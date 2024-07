Il Comune risponde dell’illecita diffusione dei dati personali di un residente compiuta dalla società che gestisce il servizio di raccolta di rifiuti.



1. I fatti

Due persone residenti presso un Comune in provincia di Viterbo presentavano un reclamo al Garante per la protezione dei dati personali in cui sostenevano di aver ricevuto una comunicazione da parte del Comune con cui predetto ente pubblico notificava loro la comunicazione di avvenuta violazione dei dati personali conseguentemente formulavano una richiesta di intervento al garante nei confronti del predetto comune e della società che gestiva il servizio della raccolta di rifiuti nel paese.

In particolare, i reclamanti sostenevano che il Comune gli aveva riferito di essere venuto a conoscenza dalla predetta società della possibilità di una illegittima diffusione su whatsapp e su facebook di una foto di un documento interno con cui il Comune aveva informato la predetta società quali fossero le abitazioni in cui risiedevano soggetti per i quali doveva essere attivata una particolare forma di raccolta dei rifiuti legata all’emergenza epidemiologica da covid 19.

Il Garante, quindi, invitava il Comune e poi la società che gestisce il servizio di raccolta rifiuti a fornire informazioni ai fatti oggetto del reclamo.

Il comune affermava che la Asl di Viterbo aveva riferito della positività al covid di alcuni cittadini del paese e che in considerazione di ciò erano state attivate le procedure previste in questi casi, le quali stabilivano l’invio di due comunicazioni di servizio interno, rispettivamente, al comandante della polizia locale (affinché attivasse il servizio di vigilanza domiciliare dei soggetti affetti dal virus) e alla società direttrice del servizio di raccolta rifiuti (affinché attivasse servizi speciali di raccolta presso le abitazioni dove risiedevano i soggetti affetti dal virus). In particolare, nella comunicazione inviata alla società era presente un elenco con cognome nome indicati con le sole iniziali nonché indirizzo di residenza e data di inizio e fine dell’isolamento dei soggetti che erano stati indicati dall’Asl come affetti dal virus.

Successivamente il commissario prefettizio del comune veniva contattato dall’Asl di Viterbo, la quale riferiva di aver appreso che su whatsapp e su Facebook era apparsa una foto del predetto documento interno inviato dal Comune alla società.

Infine, il Comune precisava che aveva depositato una denuncia-querela dei fatti accaduti e si era attivata per accertare le modalità con cui si era verificato l’evento nonché le eventuali responsabilità.

La società, invece, rappresentava che la condizione di liceità del trattamento erano rinvenibili nello svolgimento di un’attività di pubblico servizio, come quello di raccolta dei rifiuti, e che il rapporto giuridico intercorrente tra il Comune e la società era costituito da un contratto di servizio con cui la società era stata incaricata di effettuare il servizio di raccolta rifiuti.

2. Società che gestisce raccolta di rifiuti diffonde dati personali di un residente: la valutazione del Garante

Preliminarmente il Garante ha evidenziato come il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di privacy e soprattutto delle disposizioni previste dal regolamento europeo ed al codice italiano.

Ai sensi delle sopra richiamate normative, qualsiasi informazione che riguarda una persona fisica identificata o identificabile è ritenuto dato personale: la persona fisica viene considerata identificabile allorquando può essere identificata, anche indirettamente, attraverso un identificativo come il nome, un numero di identificazione o dati relativi all’ubicazione. L’interno della categoria dei dati personali, poi, vi sono le categorie particolari di dati, cioè quelle informazioni che rivelano l’origine razziale ed etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale nonché dati relativi alla salute o alla vita sessuale della persona.

Sempre ai sensi delle sopra richiamate disposizioni normative, deve essere intesa come diffusione di dati personali qualsiasi operazione attraverso cui viene data conoscenza dei dati a dei soggetti indeterminati, in qualunque forma essa avvenga (anche mediante la loro messa a disposizione o consultazione). Allorquando i dati vengono trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio dei pubblici poteri, come per il servizio di raccolta rifiuti nel caso di specie, la diffusione e ammessa solo quando sia prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento. Anche in tali casi, tuttavia, il trattamento deve essere effettuato nel rispetto dei principi di illiceità, correttezza e trasparenza nonché di integrità e riservatezza dei dati personali, in base ai quali i dati devono essere trattati in modo da garantire un’adeguata sicurezza dei medesimi, compresa la protezione attraverso l’uso di misure tecniche e organizzative adeguate, in modo da evitare trattamenti non autorizzati o illeciti nonché la perdita, la distruzione o il danno accidentale dei dati.

Nel caso di specie, la società che svolgeva il servizio di raccolta rifiuti ha diffuso dei dati relativi alla salute di alcuni interessati (attraverso l’invio su whatsapp e la pubblicazione su Facebook di una fotografia in cui era rappresentata una comunicazione interna ricevuta dal Comune contenente le iniziali e l’indirizzo di residenza di nove persone affette da Covid), senza tuttavia che vi fosse una base giuridica idonea a legittimare il trattamento.

Tale diffusione è dipesa anche da un’assenza di misure tecniche e organizzative adeguate (quali, ad esempio, circolari e linee guida) idonee a garantire un’adeguata sicurezza dei dati personali anche in termini di attenzione, da parte del personale interno alla società, ai rischi derivanti da trattamenti non autorizzati o illeciti.