienda sanitaria locale, con cui è stata comminata una sanzione pecuniaria amministrativa, mentre è stato ritenuto di non dover disporre ulteriori misure correttive in quanto la struttura sanitaria aveva già provveduto a rimediare alla propria condotta illecita.

Nella quantificazione della sanzione pecuniaria da adottare, il Garante, da un lato, ha tenuto conto del fatto che la violazione è stata colposa (cioè dovuta ad un mero errore materiale) ed ha riguardato dati personali (anche relativi alla salute), per circa 3 anni, riferiti a più di mille soggetti. Dall’altro lato, però, il Garante ha anche valutato che non sono state ricevute segnalazioni o lamentele per la suddetta condotta e che è possibile che i dati non siano stati visti da numerose persone, in considerazione dei plurimi passaggi informatici che l’internauta avrebbe dovuto compiere per poter accedere ai dati. In considerazione di tutto quanto sopra, il Garante ha ritenuto congruo determinare l’ammontare della sanzione pecuniaria nei confronti della azienda sanitaria locale nella misura di €. 46.000.

Volume consigliato

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.

Stefano Comellini | 2020 Maggioli Editore

12.90 €  10.97 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento