Diritti interna

Doveri interna

ricerca avanzata

Pubblicazione nel sito web istituzionale di un Comune di documenti contenenti dati sensibili idonei a rivelare lo stato di salute - 3 ottobre 2013 [2747962]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
2747962
Data:
03/10/13
Argomenti:
Trasparenza amministrativa , Dati sanitari su Internet , Comuni
Tipologia:
Prescrizioni e divieto del Garante

[doc. web n. 2747962]

Pubblicazione nel sito web istituzionale di un Comune di documenti contenenti dati sensibili idonei a rivelare lo stato di salute - 3 ottobre 2013

Registro dei provvedimenti
n. 432 del 3 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la segnalazione in atti presentata da un´associazione con la quale è stata lamentata la pubblicazione, nel sito web istituzionale del Comune di Canicattì (AG) della determinazione dirigenziale n. XX avente a oggetto il "Sostegno economico ai soggetti affetti da JJ" contenente dati personali anche sensibili;

RILEVATO, da un accertamento preliminare effettuato dall´Ufficio in data 16 settembre 2013, che sul sito web istituzionale del predetto comune (http://www.comune.canicatti.ag.it/), al link situato nella KK denominato "ZZ", è possibile consultare l´archivio degli atti amministrativi dell´ente;

RILEVATO, nel medesimo accertamento preliminare, che nell´area relativa alle KK dell´anno 2013 è visibile e liberamente scaricabile per intero la predetta determinazione al seguente url:
http://...;

VISTO che nella predetta determinazione dirigenziale n. XX si fa riferimento alla patologia sofferta dal soggetto beneficiario del sostegno economico (JJ), con indicazione in chiaro dei relativi dati anagrafici (nominativo, luogo e data di nascita);

VISTO che nella stessa determinazione sono, altresì, riportati in chiaro l´importo del beneficio economico ricevuto e liquidato al "familiare referente" del suddetto soggetto malato con indicazione dei relativi dati anagrafici (nominativo, luogo e data di nascita), della residenza, del codice fiscale e del numero IBAN su cui accreditare le somme con specificazione della seguente causale "Sostegno economico al familiare di persona affetta da JJ, ai fini della tracciabilità dei flussi finanziari, ai sensi dell´art. 3 della legge n. 136/2010";

VISTO che dal medesimo accertamento preliminare è stato, altresì, verificato che il nominativo dei soggetti interessati è immediatamente visibile in rete tramite l´inserimento delle generalità dei medesimi nei più diffusi motori di ricerca generalisti come Google;

CONSIDERATO che per dato personale si intende "qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale" (art. 4, comma 1, lett. b, del Codice);

CONSIDERATO che per diffusione dei dati personali si intende "il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione" (art. 4, comma 1, lett. m, del Codice);

CONSIDERATO che i dati personali oggetto di trattamento devono essere "pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati" (art. 11, comma 1, lett. d, del Codice);

CONSIDERATO che la "diffusione" di dati personali da parte dei "soggetti pubblici" è ammessa unicamente quando è prevista da una specifica norma di legge o di regolamento (art. 19, comma 3, del Codice);

CONSIDERATO che, comunque, nel trattamento effettuato da soggetti pubblici i "dati idonei a rivelare lo stato di salute non possono essere diffusi" (art. 22, comma 8, del Codice, nonché art. 65, comma 5 e art. 68, comma 3, del Codice) e che, pertanto, è vietata la diffusione di dati da cui si possa desumere lo stato di malattia o l´esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alla condizioni di invalidità, disabilità o handicap fisici e/o psichici (cfr., fra gli altri, i provvedimenti del Garante del 4 aprile 2013, doc. web n. 2473879, n. 2448446, n. 2433468, n. 2452536; nonché del 22 novembre 2012, doc. web n. 2194472; 29 novembre 2012, doc. web n. 2192671; 7 ottobre 2009, doc. web n. 1664456; 17 settembre 2009, doc. web n. 1658335; 25 giugno 2009, doc. web n. 1640102; 8 maggio 2008, doc. web n. 1521716; 18 gennaio 2007, doc. web n. 1382026; 27 febbraio 2002, doc. web n. 1063639);

CONSIDERATO che l´art. 124, comma 1, del d. lgs. 18 agosto 2000, n. 267, recante il "Testo unico delle leggi sull´ordinamento degli enti locali" prevede che "Tutte le deliberazioni del comune e della provincia sono pubblicate mediante affissione all´albo pretorio, nella sede dell´ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge";

CONSIDERATO che l´art. 32, comma 1, della legge 18 giugno 2009, n. 69, avente a oggetto "Disposizioni per lo sviluppo economico, la semplificazione, la competitività nonché in materia di processo civile" prevede che dal 1° gennaio 2010 gli obblighi di pubblicazione di atti e provvedimenti amministrativi aventi effetto di pubblicità legale sono assolti con "la pubblicazione nei propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati"

CONSIDERATO, inoltre, che l´art. 18, comma 1, della Legge Regione Sicilia 16 dicembre 2008, n. 22, prevede l´obbligo a carico delle amministrazioni comunali e provinciali di "rendere noti" sul sito web – "ferme restando le disposizioni a tutela della privacy" – "tutti gli atti deliberativi adottati dalla giunta e dal consiglio e le determinazioni sindacali e dirigenziali, ai fini di pubblicità notizia" solo "per estratto";

RICHIAMATE le indicazioni fornite dal Garante con il Provvedimento del 2 marzo 2011 recante le "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web" (pubblicato in G.U. n. 64 del 19 marzo 2011 e disponibile sul sito istituzionale www.garanteprivacy.it, doc. web n. 1793203) in cui è stato precisato, fra l´altro, che:

-  in "relazione alle sole operazioni di comunicazione e di diffusione, le pubbliche amministrazioni, nel mettere a disposizione sui propri siti istituzionali dati personali, contenuti anche in atti e documenti amministrativi (in forma integrale, per estratto, ivi compresi gli allegati), devono preventivamente verificare che una norma di legge o di regolamento preveda tale possibilità (artt. 4, comma 1, lett. l) e m), 19, comma 3, 20 e 21, del Codice), fermo restando comunque il generale divieto di diffusione dei dati idonei a rivelare lo stato di salute dei singoli interessati (artt. 22, comma 8, 65, comma 5, 68, comma 3, del Codice)" (cfr. par. 2.1.);

- "tutte le decisioni assunte dalle amministrazioni in relazione alla pubblicazione sui propri siti istituzionali di atti e documenti contenenti dati personali possono essere oggetto di sindacato da parte del Garante al fine di verificare che siano rispettati i principi di necessità, proporzionalità e pertinenza dei dati (artt. 3 e 11, comma 1, del Codice)" (cfr. par. 2.5.);

- "nelle ipotesi in cui specifiche disposizioni di settore individuino determinati periodi di tempo per la pubblicazione di atti e provvedimenti amministrativi (es., art. 124, d.lg. n. 267/2000 riguardante le deliberazioni del comune e della provincia che devono essere affisse all´albo pretorio, nella sede dell´ente, per quindici giorni consecutivi), i soggetti pubblici sono tenuti ad assicurare il rispetto dei limiti temporali previsti, rendendoli accessibili sul proprio sito web durante il circoscritto ambito temporale individuato dalle disposizioni normative di riferimento, anche per garantire il diritto all´oblio degli interessati" e che "Trascorsi i predetti periodi di tempo specificatamente individuati, determinate notizie, documenti o sezioni del sito devono essere rimossi dal web o privati degli elementi identificativi degli interessati" (cfr. par. 5.2, richiamato dal par. 6.B);

PRESO ATTO che la pubblicazione sul sito web del Comune di Canicattì della determinazione dirigenziale n. XX – recante in chiaro i dati anagrafici del soggetto affetto da JJ (nominativo, luogo e data di nascita), nonché i dati anagrafici (nominativo, luogo e data di nascita) del "familiare referente" del soggetto malato con indicazione della residenza, del codice fiscale e del numero IBAN su cui accreditare le somme con specificazione della seguente causale "Sostegno economico al familiare di persona affetta da JJ, ai fini della tracciabilità dei flussi finanziari, ai sensi dell´art. 3 della legge n. 136/2010" – ha causato una diffusione di dati e informazioni personali, fra cui anche dati sensibili in quanto idonei a rivelare lo stato di salute del soggetto malato (art. 4, comma 1, lett. d, del Codice);

RILEVATA, pertanto, l´illiceità del trattamento effettuato dal Comune di Canicattì per:

- aver diffuso dati idonei a rivelare lo stato di salute del soggetto affetto da JJ in violazione dell´art. 22, comma 8, del Codice;

- aver diffuso dati e informazioni personali del "familiare referente" – quali residenza, codice fiscale, numero IBAN su cui accreditare le somme con specificazione della seguente causale "Sostegno economico al familiare di persona affetta da JJ, ai fini della tracciabilità dei flussi finanziari, ai sensi dell´art. 3 della legge n. 136/2010" – in violazione del principio di pertinenza e non eccedenza nel trattamento dei dati personali (art. 11, comma 1, lett. d, del Codice);

- aver conservato, nella sezione denominata "ZZ" del sito web, i dati anagrafici del "familiare referente" del soggetto malato (nominativo, luogo e data di nascita) in mancanza di un idoneo presupposto normativo in violazione dell´art. 19, comma 3, del Codice. La determinazione dirigenziale n. XX oggetto della segnalazione, infatti, oltre a non essere stata pubblicata per estratto come previsto dal predetto art. 18 della legge regionale 16/12/2008 n. 22, è stata pubblicata con i predetti dati personali in chiaro per un periodo superiore ai 15 giorni previsti dall´art. 124 del d. lgs. n. 267/2000;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, ha il compito di "vietare anche d´ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco", nonché "di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento di dati personali";

RITENUTO necessario, in ragione dell´illiceità del trattamento effettuato, vietare al Comune di Canicattì, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l´ulteriore diffusione in Internet – sia attraverso la pubblicazione nell´area denominata "ZZ" che in qualsiasi altra parte del sito web istituzionale – dei dati anagrafici del soggetto affetto da JJ (nominativo, luogo e data di nascita), nonché dei dati anagrafici (nominativo, luogo e data di nascita) del "familiare referente" del soggetto malato e dell´indicazione della relativa residenza, codice fiscale e numero IBAN su cui accreditare le somme con la specificazione della causale "Sostegno economico al familiare di persona affetta da JJ, ai fini della tracciabilità dei flussi finanziari, ai sensi dell´art. 3 della legge n. 136/2010", contenuti nella determinazione dirigenziale n. XX (url: http://...);

CONSIDERATO, inoltre, che il Garante, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d´ufficio, "le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti";

RITENUTO, pertanto, necessario prescrivere al Comune di Canicattì, ai sensi dei citati artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, di attivarsi presso i responsabili dei principali motori di ricerca generalisti, come Google, al fine di sollecitare la rimozione della copia web della determinazione dirigenziale n. XX dagli indici e dalla cache dei motori di ricerca;

RITENUTO, altresì, necessario prescrivere al Comune di Canicattì di dare conferma a questa Autorità di avere provveduto ai predetti adempimenti senza ritardo e comunque entro il termine di trenta giorni dalla notifica del presente provvedimento;

RITENUTO di valutare, con separato provvedimento, gli estremi per contestare al Comune di Canicattì la violazione amministrativa prevista dall´art. 162, comma 2-bis, del Codice come modificato dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto legge del 30 dicembre 2008 n. 207;

TENUTO CONTO che, ai sensi dell´art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che ai sensi dell´art. 162, comma 2-ter, del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore la prof.ssa Licia Califano;

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l´illiceità del trattamento dei dati effettuato dal Comune di Canicattì nei termini indicati in premessa:

1. vieta al Comune di Canicattì, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l´ulteriore diffusione in Internet, sia attraverso la pubblicazione nell´area denominata "ZZ" che in qualsiasi altra parte del sito web istituzionale dei dati anagrafici del soggetto affetto da JJ (nominativo, luogo e data di nascita), nonché dei dati anagrafici (nominativo, luogo e data di nascita) del "familiare referente" del soggetto malato e dell´indicazione della relativa residenza, codice fiscale e numero IBAN su cui accreditare le somme con la specificazione della causale "Sostegno economico al familiare di persona affetta da JJ, ai fini della tracciabilità dei flussi finanziari, ai sensi dell´art. 3 della legge n. 136/2010", contenuti nella determinazione dirigenziale n. XX (url: http://...);

2. prescrive al Comune di Canicattì, ai sensi dei citati artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, di attivarsi presso i responsabili dei principali motori di ricerca generalisti, come Google, al fine di sollecitare la rimozione della copia web della determinazione dirigenziale n. XX dagli indici e dalla cache dei motori di ricerca;

3. prescrive al Comune di Canicattì, ai sensi dei citati artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice di dare conferma a questa Autorità di avere provveduto ai predetti adempimenti senza ritardo e comunque entro il termine di trenta giorni dalla notifica del presente provvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d. lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 3 ottobre 2013

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia