Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Pubblicazione di graduatorie di un concorso idonee a rivelare lo stato di salute dei partecipanti sul sito web di un Comune - 6 marzo 2014 [3039272]

[doc. web n. 3039272]

Pubblicazione di graduatorie di un concorso idonee a rivelare lo stato di salute dei partecipanti sul sito web di un Comune - 6 marzo 2014

Registro dei provvedimenti
n. 109 del 6 marzo 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la segnalazione presentata l'8 gennaio 2014 da XY con la quale è stata lamentata la pubblicazione di dati personali relativi alla condizione di invalidità della segnalante sul sito istituzionale di Roma Capitale agevolmente raggiungibili mediante i comuni motori di ricerca;

RILEVATO, da accertamenti preliminari effettuati dall'Ufficio, che sul sito web http://www.comune.roma.it, facente capo a Roma Capitale, risulta pubblicata in data 10 giugno 2013 la graduatoria finale relativa alla "Procedura selettiva pubblica, per titoli ed esami, per il conferimento di n. 60 posti nel profilo professionale di istruttore urp- redattore pagine web - categoria c (posizione economica c1) - Famiglia Comunicazione, riservata ai soggetti disabili di cui alla legge n. 68/1999", alla pagina http://www.comune.roma.it/..., recante tra i 291 nominativi oggetto di diffusione anche quello della segnalante (unitamente alla data di nascita degli interessati e ad ulteriori informazioni concernenti titoli di preferenza);

RILEVATO altresì che sul medesimo sito istituzionale, all'indirizzo https://www.comune.roma.it/..., risulta pubblicata il 16 gennaio 2013 la "valutazione titoli" riferiti ai partecipanti alla medesima procedura selettiva (contenente 542 nominativi, e tra questi quello segnalante) con la relativa data di nascita e il punteggio a ciascuno attribuito nonché (per i medesimi soggetti) il 14 dicembre 2012 la "valutazione elaborati prova scritta" all'indirizzo http://www.comune.roma.it/...;

VISTO che dal medesimo accertamento preliminare è stato altresì verificato che il nominativo della segnalante nonché quello dei restanti interessati (pure menzionati negli elenchi sopra riportati) sono immediatamente visibili in rete tramite l'inserimento delle rispettive generalità nei più diffusi motori di ricerca generalisti;

CONSIDERATO che per dato personale si intende "qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale" (art. 4, comma 1, lett. b), del Codice);

CONSIDERATO che per diffusione dei dati personali si intende "il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione" (art. 4, comma 1, lett. m), del Codice);

PRESO ATTO che la pubblicazione delle menzionate graduatorie – recanti in chiaro i dati identificativi degli interessati nell'ambito di una procedura selettiva pubblica "riservata ai soggetti disabili di cui alla legge n. 68/1999" –, agevolata dalla immediata reperibilità nel web dei nominativi riguardanti i destinatari mediante i più diffusi motori di ricerca, ha causato una diffusione di dati sensibili in quanto idonei a rivelare lo stato di salute degli interessati (art. 4, comma 1, lett. d), del Codice), in ragione dell'espresso riferimento allo status di disabile degli interessati nonché dell'espresso richiamo (nel medesimo contesto) alla legge n. 68/1999, concernente le "Norme per il diritto al lavoro dei disabili";

CONSIDERATO che l'art. 22, comma 8, del Codice prevede che nel trattamento effettuato da soggetti pubblici i "dati idonei a rivelare lo stato di salute non possono essere diffusi" (cfr., in tal senso, anche l'art. 65, comma 5, e l'art. 68, comma 3, del Codice) e che, pertanto, è vietata la diffusione di dati da cui si possa desumere lo stato di malattia o l'esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alla condizioni di invalidità, disabilità o handicap fisici e/o psichici (cfr. da ultimo, tra le decisioni del Garante, il Provv. 6 giugno 2013, n. 277, in www.garanteprivacy.it doc. web n. 2554965);

RICHIAMATE le indicazioni fornite dal Garante con il Provvedimento del 2 marzo 2011, n. 88, recante le "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web" (pubblicato in G.U. n. 64 del 19 marzo 2011, e doc. web n. 1793203) in cui è stato precisato che:

a. in relazione "alle sole operazioni di comunicazione e di diffusione, le pubbliche amministrazioni, nel mettere a disposizione sui propri siti istituzionali dati personali, contenuti anche in atti e documenti amministrativi (in forma integrale, per estratto, ivi compresi gli allegati), devono preventivamente verificare che una norma di legge o di regolamento preveda tale possibilità (artt. 4, comma 1, lett. l) e m), 19, comma 3, 20 e 21, del Codice), fermo restando comunque il generale divieto di diffusione dei dati idonei a rivelare lo stato di salute dei singoli interessati (artt. 22, comma 8, 65, comma 5, 68, comma 3, del Codice)" (par. 2.1.);

b. il regime di conoscibilità di elenchi e graduatorie quando effettuato nell'ambito delle attività previste dalla disciplina sul collocamento mirato dei soggetti disabili "può essere assicurato anche attraverso la loro messa a disposizione on line, purché vengano prescelte modalità che ne impediscano la libera consultabilità in Internet, tenuto conto che gli elenchi e le graduatorie del collocamento obbligatorio contengono informazioni idonee a rivelare lo stato di salute delle persone iscritte" (punto 6.C.1, ove applicabile);

CONSIDERATO che il titolare del trattamento, al fine di assolvere agli obblighi di pubblicità aventi ad oggetto le menzionate graduatorie ben avrebbe potuto limitarsi a rendere pubblico sul sito web istituzionale di Roma Capitale gli avvisi sintetici – rinvenibili all'indirizzo http://www.comune.roma.it/... – concernenti l'avvenuta approvazione delle graduatorie con l'indicazione delle modalità di accesso alle medesime per i soggetti interessati, senza diffondere, quindi, i dati sensibili riferiti ai partecipanti alle procedure selettive;

CONSIDERATO, inoltre, con riferimento alla graduatoria finale pubblicata il 10 giugno 2013, quanto previsto dall'art. 23, comma 1, lett. c), d.lg. 14 marzo 2013, n. 33, che, in relazione alle prove selettive per l'assunzione di personale, prevede la pubblicazione, in forma di "scheda sintetica", dei soli elementi di sintesi relativi all'intero procedimento indicati dal comma 2 della medesima disposizione;

RILEVATA, pertanto, l'illiceità del trattamento effettuato da Roma Capitale in relazione all'avvenuta diffusione di dati idonei a rivelare lo stato di salute degli interessati in violazione dell'art. 22, comma 8, del Codice;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, ha il compito di "vietare anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco", nonché "di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento di dati personali";

RITENUTO necessario, in ragione dell'illiceità del trattamento effettuato, vietare a Roma Capitale, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l'ulteriore diffusione in Internet dei dati personali idonei a rivelare lo stato di salute dei soggetti interessati contenuti nei menzionati elenchi;

CONSIDERATO, inoltre, che risulta indispensabile l'adozione da parte del titolare del trattamento di idonei accorgimenti nella pubblicazione di dette graduatorie, con particolare riferimento alla necessità di rispettare il divieto di diffusione di dati idonei a rivelare lo stato di salute dell'interessato;

CONSIDERATO, in merito, che il Garante, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d'ufficio, "le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti";

RITENUTO necessario prescrivere a Roma Capitale, ai sensi dei citati artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, di conformare per il futuro la pubblicazione di atti e documenti in Internet alle disposizioni contenute nel Codice in materia di protezione dei dati personali e nelle citate "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web", rispettando, in particolare, il divieto di diffusione dei dati idonei a rivelare lo stato di salute degli interessati (art. 22, comma 8, del Codice; par. 2.1 e par. 6.C.1., ove applicabile, delle Linee guida);

RITENUTO di valutare, con separato provvedimento, gli estremi per contestare al titolare del trattamento la violazione amministrativa prevista dall'art. 162, comma 2-bis, del Codice come modificato dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto legge del 30 dicembre 2008 n. 207;

TENUTO CONTO che, ai sensi dell'art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che ai sensi dell'art. 162, comma 2-ter, del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

nei confronti di Roma Capitale, rilevata l'illiceità del trattamento dei dati effettuato nei termini indicati in premessa:

1.  vieta, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l'ulteriore diffusione in Internet dei dati personali idonei a rivelare lo stato di salute dei soggetti interessati contenuti nelle graduatorie menzionate nel presente provvedimento;

2. prescrive, ai sensi dei citati artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, di conformare per il futuro la pubblicazione di atti e documenti in Internet alle disposizioni contenute nel Codice in materia di protezione dei dati personali e nelle citate "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web", rispettando, in particolare, il divieto di diffusione dei dati idonei a rivelare lo stato di salute degli interessati (art. 22, comma 8, del Codice; par. 2.1 e par. 6.C.1, ove applicabile, delle Linee guida).

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 6 marzo 2014

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia