Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Diffusione dei dati personali degli utenti registrati sul portale di una ASL - 17 dicembre 2015 [4630534]

VEDI ANCHE NEWSLETTER DEL 4 FEBBRAIO 2016

 

[doc. web n. 4630534]

Diffusione dei dati personali degli utenti registrati sul portale di una ASL - 17 dicembre 2015

Registro dei provvedimenti
n. 665 del 17 dicembre 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), di seguito "Codice";

VISTO il Codice dell'amministrazione digitale (d.lgs. 7 marzo 2005, n. 82);

VISTA la e-mail del 22 novembre 2015 con cui il sig. XY ha segnalato che, attraverso il sito web della ASL Napoli 2 Nord, sono consultabili i dati personali dei soggetti che si sono registrati sul portale dell'Azienda per usufruire dei servizi on-line;

VISTI gli accertamenti preliminari avviati dall'Ufficio;

RILEVATO che, dalle prime risultanze acquisite mediante verifica sul sito web della ASL Napoli 2 Nord, all'indirizzo www.aslnapoli2nordservizionline.it/convalida-account è possibile effettuare una ricerca per campi, all'esito della quale sono consultabili da chiunque i dati anagrafici degli utenti che si sono registrati sul portale dell'Azienda per usufruire dei servizi on-line ("Prenotazione e pagamento ticket", "Revoca e scelta MMG e/o PLS", "Disdetta Prenotazione" "Ricerca Prestazioni Sanitarie");

RILEVATO, in particolare, che la menzionata pagina web è accessibile attraverso il collegamento alla homepage (www.aslnapoli2nordservizionline.it/home) del sito istituzionale dell'ASL Napoli 2 Nord;

RILEVATO, in particolare, che nella suddetta pagina relativa alla "Convalida Account" è presente una schermata "AccountLinking" nella quale figurano i seguenti campi di ricerca avanzata: "Cognome", "Nome", "Codice fiscale", "E-mail", "Stato account", "Pre registrazione da giorni", "Con email confermato", "Email confermato da giorni", "Email non confermato da giorni";

CONSIDERATO che chiunque, previa compilazione di almeno uno dei menzionati campi –anche per porzioni di nome e cognome- può avviare una ricerca degli utenti registrati sul portale dell'Azienda e, quindi, visualizzare i seguenti dati personali degli stessi: "Cognome", "Nome", "Data e luogo di nascita", "Codice fiscale", "Numero di telefono";

CONSIDERATO che all'esito della suddetta ricerca chiunque può, selezionando i dati personali di uno o più utenti, effettuare sugli stessi talune operazioni, tra le quali quella di eliminazione della registrazione;

RILEVATO che dare conoscenza a soggetti indeterminati di dati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione, configura una diffusione di dati personali (artt. 4, comma 1, lett. m) del Codice) e che, pertanto, la possibilità che chiunque possa effettuare la suddetta ricerca sul portale della predetta Azienda determina una diffusione di dati personali;

CONSIDERATO che la diffusione di dati personali da parte di un soggetto pubblico è ammessa unicamente quando è prevista da una norma di legge o di regolamento (art.19, comma 3 del Codice);

RILEVATO che la diffusione dei dati personali degli utenti che si sono registrati sul portale della predetta Azienda è illecita in quanto effettuata in assenza di un presupposto normativo;

CONSIDERATO che i trattamenti di dati personali effettuati con strumenti elettronici richiedono l'adozione di misure di sicurezza in modo da ridurre al minimo i rischi di accesso non autorizzato o di trattamento non consentito (artt. 31 e 34, comma 1, lett. e) del Codice);

CONSIDERATO che secondo l'ordinamento vigente le pubbliche amministrazioni che intendono offrire servizi in rete che richiedono l'identificazione informatica devono dotarsi di strumenti che consentano l'individuazione certa del soggetto che richiede il servizio (art. 64 del d.lgs. 07/03/2005, n. 82 -Codice dell'amministrazione digitale);

RILEVATO che l'indubbia semplificazione che l'ASL Napoli 2 Nord intende introdurre attraverso l'utilizzo dei servizi on-line sopra indicati può essere utilmente e lecitamente raggiunta consentendo al solo interessato di accedere alle informazioni personali che lo riguardano;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c), 144, e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d'ufficio il trattamento illecito o non corretto dei dati;

CONSIDERATO l'elevato numero di soggetti interessati dall'illecita diffusione di dati personali, nonché il concreto rischio di un pregiudizio rilevante nei loro confronti, tenuto anche conto che chiunque può conoscere i suddetti dati e procedere anche alla eliminazione della registrazione effettuata dall'utente;

RILEVATA la necessità di adottare un provvedimento di divieto del trattamento, ai sensi dei citati artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, in ragione della diffusione di dati personali degli utenti registrati sul portale della suddetta Azienda in assenza di un presupposto normativo;

RILEVATO che l'Ufficio si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare all'ASL Napoli 2 Nord la violazione della disposizione di cui all'art. 19, comma 3, del Codice e la conseguente applicazione della sanzione di cui all'art. 162, comma 2-bis del Codice;

TENUTO CONTO che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva i provvedimenti del Garante è punito con la reclusione da tre mesi a due anni e che ai sensi dell'art. 162, comma 2-ter, del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore la prof.ssa Licia Califano;

TUTTO CIO' PREMESSO IL GARANTE:

rilevata l'illiceità del trattamento dei dati effettuato nei termini indicati in premessa, ai sensi degli artt. 143, comma 1, lett. c), 144  e 154, comma 1, lett. d), del Codice, vieta alla ASL Napoli 2 Nord, con effetto immediato, e comunque entro 48 ore dalla data di ricezione del presente provvedimento, la diffusione dei dati personali degli utenti registrati sul portale dell'ASL Napoli 2 Nord conoscibili mediante l'utilizzo della funzione di ricerca presente su: www.aslnapoli2nordservizionline.it/convalida-account.

Ai sensi dell'art. 157 del Codice, richiede alla ASL Napoli 2 Nord, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nel presente provvedimento e di fornire comunque riscontro entro sette giorni dalla ricezione dello stesso. Si ricorda che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all'art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'Autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 17 dicembre 2015

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia