g-docweb-display Portlet

Provvedimento del 14 ottobre 2021 [9714644]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9714644]

Provvedimento del 14 ottobre 2021

Registro dei provvedimenti
n. 372 del 14 ottobre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto una segnalazione, con la quale è stata contestata una violazione della normativa in materia di protezione dei dati personali, derivante dalla diffusione sulla pagina Facebook e sul sito web istituzionale del Comune di Buccino di dati e informazioni personali di persone sottoposte a tampone, o risultate positive al test Covid-19, oppure poste in quarantena.

Al riguardo, dalla verifica preliminare effettuata dall’Ufficio sul sito web istituzionale del predetto Comune, nella sezione «News/Ultimi aggiornamenti», è risultato che:

1. all’url http://... era presente una pagina web intitolata “info tamponi” del XX, riportante la notizia che «il nucleo familiare del XX, è stato sottoposto a tampone» (notizia presente anche all’url http://...);

2. all’url http://... era presente una pagina web intitolata «Avviso alla cittadinanza», contenente l’informazione «della positività al test Covid-19 di una cittadina di Buccino, XX»;

3. all’url http://... era presente una pagina web intitolata «Avviso positività covid-19», contenente l’informazione che il sig. «XX. Da sabato sera si è posto in quarantena fiduciaria come pure i suoi contatti diretti» (notizia presente anche all’url http://...);

4. all’url http://... era presente una pagina web intitolata «Avviso positività covid-19», contenente l’informazione che «della positività al test Covid-19 di una nostra concittadina, XX, XX. Nei giorni scorsi si è sottoposta a due tamponi risultati negativi, il terzo fatto in data odierna, così come previsto dalla circolare del Ministero della Salute del 12 ottobre 2020, presso un laboratorio privato, è risultato positivo» (notizia presente anche all’url http://...);

5. all’url http://... era presente una pagina web intitolata «Avviso-situazione epidemiologica Covid-19», contenente l’informazione relativa a «3 guariti, tra cui la signora XX, e nessun nuovo contagio».

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, con particolare riferimento al caso sottoposto all’attenzione di questa Autorità, si ricorda che la diffusione di dati personali – ossia «il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» – da parte di soggetti pubblici, come il Comune, è ammessa solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1, 3, 4, lett. b, del Codice).

Il trattamento dei dati personali deve, inoltre, avvenire nel rispetto dei principi indicati nell’art. 5 del RGPD, fra cui quelli di «limitazione della finalità» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. b e c).

In tale quadro, è, in ogni caso, vietata la diffusione di dati relativi alla salute (art. 2-septies, comma 8, del Codice; cfr. anche art. 9, parr. 1, 2, 4, del RGPD), ossia di «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35 del RGPD).

Sin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare in ordine alla diffusione di dati personali sui siti web istituzionali nel provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuali nella parte sostanziale).

Nelle predette linee guida è peraltro evidenziato, fra l’altro, che dato idoneo a rivelare lo stato di salute non è solo l’indicazione della patologia, ma qualsiasi informazione «da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici» (cfr. parte prima par. 2 e parte seconda, par. 1; nonché provvedimenti ivi citati in nota n. 5).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Buccino – diffondendo online i dati e le informazioni personali sopra descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive e audizione.

Il Comune di Buccino, con la nota prot. n. XX dell’XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate, evidenziando, fra l’altro di aver «chiesto, a tutti gli interessati, l’autorizzazione alla pubblicazione dei loro dati personali, autorizzazione regolarmente ricevuta in forma orale (considerando 32); inoltre alcuni degli interessati hanno contatto direttamente il Comune chiedendo la pubblicazione dei loro dati».

In data XX si è, inoltre, svolta l’audizione richiesta dal Comune di Buccino ai sensi dell’art. 166, comma 6, del Codice in occasione della quale è stato precisato e integrato quanto già riportato nelle memorie difensive.

Nello specifico, quanto alla condotta tenuta, è stato rappresentato che:

- «il fatto contestato è avvenuto in un contesto di emergenza epidemiologica particolare. Peraltro, i casi riportati sono relativi ai primi episodi di epidemia in cui l’Ente è stato coinvolto dai soggetti interessati e dalla popolazione»;

- «Il Comune è in ogni caso un ente di medie dimensioni (ca. 5.000 abitanti) e i soggetti interessati hanno fornito il consenso seppure oralmente»;

- «Gli stessi soggetti interessati essendo piccoli imprenditori o professionisti (es. XX.), con molti contatti, hanno chiesto all’amministrazione di rendere nota la loro positività nel tentativo di fermare o controllare il contagio. La situazione di emergenza e il difficile contesto hanno colto di sorpresa l’amministrazione che è intervenuta per aiutare la comunità di riferimento, dando seguito alle richieste dei soggetti interessati, anche considerando le ridotte dimensioni del contesto territoriale. Si è trattato, quindi, di un evento del tutto occasionale e di tipo eccezionale»;

- «i dati personali oggetto di contestazione sono stati eliminati dal sito web istituzionale e dalla pagina Facebook del Comune».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali di persone sottoposte a tampone, o risultanti positivi al test Covid-19, oppure poste in quarantena, pubblicate online sul sito web istituzionale del Comune di Buccino e sulla relativa pagina Facebook.

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il predetto Comune ha confermato, nelle proprie memorie difensive e in sede di audizione, l’avvenuta diffusione online dei dati personali descritti, rappresentando di aver pubblicato i predetti dati su richiesta dei soggetti interessati che «essendo piccoli imprenditori o professionisti (es. XX.), con molti contatti, hanno chiesto all’amministrazione di rendere nota la loro positività nel tentativo di fermare o controllare il contagio» ed hanno prestato il relativo consenso. L’amministrazione ha evidenziato di essere intervenuta «in un contesto di emergenza epidemiologica particolare», anche considerando che i fatti risalgono «ai primi episodi di epidemia in cui l’Ente è stato coinvolto dai soggetti interessati e dalla popolazione». È stato altresì chiesto di tenere in considerazione della «situazione di emergenza e [del] difficile contesto», peraltro di dimensioni territoriali ridotte essendo il Comune di soli circa 5000 abitanti, che è stato causa di «un evento del tutto occasionale e di tipo eccezionale».

Al riguardo, tuttavia, le giustificazioni avanzate dall’Ente non possono essere integralmente accolte. Nel contesto descritto, occorre infatti ricordare che in ogni caso i soggetti pubblici (come il Comune) possono trattare dati personali quando «è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento», oppure quando «il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e, del RGPD). Al fine di adempiere i predetti «obblighi legali» o «compiti di interesse o connessi all’esercizio di poteri pubblici», i soggetti pubblici non devono chiedere alcun consenso (o autorizzazione) agli interessati per il trattamento dei loro dati personali, in quanto in tali casi, anche il consenso, tendenzialmente, non può costituire «un valido presupposto per il trattamento dei dati personali», considerando che «quando il titolare del trattamento è un’autorità pubblica», esiste un’«evidente squilibrio tra l’interessato e il titolare del trattamento» (considerando n. 43 del RGPD).

Inoltre, la disciplina in materia di protezione dei dati personali vieta espressamente la diffusione (come la pubblicazione online) di dati relativi alla salute (art. 2-septies, comma 8, del Codice; cfr. anche artt. 4, par. 1, n. 15; 9, parr. 1, 2, 4, del RGPD).

6. Esito dell’istruttoria relativa al reclamo presentato

Le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Buccino, in quanto sono stati diffusi i dati personali sopra descritti:

- in assenza di idonei presupposti normativi, non esistendo alcuna norma di legge o di regolamento che ne preveda la pubblicazione, in violazione dell’art. 2-ter, commi 1 e 3, del Codice e dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;

- in violazione del divieto di diffusione dei dati sulla salute previsto dall’art. 2-septies, comma 8, del Codice e dell’art. 9, del RGPD, con particolare riferimento ai dati dei soggetti risultati positivi al test Covid-19.

Si ritiene, tuttavia, di dover in ogni caso considerare la particolarità del caso segnalato, che presenta una serie di circostanze meritevoli di un’attenta valutazione. In particolare, il fatto che la condotta tenuta è stata di natura colposa e ha esaurito i suoi effetti essendo legata a un avvenimento del tutto occasionale e di tipo eccezionale; nonché il fatto che il titolare del trattamento – che ha fornito in ogni caso idonee assicurazioni ed ha rimosso i dati dal web– è un ente territoriale di medie dimensioni con meno di 5.000 abitanti il quale – secondo quanto dichiarato – è intervenuto su richiesta degli stessi soggetti interessati che «essendo piccoli imprenditori o professionisti (es. XX), con molti contatti, hanno chiesto all’amministrazione di rendere nota la loro positività nel tentativo di fermare o controllare il contagio».

Alla luce di tutto quanto sopra rappresentato, anziché infliggere una sanzione pecuniaria, si ritiene sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del RGPD (cfr. anche considerando 148 del RGPD).

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 144 del Codice, rileva l’illiceità del trattamento effettuato dal Comune di Buccino – con sede legale in Piazza Municipio 1, 84021 Buccino (SA) - C.F. 82003670658 – nei termini indicati in motivazione

AMMONISCE

ai sensi degli artt. 58, par. 2, lett. b), del RGPD il Comune di Buccino per aver violato l’art. 2-ter, commi 1 e 3, del Codice; i principi di base del trattamento contenuti nell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-septies, comma 8, del Codice e l’art. 9, del RGPD.

DISPONE

l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 ottobre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei