Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Diffusione in Internet di dati personali idonei a rivelare lo stato di salute di un docente - 25 settembre 2014 [3505289]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
3505289
Data:
25/09/14
Argomenti:
Dati sanitari su Internet , Trasparenza amministrativa
Tipologia:
Prescrizioni e divieto del Garante

Vedi anche newsletter del 3 novembre 2014

 

[doc. web n. 3505289]

Diffusione in Internet di dati personali idonei a rivelare lo stato di salute di un docente - 25 settembre 2014

Registro dei provvedimenti
n. 426 del 25 settembre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici, componente, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTE le indicazioni fornite dal Garante con il Provvedimento n. 243 del 15 maggio 2014 Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati (in www.garanteprivacy.it, doc. web n. 3134436);

VISTA la segnalazione presentata il 20 luglio 2014 da XY con la quale è stata lamentata la pubblicazione di dati personali relativi alla condizione di disabilità della segnalante, in qualità di docente, oltre ad altre informazioni, non tutte ritenute pertinenti, sul sito web dell'Ufficio scolastico regionale per l'Emilia-Romagna, Ufficio IX (ambito territoriale provinciale Bologna) agevolmente raggiungibili mediante i comuni motori di ricerca;

RILEVATO che da un accertamento preliminare effettuato dall'Ufficio in data 8 agosto 2014 è emerso che sul sito web www.bo.istruzioneer.it/..., facente capo al menzionato Ufficio scolastico, risultavano pubblicati on line le graduatorie all'interno della sezione denominata "Documenti e comunicazioni pubbliche";

RILEVATO che le verifiche effettuate hanno messo in luce che all'interno di tale sezione del sito, oltre alle graduatorie della scuola primaria relative agli anni scolastici 2005-2007, risultavano altresì pubblicati gli allegati alle stesse tra i quali, appunto, gli elenchi dei "riservisti, gruppo 2: disabili art. 1, l. n. 68/99", che riguardano decine di docenti, tra cui la segnalante; tale elenco è inoltre corredato da una legenda che dà conto dell'eventuale fruizione da parte del personale dei benefici derivanti dall'art. 21, legge 5 febbraio 1992, n. 104 (con riguardo alla precedenza nell'assegnazione della sede per le persone con gravi invalidità) e dall'art. 61, legge n. 20 maggio 1982, n. 270 (che disciplina modalità di assegnazione della sede e titoli di preferenza per gli insegnanti non vedenti);

RILEVATO che le graduatorie recano in chiaro, oltre ai dati identificativi degli interessati, anche informazioni eccedenti e non pertinenti rispetto alla finalità della pubblicazione (art. 11, comma 1, lett. d) del Codice) – relativi al codice fiscale e al numero di figli a carico;

RILEVATO che a seguito di richiesta di informazioni indirizzata al menzionato Ufficio scolastico regionale e al Ministero dell'Istruzione dell'Università e della Ricerca solo quest'ultimo, con nota della Direzione Generale del Personale della Scuola, ha fatto pervenire un riscontro con il quale peraltro invitava l'Ufficio territoriale ad attenersi alle istruzioni già fornite con la circolare del 22 gennaio 2013, prot. n. 510 (cfr. nota 4 settembre 20124, in atti);

RILEVATO che con successivo accertamento del 16 settembre 2014 è stato possibile verificare quanto dichiarato dalla segnalante circa l'attualità della pubblicazione on line (cfr. successive comunicazioni del 4  e 10 settembre 2014, in atti, con cui si dava conto del fatto che le informazioni "non sono state rimosse") e l'immediata visibilità in rete tramite l'inserimento delle generalità nei più diffusi motori di ricerca generalisti;

RILEVATO che con successivo accesso al sito avvenuto in data odierna è stato ulteriormente verificato che nell'ambito della sezione "Documenti e comunicazioni pubbliche", risulta ancora pubblicata una delle graduatorie oggetto di segnalazione (come anticipato dalla segnalante con nota del 16 settembre 2014, in atti);

CONSIDERATO che per dato personale si intende "qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale" (art. 4, comma 1, lett. b), del Codice);

CONSIDERATO che per diffusione dei dati personali si intende "il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione" (art. 4, comma 1, lett. m), del Codice);

PRESO ATTO quindi che la descritta pubblicazione ha causato una diffusione di dati sensibili in quanto idonei a rivelare lo stato di salute degli interessati (art. 4, comma 1, lett. d), del Codice), in ragione dell'espresso riferimento alla disabilità degli interessati nonché dell'espresso richiamo (nel medesimo contesto) alla legge n. 68/1999, normativa concernente le "Norme per il diritto al lavoro dei disabili" e alla legge n. 104/1992 "Legge quadro per l'assistenza, l'integrazione sociale e i diritti delle persone handicappate";

CONSIDERATO che l'art. 22, comma 8, del Codice prevede che nel trattamento effettuato da soggetti pubblici i "dati idonei a rivelare lo stato di salute non possono essere diffusi" (cfr., in tal senso, anche l'art. 65, comma 5, e l'art. 68, comma 3, del Codice) e che, pertanto, è vietata la diffusione di dati da cui si possa desumere lo stato di malattia o l'esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alla condizioni di invalidità, disabilità o handicap fisici e/o psichici (cfr. i provvedimenti del Garante, disponibili sul sito dell'Autorità www.garanteprivacy.it, in particolare tra i più recenti, 6 marzo 2014, n. 109, doc web 3039272; 6 giugno 2013, n. 277, doc. web n. 2554965; ma si veda anche, 22 novembre 2012, doc. web n. 2194472; 29 novembre 2012, doc. web n. 2192671; 7 ottobre 2009, doc. web n. 1664456; 17 settembre 2009, doc. web n. 1658335; 25 giugno 2009, doc. web n. 1640102; 8 maggio 2008, doc. web n. 1521716; 18 gennaio 2007, doc. web n. 1382026; 27 febbraio 2002, doc. web n. 1063639);

PRESO ATTO che l'elenco ancora pubblicato sul sito web contiene anche informazioni eccedenti rispetto alla finalità della pubblicazione (art. 11, comma 1, lett. d) del Codice) –codice fiscale e numero dei figli a carico degli interessati –condotta che ha causato un'indebita diffusione di dati personali e, in ragione dell'indicizzabilità da parte dei motori di ricerca, è suscettibile di recare pregiudizio alla riservatezza individuale e di incrementare il rischio di abusi e furti di identità;

RICHIAMATE le indicazioni fornite dal Garante con il Provvedimento n. 243  del 15 maggio 2014, Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati (cfr., in particolare, parte II punti 1 e 3.b.);

RILEVATO che anche il Ministero dell'Istruzione, dapprima con la circolare del 7 marzo 2008 (prot. 45/dip./segr.) con riguardo al divieto di pubblicare dati sensibili nelle graduatorie di circolo e di istituto, ha chiarito che "non è consentita la pubblicazione, accanto ai dati strettamente necessari all'individuazione del candidato (nome, cognome, punteggio, e posizione in graduatoria) di ulteriori dati, come, ad esempio, il domicilio o il recapito telefonico poiché la conoscenza da parte di terzi dei dati in parola non è strettamente necessaria per raggiungere le finalità istituzionali sottese alla pubblicazione della graduatoria, né esistono nell'ordinamento specifiche norme che consentano la pubblicazione di dati comuni diversi da quelli necessari", ribadendo poi tale orientamento nella citata circolare del 22 gennaio 2013 (prot. n. AOODGPER510 – Uff. III);

RILEVATA, pertanto, l'illiceità del trattamento effettuato dal Ministero dell'Istruzione dell'Università e della Ricerca – Ufficio scolastico regionale per l'Emilia Romagna in relazione all'avvenuta diffusione di dati idonei a rivelare lo stato di salute degli interessati (art. 22, comma 8, del Codice) nonché di dati personali eccedenti rispetto alla finalità perseguita (art. 11, comma 1, lett. d), del Codice);

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, ha il compito di "vietare anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco", nonché "di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento di dati personali";

RITENUTO necessario, in ragione dell'illiceità del trattamento effettuato, vietare al Ministero dell'Istruzione dell'Università e della Ricerca - Ufficio Scolastico Regionale per l'Emilia Romagna, ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, l'ulteriore diffusione in Internet dei dati personali idonei a rivelare lo stato di salute dei soggetti interessati e dei dati personali eccedenti rispetto alla finalità perseguita;

CONSIDERATO, inoltre, che risulta indispensabile l'adozione da parte del titolare del trattamento di idonei accorgimenti nella pubblicazione di detto elenco e di altri eventuali analoghi documenti, con particolare riferimento alla necessità di rispettare il divieto di diffusione di dati idonei a rivelare lo stato di salute degli interessati;

CONSIDERATO, in merito, che il Garante, ai sensi degli artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d'ufficio, "le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti";

RITENUTO necessario prescrivere al Ministero dell'Istruzione dell'Università e della Ricerca - Ufficio Scolastico Regionale per l'Emilia Romagna, ai sensi dei citati artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice, di conformare per il futuro la pubblicazione di atti e documenti in Internet alle disposizioni contenute nel Codice e nelle citate Linee guida, rispettando, in particolare, il divieto di diffusione dei dati idonei a rivelare lo stato di salute degli interessati (art. 22, comma 8, del Codice; parte II, punto 1, Linee guida, cit.), implementando misure volte a rendere effettiva l'osservanza delle indicazioni già fornite con le menzionate circolari;

RITENUTO di valutare, con separato provvedimento, gli estremi per contestare al titolare del trattamento la violazione amministrativa prevista dall'art. 162, comma 2-bis, del Codice come modificato dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto legge 30 dicembre 2008, n. 207;

TENUTO CONTO che, ai sensi dell'art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che ai sensi dell'art. 162, comma 2-ter, del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE

nei confronti del Ministero dell'Istruzione dell'Università e della Ricerca - Ufficio Scolastico Regionale per l'Emilia Romagna, rilevata l'illiceità del trattamento dei dati effettuato nei termini indicati in premessa:

1. vieta, ai sensi dei citati artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, l'ulteriore diffusione in Internet dei dati personali idonei a rivelare lo stato di salute della segnalante e degli altri soggetti interessati oltreché degli altri dati eccedenti contenuti nell'elenco menzionato nel presente provvedimento;

2. prescrive, ai sensi dei citati artt. 143, comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice, di conformare per il futuro la pubblicazione di atti e documenti in Internet alle disposizioni contenute nel Codice in materia di protezione dei dati personali e nelle citate Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, rispettando, in particolare, il divieto di diffusione dei dati idonei a rivelare lo stato di salute degli interessati (art. 22, comma 8, del Codice; parte II, punti 1 e 3.b., Linee guida), implementando ogni utile misura volta a rendere effettiva l'osservanza delle indicazioni già fornite dall'Amministrazione scolastica con le menzionate circolari e dando comunicazione al Garante, entro quaranta giorni dalla ricezione del presente provvedimento, delle iniziative intraprese.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 25 settembre 2014

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia