Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Diffusione sul sito web di un'Azienda sanitaria di dati personali idonei a rivelare lo stato di salute - 24 settembre 2015

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
4281191
Data:
24/09/15
Argomenti:
Dati sensibili , Aziende sanitarie , Stato di salute , Disabilità , Pubblicazioni online
Tipologia:
Prescrizioni e divieto del Garante

VEDI ANCHE: comunicato stampa del 25 settembre 2015

[doc. web n. 4281191]

Diffusione sul sito web di un'Azienda sanitaria di dati personali idonei a rivelare lo stato di salute - 24 settembre 2015

Registro dei provvedimenti
n. 489 del 24 settembre 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici, componente, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTE le indicazioni fornite dal Garante con il Provvedimento n. 243 del 15 maggio 2014 Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati (in www.garanteprivacy.it, doc. web n. 3134436);

RILEVATO che da un accertamento effettuato dall'Ufficio è emerso che sul sito web www.sanita.puglia.it, facente capo alla Regione Puglia - Assessorato alle Politiche per la Salute e denominato Portale Regionale della Salute risultano pubblicate on line graduatorie ed elenchi riferite a selezioni pubbliche riservate a soggetti disabili;

RILEVATO che il menzionato Portale Regionale fornisce informazioni sull'assistenza sanitaria in Puglia, consentendo la fruizione di specifici servizi online per mezzo della sezione "Servizi per il cittadino" ed ospita, tra gli altri, i siti istituzionali di strutture sanitarie (quali Aziende ospedaliere, Ospedali, Dipartimenti, Distretti Socio Sanitari, Poliambulatori e Consultori) e tra questi il sito web istituzionale della Azienda sanitaria locale di Taranto;

RILEVATO che le verifiche effettuate hanno messo in luce che all'interno della sezione del Portale denominata "Aziende Sanitarie-Asl-Asl Taranto" risultano pubblicati documenti denominati: "Graduatoria elenco disabili" (riportante nome, cognome, punteggio attribuito e, in alcuni casi, la data di nascita degli interessati), "Elenco non ammessi prova attitudinale" (recante i nominativi degli soggetti partecipanti alla selezione inseriti in una tabella titolata "Elenco invalidi che non hanno superato la prova attitudinale"), nonché  "Graduatoria elenco categorie protette" (riportante i nominativi delle categorie protette ai sensi dell'art. 18, comma 2, Legge 12 marzo 1999, n. 68, "Norme per il diritto al lavoro dei disabili" ossia "orfani e coniugi superstiti di coloro che siano deceduti per causa di lavoro, di guerra o di servizio, ovvero in conseguenza dell'aggravarsi dell'invalidità riportata per tali cause, nonché dei coniugi e dei figli di soggetti riconosciuti grandi invalidi per causa di guerra, di servizio e di lavoro e dei profughi italiani rimpatriati");

RILEVATO che, come risulta dagli accertamenti svolti, le graduatorie recano in chiaro i dati identificativi degli interessati e sono immediatamente visibili in rete tramite i più diffusi motori di ricerca generalisti;

CONSIDERATO che per dato personale si intende "qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale" (art. 4, comma 1, lett. b), del Codice);

CONSIDERATO che per diffusione dei dati personali si intende "il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione" (art. 4, comma 1, lett. m), del Codice);

CONSIDERATO che l'art. 22, comma 8, del Codice prevede che nel trattamento effettuato da soggetti pubblici i "dati idonei a rivelare lo stato di salute non possono essere diffusi" (cfr., in tal senso, anche l'art. 65, comma 5, e l'art. 68, comma 3, del Codice) e che, pertanto, è vietata la diffusione di dati da cui si possa desumere lo stato di malattia o l'esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alla condizioni di invalidità, disabilità o handicap fisici e/o psichici (cfr. i provvedimenti del Garante, disponibili sul sito dell'Autorità www.garanteprivacy.it, in particolare tra i più recenti, 25 settembre 2014, doc web 3505289; 6 marzo 2014, n. 109, doc web 3039272; 6 giugno 2013, n. 277, doc. web n. 2554965; ma si veda anche, 22 novembre 2012, doc. web n. 2194472; 29 novembre 2012, doc. web n. 2192671; 7 ottobre 2009, doc. web n. 1664456; 17 settembre 2009, doc. web n. 1658335; 25 giugno 2009, doc. web n. 1640102; 8 maggio 2008, doc. web n. 1521716; 18 gennaio 2007, doc. web n. 1382026; 27 febbraio 2002, doc. web n. 1063639);

PRESO ATTO che la pubblicazione sul menzionato sito web dei citati elenchi nelle modalità descritte ha causato un'indebita diffusione di dati personali idonei a rivelare lo stato di salute (art. 4, comma 1, lett. d), del Codice) degli interessati o di familiari degli stessi, in ragione dell'espresso riferimento alla disabilità degli interessati nominativamente individuati (partecipanti alla selezione pubblica ovvero loro congiunti); e che, in considerazione dell'indicizzabilità da parte dei motori di ricerca dei medesimi dati, è suscettibile di recare pregiudizio alla dignità e alla riservatezza delle persone;

RICHIAMATE le indicazioni fornite dal Garante con il Provvedimento n. 243  del 15 maggio 2014, Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati (cfr., in particolare, parte II, punti 1 e 3.b.);

RILEVATA, pertanto, l'illiceità del trattamento effettuato dalla Regione Puglia nonché dalla Azienda sanitaria locale di Taranto in relazione all'avvenuta diffusione di dati idonei a rivelare lo stato di salute degli interessati (art. 22, comma 8, del Codice);

CONSIDERATO che il Garante, ai sensi dell'art. 154, comma 1, lett. d), del Codice, ha il compito di "vietare anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco", nonché "di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento di dati personali";

RITENUTO necessario, in ragione dell'illiceità del trattamento effettuato, vietare alla Regione Puglia e all'Azienda sanitaria locale di Taranto, ai sensi dell'art. 154, comma 1, lett. d), del Codice, l'ulteriore diffusione in Internet dei dati personali idonei a rivelare lo stato di salute dei soggetti interessati e di eventuali dati personali eccedenti rispetto alla finalità perseguita;

CONSIDERATO, inoltre, che risulta indispensabile l'adozione di idonei accorgimenti nella pubblicazione di detti elenchi e di altri analoghi documenti eventualmente presenti sul menzionato Portale della Regione Puglia e sul sito web istituzionale dell'Azienda sanitaria di Taranto, con particolare riferimento alla necessità di rispettare il divieto di diffusione di dati idonei a rivelare lo stato di salute degli interessati;

CONSIDERATO, in merito, che il Garante, ai sensi dell'art. 154, comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d'ufficio, "le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti";

RITENUTO necessario prescrivere alla Regione Puglia e all'Azienda sanitaria locale di Taranto, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di conformare per il futuro la pubblicazione di atti e documenti in Internet alle disposizioni contenute nel Codice e nelle citate Linee guida, rispettando, in particolare, il divieto di diffusione dei dati idonei a rivelare lo stato di salute degli interessati (art. 22, comma 8, del Codice; parte II, punto 1, Linee guida, cit.);

RITENUTO di valutare, con separato provvedimento, gli estremi per contestare al titolare del trattamento la violazione amministrativa prevista dall'art. 162, comma 2-bis, del Codice come modificato dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto legge 30 dicembre 2008, n. 207;

TENUTO CONTO che, ai sensi dell'art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che ai sensi dell'art. 162, comma 2-ter, del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

nei confronti della Regione Puglia e all'Azienda sanitaria locale di Taranto, rilevata l'illiceità del trattamento dei dati effettuato nei termini indicati in premessa:

1. vieta, ai sensi dell'art. 154, comma 1, lett. d), del Codice, l'ulteriore diffusione in Internet dei dati personali idonei a rivelare lo stato di salute degli interessati contenuti negli elenchi menzionati nel presente provvedimento;

2. prescrive, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di conformare per il futuro la pubblicazione di atti e documenti in Internet alle disposizioni contenute nel Codice in materia di protezione dei dati personali e nelle citate Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, rispettando, in particolare, il divieto di diffusione dei dati idonei a rivelare lo stato di salute degli interessati (art. 22, comma 8, del Codice; parte II, punti 1 e 3.b., Linee guida);

3. chiede, ai sensi dell'art. 157 del Codice, di dare comunicazione al Garante, entro venti giorni dalla data di ricezione del presente provvedimento, delle misure adottate per conformarsi alle prescrizioni impartite con il presente provvedimento. Il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa di cui all'art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 24 settembre 2015

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia