g-docweb-display Portlet

Diffusione di dati idonei a rivelare lo stato di salute sul sito web di una Regione - 8 gennaio 2015

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Diffusione di dati idonei a rivelare lo stato di salute sul sito web di una Regione  - 8 gennaio 2015

Registro dei provvedimenti
n. 3 dell´8 gennaio 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la segnalazione inoltrata a questa Autorità dal Sig. XY con la quale è stato comunicato, fra l´altro, che «Con avviso pubblicato sul Bollettino Ufficiale della Regione Puglia n. XX del XX […], la Regione Puglia poneva in essere un´iniziativa volta alla realizzazione di XX in favore di persone con disabilità motorie gravi per l´autostima personale e l´inclusione socio-personale. Nel mese di settembre 2013, il sottoscritto XY proponeva istanza di finanziamento di XX con esito favorevole» e che «In data 10 novembre 2014, digitando il mio nome "XY" sul motore di ricerca "Google" […] mi sono accorto che i primi due risultati rimandano [a] link con documenti in formato "pdf" del portale sistema.puglia.it che elencano "in chiaro" i nominativi dei disabili partecipanti al suddetto bando XX»;

RILEVATO, da un accertamento preliminare effettuato dall´Ufficio in data 15 dicembre 2014, che sul sito web intestato «Sistema Puglia. Il portale per lo sviluppo e la promozione del territorio e delle imprese» (http://www.sistema.puglia.it/) – al link situato nella homepage denominato «Area sviluppo»/«Determinazioni Dirigenziali» – sono visibili, e liberamente scaricabili, i documenti indicati dal segnalante, e precisamente: il testo integrale e gli allegati A e B della Determinazione del Dirigente Servizio Programmazione Sociale e Integrazione Sociosanitaria n. XX dell´XX della Regione Puglia (Area politiche per la promozione della salute, delle persone, delle pari opportunità), avente a oggetto «Deliberazione G.R. n. XX Progetto "XX" - Deliberazione G.R. n. XX "XX". Approvazione esiti prima tranche della istruttoria delle manifestazioni di interesse inviate per il finanziamento dei XX di cui all´Avviso pubblico approvato con A.D. n. XX». Tali documenti sono attualmente presenti agli url:

-    http://www.sistema.puglia.it/...);

-    http://www.sistema.puglia.it/...);

-    http://www.sistema.puglia.it/...);

RILEVATO, nel corso del medesimo accertamento preliminare, che sempre al link situato nella homepage denominato «XX» del predetto sito web intestato «Sistema Puglia. Il portale per lo sviluppo e la promozione del territorio e delle imprese» (http://www.sistema.puglia.it/) sono, altresì, visibili e liberamente scaricabili le seguenti ulteriori Determinazioni del Dirigente Servizio Programmazione Sociale e Integrazione Sociosanitaria relative al Progetto "XX" e ai XX (XX) di cui si è detto:

-    n. XX del XX avente a oggetto «Del. G.R. n. XX Progetto "XX" - Del. G.R. n.XX "XX)» (url: http://www.sistema.puglia.it/...);

-    n. XX del XX avente a oggetto «XX» (url: http://www.sistema.puglia.it/...);

-    n. XX del XX avente a oggetto «XX» (url: http://www.sistema.puglia.it/...);

-    n. XX del XX avente a oggetto «Deliberazione G.R. n. XX Progetto "XX" e n. XX "XX» (url: http://www.sistema.puglia.it/...);

CONSIDERATA l´uguale motivazione delle predette Determinazioni dirigenziali n. XX, n. XX, n. XX, n. XX e n. XX, nella parte in cui è specificato che:

I) «Il progetto XX finanziato con risorse del Fondo Nazionale Non Autosufficienza (FNA) e del Fondo Regionale per la Non Autosufficienza (FRA) mira a sperimentare modalità integrate di intervento per la presa in carico di persone in condizione di grave non autosufficienza e precarie condizioni familiari, economiche, abitative con il coinvolgimento dei distretti sociosanitari e dei Comuni interessati per la implementazione di strumenti innovativi e di percorsi integrati di valutazione e di presa in carico con l´obiettivo generale di sostenere progetti individualizzati di persone in condizioni di grave non autosufficienza capaci di integrare sostegno economico, servizi di cura domiciliari e a ciclo diurno, assistenza alla persona e interventi di promozione attiva per l´inclusione sociale;

II) «Possono proporre istanza di finanziamento di un XX, persone con disabilità motoria, ovvero affette da gravi patologie neurodegenerative che abbiano già prodotto permanenti limitazioni alla capacità autonoma di movimento, con certificazione di handicap o di invalidità rilasciata da una Commissione Pubblica ai sensi dell´art. 3 comma 3 della l. n. 104/92 deputata all´accertamento di tali condizioni, di un´età compresa tra 16 e 64 anni che, a prescindere dal livello di autosufficienza, presentino elevate potenzialità di autonomia e autodeterminazione […]»;

RILEVATO che con le citate Determinazioni dirigenziali n. XX, n. XX, n. XX, n. XX e n. XX sono stati, fra l´altro, approvati gli elenchi o la modifica degli elenchi – riportati negli allegati alle stesse Determinazioni dirigenziali– delle domande di manifestazione di interesse al predetto «XX» (XX);

RILEVATO che tali elenchi riportano in chiaro il nome e cognome del «richiedente», il «codice pratica», la «data ora istruttoria», l´«ambito territoriale», l´«esito istruttoria» e, per le domande non ammesse, la «motivazione di esclusione»;

RILEVATO, altresì, che il nominativo dei soggetti che hanno presentato la domanda di manifestazione di interesse al XX è immediatamente visibile in rete tramite l´inserimento delle generalità dei medesimi nei più diffusi motori di ricerca generalisti come Google;

CONSIDERATO che per dato personale si intende «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» (art. 4, comma 1, lett. b, del Codice);

CONSIDERATO che per diffusione di dati personali si intende «il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» (art. 4, comma 1, lett. m, del Codice);

CONSIDERATO che nel trattamento effettuato da soggetti pubblici i «dati idonei a rivelare lo stato di salute non possono essere diffusi» (art. 22, comma 8, del Codice, nonché art. 65, comma 5 e art. 68, comma 3, del Codice);

CONSIDERATO che, nel caso di specie, la Regione Puglia si configura quale titolare del trattamento dei dati personali, ai sensi degli artt. 4, c. 1, lett. f) e 28 del Codice;

CONSIDERATO che, in proposito, anche il d. lgs. 14/3/2013 n. 33, recante il «Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni», prevede – fra i «Limiti alla trasparenza» – che «Restano fermi i limiti alla diffusione e all´accesso delle informazioni […] relativi alla diffusione dei dati idonei a rivelare lo stato di salute […]» (art. 4, comma 6), precisando – con specifico riferimento agli «Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati» – che «È esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute […] degli interessati» (art. 26, comma 4).

RICHIAMATE, inoltre, le indicazioni fornite dal Garante con il Provvedimento del 15 maggio 2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» (in G.U. 12 giugno 2014, n. 134 suppl. ord. n. 43 e in www.garanteprivacy.it, doc. web n. 3134436), in cui, fra l´altro, è specificato che è «sempre vietata la diffusione di dati idonei a rivelare lo "stato di salute" (art. 22, comma 8, del Codice) […]» e che, in particolare, «è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l´esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici» (parte prima, par. 2 e par. 9.e.; parte seconda, par. 1. Cfr., inoltre, i provvedimenti del Garante ivi citati in nota 49);

PRESO ATTO che la pubblicazione sul sito Internet «Sistema Puglia» (www.sistemapuglia.it) degli elenchi allegati alle citate Determinazioni del Dirigente Servizio Programmazione Sociale e Integrazione Sociosanitaria n. XX, n. XX, n. XX, n. XX e n. XX della Regione Puglia (Area politiche per la promozione della salute, delle persone, delle pari opportunità), recanti in chiaro i nominativi dei soggetti che hanno presentato le domande di manifestazione di interesse «ritenute ammissibili» e «ritenute non ammissibili» per la partecipazione al predetto «XX» (XX), riservato «a persone con disabilità motoria, ovvero affette da gravi patologie neurodegenerative che abbiano già prodotto permanenti limitazioni alla capacità autonoma di movimento, con certificazione di handicap o di invalidità», ha causato una diffusione di dati sensibili in quanto idonei a rivelare lo stato di salute dei soggetti interessati (art. 4, comma 1, lett. d, del Codice);

CONSIDERATO che il dominio «sistemapuglia.it» risulta registrato dalla InnovaPuglia S.p.A. (cfr. Registro dell´«anagrafe dei domini Internet .it», in www.nic.it) la quale, ai sensi del relativo statuto, è una società per azioni «soggetta a direzione e controllo del socio unico Regione Puglia», che «ha per oggetto esclusivo le attività definite nel successivo art. 4 unicamente in favore, per conto e su richiesta del socio Regione Puglia» (art. 1, comma 1) – fra cui «il supporto tecnico alla PA regionale per la definizione, realizzazione e gestione di progetti di innovazione basati sulle ICT per la PA regionale, nonché il supporto alla programmazione strategica regionale a sostegno dell´innovazione» (art. 4, comma 1) – che «non può svolgere prestazioni a favore di altri soggetti pubblici o privati, né in affidamento diretto né con gara» (art. 1, comma 3) e che, in tale ruolo, InnovaPuglia S.p.A. dovrebbe agire quale responsabile del trattamento dei dati personali, designata dalla Regione Puglia, ai sensi dell´art. 29 del Codice;

RILEVATA, pertanto, l´illiceità del trattamento effettuato dalla Regione Puglia per aver diffuso dati idonei a rivelare lo stato di salute dei soggetti che hanno presentato la domanda di manifestazione di interesse per l´accesso al contributo di cui al predetto «XX» (XX), in violazione dell´art. 22, comma 8, del Codice;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, ha il compito di «vietare anche d´ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco», nonché «di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento di dati personali»;

RITENUTO necessario, in ragione dell´illiceità del trattamento effettuato, vietare alla Regione Puglia, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l´ulteriore diffusione in Internet dei dati personali contenuti negli allegati alle seguenti Determinazioni del Dirigente Servizio Programmazione Sociale e Integrazione Sociosanitaria della predetta Regione, nonché in tutti gli altri atti amministrativi aventi analogo contenuto pubblicati alla data di ricezione del presente provvedimento:

-     n. XX dell´XX, url:

http://www.sistema.puglia.it/...

http://www.sistema.puglia.it/....;

http://www.sistema.puglia.it/...;

-    n. XX del XX, url:

http://www.sistema.puglia.it/...

-    n. XX del XX, url:

http://www.sistema.puglia.it/...;

-    n. XX del XX, url:

http://www.sistema.puglia.it/...

-    n. XX del XX, url:

http://www.sistema.puglia.it/...;

CONSIDERATO, inoltre, che il Garante, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d´ufficio, «le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti»;

RITENUTO, pertanto, necessario prescrivere alla Regione Puglia, ai sensi dei citati artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice:

- di attivarsi presso i responsabili dei principali motori di ricerca generalisti, come Google, al fine di sollecitare la rimozione della copia web degli allegati alle predette Determinazioni del Dirigente Servizio Programmazione Sociale e Integrazione Sociosanitaria n. XX, n. XX, n. XX, n. XX e n. XX dagli indici e dalla cache dei motori di ricerca;

- di apportare gli opportuni accorgimenti affinché le modalità di pubblicazione degli atti contenenti dati personali sui siti web istituzionali siano conformi alle indicazioni fornite dal Garante con il Provvedimento del 15 maggio 2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» (in G.U. 12 giugno 2014, n. 134 suppl. ord. n. 43 e in www.garanteprivacy.it, doc. web n. 3134436), con particolare riferimento al divieto di diffondere dati idonei a rivelare lo stato di salute dei soggetti interessati (cfr. Linee guida, cit., parte prima, par. 2, par. 9.e.; parte seconda, par. 1);

RITENUTO, altresì, necessario richiedere alla Regione Puglia ai sensi dell´art. 157 del Codice, di comunicare, senza ritardo e comunque entro il termine di trenta giorni dalla notifica del presente provvedimento, quali iniziative siano state intraprese al fine di dare attuazione al provvedimento stesso;

RITENUTO di valutare, con separato provvedimento, gli estremi per contestare alla Regione Puglia la violazione amministrativa prevista dall´art. 162, comma 2-bis, del Codice come modificato dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto legge del 30 dicembre 2008 n. 207;

TENUTO CONTO che, ai sensi dell´art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che ai sensi dell´art. 162, comma 2-ter, del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;
Relatore la prof.ssa Licia Califano;

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l´illiceità del trattamento dei dati effettuato dalla Regione Puglia per aver diffuso dati idonei a rivelare lo stato di salute dei soggetti interessati in violazione dell´art. 22, comma 8, del Codice nei termini indicati in premessa:

1. vieta alla Regione Puglia, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l´ulteriore diffusione in Internet dei dati personali contenuti negli allegati alle seguenti Determinazioni del Dirigente Servizio Programmazione Sociale e Integrazione Sociosanitaria della predetta Regione, nonché in tutti gli altri atti amministrativi aventi analogo contenuto pubblicati alla data di ricezione del presente provvedimento:

-  n. XX dell´XX, url:

http://www.sistema.puglia.it/...;

http://www.sistema.puglia.it/...;

http://www.sistema.puglia.it/...;

-    n. XX del XX, url:

http://www.sistema.puglia.it/...;

-    n. XX del XX, url:

http://www.sistema.puglia.it/ …;

-    n. XX del XX, url:

http://www.sistema.puglia.it/..;

-    n. XX del XX url:

http://www.sistema.puglia.it/...;

2.    prescrive alla Regione Puglia, ai sensi dei citati artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice:

a. di attivarsi presso i responsabili dei principali motori di ricerca generalisti, come Google, al fine di sollecitare la rimozione della copia web degli allegati alle predette Determinazioni del Dirigente Servizio Programmazione Sociale e Integrazione Sociosanitaria n. XX, n. XX, n. XX, n. XX e n. XX dagli indici e dalla cache dei motori di ricerca;

b. di apportare gli opportuni accorgimenti affinché le modalità di pubblicazione degli atti contenenti dati personali sui siti web istituzionali siano conformi alle indicazioni fornite dal Garante con il Provvedimento del 15 maggio 2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» (in G.U. 12 giugno 2014, n. 134 suppl. ord. n. 43 e in www.garanteprivacy.it, doc. web n. 3134436), con particolare riferimento al divieto di diffondere dati idonei a rivelare lo stato di salute dei soggetti interessati (cfr. Linee guida, cit., parte prima, par. 2, par. 9.e.; parte seconda, par. 1);

3. richiede alla Regione Puglia, ai sensi dell´art. 157 del Codice, di comunicare, senza ritardo e comunque entro il termine di trenta giorni dalla notifica del presente provvedimento, quali iniziative siano state intraprese al fine di dare attuazione al provvedimento stesso.

Ai sensi degli artt. 152 del Codice e 10 del d. lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 8 gennaio 2015

IL PRESIDENTE
Soro

IL RELATORE
Califano   

IL SEGRETARIO GENERALE
Busia