Diritti interna

Doveri interna

ricerca avanzata

Pubblicazione sul sito web di un Comune di dati idonei a rivelare lo stato di salute - 21 luglio 2016 [5440792]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
5440792
Data:
21/07/16
Argomenti:
Particolari categorie di dati , Pubblicazioni online , Stato di salute , e-Government , Comuni
Tipologia:
Prescrizioni e divieto del Garante

[doc. web n. 5440792]

Pubblicazione sul sito web di un Comune di dati idonei a rivelare lo stato di salute - 21 luglio 2016

Registro dei provvedimenti
n. 316 del 21 luglio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la segnalazione in atti con la quale è stato rappresentato che il Comune di XY ha pubblicato sul sito web istituzionale le determinazioni dirigenziali nn. XX e YY del KK contenenti dati idonei a rivelare lo stato di salute;

RILEVATO, da un accertamento preliminare effettuato dall´Ufficio in data 1 luglio 2016, che sul sito web istituzionale del predetto Comune – http://www.comune.... – al link situato nella homepage denominato «Albo Pretorio On-line» è possibile consultare gli atti adottati dall´ente;

RILEVATO, nel corso del medesimo accertamento preliminare, che nel predetto albo pretorio online, utilizzando la funzione «Cerca» dall´area dedicata alle «Determine» (http://www.comune....), sono visibili e liberamente scaricabili i testi integrali dei seguenti provvedimenti:

-  Determina QW (url: https://www....);

- Determina WQ (url: https://www....);

RILEVATO che entrambe le Determine nn. XX e YY del KK riconoscono il diritto della segnalante, dipendente del Comune di XY, di usufruire dei permessi di cui alla legge n. 104 del 5/2/1992 («Legge-quadro per l´assistenza, l´integrazione sociale e i diritti delle persone handicappate») per l´assistenza – rispettivamente – alla madre e al padre;

RILEVATO, inoltre, che nelle citate Determine sono riportati, fra l´altro, i nominativi in chiaro della dipendente comunale e quelli dei relativi genitori nonché la circostanza che questi ultimi sono portatori «di handicap grave», documentato da attestazione medica comprovante il relativo stato invalidante;

RILEVATO, inoltre, che dalle predette Determine si desumono anche altre informazioni di contesto, come la circostanza che l´istante è donna, è una dipendente di ruolo del Comune di XY, ha il padre e la madre invali e ha fatto richiesto di permessi lavorativi ai sensi della l. n. 104/1992 per entrambi i genitori di cui usufruisce in cumulativamente;

CONSIDERATO che per dato personale si intende «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» (art. 4, comma 1, lett. b, del Codice);

CONSIDERATO che per diffusione dei dati personali si intende «il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» (art. 4, comma 1, lett. m, del Codice);

CONSIDERATO che nel trattamento effettuato da soggetti pubblici i «dati idonei a rivelare lo stato di salute non possono essere diffusi» (art. 22, comma 8, del Codice);

CONSIDERATO che, in proposito, anche il d. lgs. 14/3/2013 n. 33, recante il «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni», prevede che «Restano fermi i limiti alla diffusione e all´accesso delle informazioni […] relativi alla diffusione dei dati idonei a rivelare lo stato di salute […]» (art. 7-bis, comma 6, che ha riprodotto il testo dell´abrogato art. 4, comma 6);

RICHIAMATE, inoltre, le indicazioni fornite dal Garante con il Provvedimento del 15 maggio 2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» (in G.U. 12 giugno 2014, n. 134 suppl. ord. n. 43 e in www.gpdp.it, doc. web n. 3134436), in cui, si evidenzia che:

-  è «sempre vietata la diffusione di dati idonei a rivelare lo "stato di salute" (art. 22, comma 8, del Codice) […]» e che, in particolare, «è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l´esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici» (parte prima, par. 2 e par. 9.e.; parte seconda, par. 1. Cfr., inoltre, i provvedimenti del Garante ivi citati in nota 49);

- «In molti casi, infatti, in particolari ambiti (ad es., per campioni di popolazioni di ridotte dimensioni), la pubblicazione online anche solo di alcuni dati – come [fra gli altri] la complessiva vicenda oggetto di pubblicazione, etc. – è sufficiente a individuare univocamente la persona cui le stesse si riferiscono e, dunque, a rendere tale soggetto identificabile mediante il collegamento con altre informazioni che possono anche essere nella disponibilità di terzi o ricavabili da altre fonti. Per rendere effettivamente "anonimi" i dati pubblicati online occorre, quindi, oscurare del tutto il nominativo e le altre informazioni riferite all´interessato che ne possono consentire l´identificazione anche a posteriori»;

PRESO ATTO che la pubblicazione nell´albo pretorio online, presente sul sito web istituzionale del Comune di XY, del testo integrale delle Determine JJ, reg. gen. nn. XX e YY del KK ha causato una diffusione di dati sensibili in quanto idonei a rivelare lo stato di salute dei genitori della dipendente comunale (art. 4, comma 1, lett. d, del Codice);

RILEVATA, pertanto, l´illiceità del trattamento effettuato dal Comune di XY per aver diffuso online dati idonei a rivelare lo stato di salute, in violazione dell´art. 22, comma 8, del Codice;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, ha il compito di «vietare anche d´ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco», nonché «di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento di dati personali»;

RITENUTO necessario, in ragione dell´illiceità del trattamento effettuato, vietare al Comune di XY, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l´ulteriore diffusione in Internet – sia attraverso la pubblicazione nell´area dedicata all´albo pretorio online dell´ente che in qualsiasi altra parte del sito web istituzionale – dei dati personali della segnalante e dei relativi genitori contenuti nelle descritte Determine JJ, reg. gen. nn. XX e YY del KK;

RITENUTO di valutare, con separato provvedimento, gli estremi per contestare al Comune di XY la sanzione amministrativa prevista dagli artt. 162, comma 2-bis, e 167, comma 2, del Codice, in relazione all´avvenuta diffusione di dati idonei a rivelare lo stato di salute, in violazione dell´art. 22, comma 8, del Codice;

TENUTO CONTO che, ai sensi dell´art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che ai sensi dell´art. 162, comma 2-ter, del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l´illiceità del trattamento dei dati effettuato dal Comune di XY nei termini indicati in premessa:

1) vieta al Comune di XY, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l´ulteriore diffusione in Internet – sia attraverso la pubblicazione nell´area dedicata all´albo pretorio online dell´ente che in qualsiasi altra parte del sito web istituzionale – dei dati personali della segnalante e dei relativi genitori contenuti nei seguenti provvedimenti:

a. Determina QW (url: https://www...);

b. Determina WQ (url: https://www...);

2) richiede al Comune di XY, ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nel precedente punto 1 del presente provvedimento e di fornire comunque riscontro entro trenta giorni dalla ricezione dello stesso. Si ricorda che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d. lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 21 luglio 2016

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia