Diritti interna

Doveri interna

ricerca avanzata

Pubblicazione sul sito web di una ASL di documenti idonei a rivelare lo stato di salute

[doc. web n. 2194472]

Pubblicazione sul sito web di una ASL di documenti idonei a rivelare lo stato di salute - 22 novembre 2012

Registro dei provvedimenti
n. 362 del 22 novembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici, componente, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la segnalazione telefonica con la quale è stata lamentata la diffusione sul sito web istituzionale della ASL Napoli 2 Nord di dati idonei a rivelare lo stato di salute;

RILEVATO, da un accertamento preliminare effettuato dall´Ufficio in data 15 novembre 2012, che l´ASL Napoli 2 Nord ha pubblicato nel proprio sito web istituzionale, nella sezione dedicata all´albo pretorio all´url http://www.aslnapoli2nordservizionline.it/albo-pretorio, fra le altre, le determinazioni aventi a oggetto la liquidazione di indennizzi per patologie contratte per causa di servizio, i rimborsi per spese sanitarie, i rimborsi per spese di viaggio e di soggiorno a favore di soggetti trapiantati o da trapiantare nei centri italiani o all´estero; i rimborsi per spese sanitarie sostenute all´estero; i rimborsi per spese di trasporto a favore di soggetti affetti da determinate patologie come, ad esempio, la microcitemia (cfr., in tal senso, le determinazioni n. 5163/2012 del 13/11/2012, n. 5081/2012 del 09/11/2012, n. 5009/2012 del 07/11/2012, n. 5005/2012 del 07/11/2012, n. 5004/2012 del 07/11/2012, n. 4977/2012 del 05/11/2012, n. 4976/2012 del 05/11/2012, n. 4975/2012 del 05/11/2012, n. 4974/2012 del 05/11/2012, n. 4973/2012 del 05/11/2012, n. 4972/2012 del 05/11/2012, n. 4971/2012 del 05/11/2012, n. 4970/2012 del 05/11/2012, n. 4969/2012 del 05/11/2012, n. 4968/2012 del 05/11/2012, n. 4967/2012 del 05/11/2012, n. 4966/2012 del 05/11/2012, n. 4965/2012 del 05/11/2012, n. 4964/2012 del 05/11/2012, n. 4963/2012 del 05/11/2012, n. 4962/2012 del 05/11/2012); 

PRESO ATTO che tali documenti riportano in chiaro il nominativo e/o il codice fiscale – anche assieme, in alcuni casi, alla data di nascita – degli interessati oppure dei familiari che hanno beneficato del rimborso delle spese per le prestazioni sanitarie effettuate (con l´indicazione, in questo caso, del rapporto di parentela con l´interessato del quale, talvolta, sono riportate anche le iniziali del nome e del cognome);

CONSIDERATO che l´art. 4, comma 1, lett. b) del Codice qualifica come dato personale "qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale". Pertanto, rientra nella predetta definizione non solo il nome e cognome di una persona fisica, ma anche il relativo codice fiscale, nonché ogni informazione che consente di identificare l´interessato anche indirettamente come – nel caso di specie – l´indicazione del rapporto di parentela (moglie, marito, figlio/a) del soggetto che ha usufruito delle prestazioni sanitarie – assieme, talvolta, anche alle iniziali del nome e cognome – accompagnato ai dati personali del familiare che ha sostenuto il relativo costo e ha chiesto il rimborso;
 
CONSIDERATO che l´art. 4, comma 1, lett. m) del Codice definisce la diffusione dei dati personali come "il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione";
 
PRESO ATTO che l´inclusione nelle predette determinazioni dei dati personali sopradescritti unita alla notizia della liquidazione dell´indennizzo per patologia contratta per causa di servizio oppure del rimborso per le spese sanitarie o per le spese di trasporto, di soggiorno, di viaggio sostenute per effettuare prestazioni sanitarie ha causato una diffusione –considerando che le citate determinazioni erano liberamente consultabili in Internet mediante la semplice operazione di visualizzazione del testo – di dati sensibili in quanto idonei a rivelare lo stato di salute degli interessati (art. 4, comma 1, lett. d, del Codice);
 
CONSIDERATO che l´art. 22, comma 8, del Codice prevede che nel trattamento effettuato da soggetti pubblici i "dati idonei a rivelare lo stato di salute non possono essere diffusi" (cfr., in tal senso, anche l´art. 65, comma 5, e l´art. 68, comma 3, del Codice) e che, pertanto, è vietata la diffusione di dati da cui si possa desumere lo stato di malattia o l´esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alla condizioni di invalidità, disabilità o handicap fisici e/o psichici (cfr. i provvedimenti del Garante 7 ottobre 2009, doc. web n. 1664456; 17 settembre 2009, doc. web n. 1658335; 25 giugno 2009, doc. web n. 1640102; 8 maggio 2008, doc. web n. 1521716; 18 gennaio 2007, doc. web n. 1382026; 27 febbraio 2002, doc. web n. 1063639).
 
RICHIAMATE le indicazioni fornite dal Garante con il Provvedimento del 2 marzo 2011 n. 88 recante le "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web" (pubblicato in G.U. n. 64 del 19 marzo 2011 e disponibile sul sito dell´Autorità www.garanteprivacy.it, doc. web n. 1793203) in cui è stato precisato che in "relazione alle sole operazioni di comunicazione e di diffusione, le pubbliche amministrazioni, nel mettere a disposizione sui propri siti istituzionali dati personali, contenuti anche in atti e documenti amministrativi (in forma integrale, per estratto, ivi compresi gli allegati), devono preventivamente verificare che una norma di legge o di regolamento preveda tale possibilità (artt. 4, comma 1, lett. l) e m), 19, comma 3, 20 e 21, del Codice)), fermo restando comunque il generale divieto di diffusione dei dati idonei a rivelare lo stato di salute dei singoli interessati (artt. 22, comma 8, 65, comma 5, 68, comma 3, del Codice)" (cfr. par. 2.1.);
 
RITENUTO, pertanto, che nella pubblicazione di atti e documenti – come le determinazioni aventi a oggetto la liquidazione di indennizzi per patologie contratte per causa di servizio oppure i rimborsi per spese sanitarie o per spese di trasporto, di soggiorno, di viaggio per effettuare prestazioni sanitarie – l´ASL Napoli 2 Nord deve astenersi da ogni forma di diffusione dei dati idonei a rivelare lo stato di salute degli interessati (art. 22, comma 8, del Codice);
 
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di "vietare anche d´ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco", nonché "di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento di dati personali";
 
RILEVATA, pertanto, in ragione dell´illecita modalità del trattamento accertata nel presente provvedimento, la necessità di vietare alla ASL Napoli 2 Nord, ai sensi dei citati artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, l´ulteriore diffusione in Internet – sia attraverso la pubblicazione nell´albo pretorio online che in qualsiasi altra area del sito web istituzionale – dei dati personali idonei a rivelare lo stato di salute degli interessati, contenuti nelle determinazioni sopra identificate, pubblicate all´url: http://www.aslnapoli2nordservizionline.it/albo-pretorio, aventi a oggetto liquidazioni di indennizzo per patologie contratte per causa di servizio oppure rimborsi per spese sanitarie o per spese di trasporto, di soggiorno, di viaggio per effettuare prestazioni sanitarie nonché in tutte le altre determinazioni aventi analogo oggetto e/o contenuto pubblicate alla data di ricezione del presente provvedimento;
 
CONSIDERATO, inoltre, che il Garante, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d´ufficio, "le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti";
 
RILEVATA, pertanto, la necessità di prescrivere alla ASL Napoli 2 Nord, ai sensi dei citati artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, di conformare per il futuro la pubblicazione delle determinazioni nel proprio sito web istituzionale alle disposizioni contenute nel Codice in materia di protezione dei dati personali e nelle citate "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web", rispettando, in particolare, il divieto di diffusione dei dati idonei a rivelare lo stato di salute degli interessati (art. 22, comma 8, del Codice; par. 2.1 delle Linee guida);
 
RITENUTO di valutare, con separato provvedimento, gli estremi per contestare alla ASL Napoli 2 Nord la violazione amministrativa prevista dall´art. 162, comma 2-bis, del Codice come modificato dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto legge del 30 dicembre 2008 n. 207;
 
TENUTO CONTO che, ai sensi dell´art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi e due anni e che ai sensi dell´art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;
 
VISTO l´art. 167 del Codice secondo cui, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto anche dal richiamato articolo 22 è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni;
 
RITENUTO necessario disporre la trasmissione degli atti e di copia del presente provvedimento all´Autorità giudiziaria per le valutazioni di competenza (artt. 167, comma 2 e 22, comma 8, del Codice);
 
VISTA la documentazione in atti;
 
VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;
 
Relatore il dott. Antonello Soro;
 
TUTTO CIÒ PREMESSO IL GARANTE
 
ritenuto illecito il trattamento dei dati effettuato dall´ASL Napoli 2 Nord nei termini indicati in premessa:
 
1. vieta all´ASL Napoli 2 Nord, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, di diffondere ulteriormente in Internet – sia attraverso la pubblicazione nell´albo pretorio online che in qualsiasi altra area del sito web istituzionale – i dati personali idonei a rivelare lo stato di salute degli interessati, contenuti nelle determinazioni identificate nella premessa, pubblicate all´url: http://www.aslnapoli2nordservizionline.it/albo-pretorio, aventi a oggetto liquidazioni di indennizzo per patologie contratte per causa di servizio oppure rimborsi per spese sanitarie o per spese di trasporto, di soggiorno, di viaggio per effettuare prestazioni sanitarie nonché in tutte le altre determinazioni aventi analogo oggetto e/o contenuto pubblicate alla data di ricezione del presente provvedimento;
 
2. prescrive all´ASL Napoli 2 Nord, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, di conformare per il futuro la pubblicazione delle determinazioni nel proprio sito web istituzionale alle disposizioni contenute nel Codice in materia di protezione dei dati personali e nelle citate "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web", rispettando, in particolare, il divieto di diffusione dei dati idonei a rivelare lo stato di salute degli interessati (art. 22, comma 8, del Codice; par. 2.1 delle Linee guida);
 
3. dispone la trasmissione degli atti e di copia del presente provvedimento all´Autorità giudiziaria per le valutazioni di competenza (artt. 167, comma 2 e 22, comma 8, del Codice).
 
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.
 
Roma, 22 novembre 2012
 
IL PRESIDENTE
Soro
 
IL RELATORE
Soro
 
IL SEGRETARIO GENERALE
Busia