Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Pubblicazione sul sito web di un Comune di dati idonei a rivelare lo stato di salute - 5 luglio 2017 [6946686]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
6946686
Data:
05/07/17
Argomenti:
Particolari categorie di dati , Comuni , Trasparenza amministrativa
Tipologia:
Prescrizioni e divieto del Garante

[doc. web n. 6946686]

Pubblicazione sul sito web di un Comune di dati idonei a rivelare lo stato di salute - 5 luglio 2017

Registro dei provvedimenti
n. 303 del 5 luglio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la documentazione in atti;

RILEVATO, dall´accertamento preliminare effettuato dall´Ufficio in data 21 giugno 2017, che sul sito web istituzionale del Comune di XX, nello storico degli atti dell´Albo pretorio online (http://...), è liberamente visualizzabile e scaricabile il provvedimento del Settore edilizia ed attività produttive-XX del XXX con cui si rende noto del rilascio del permesso di costruire n. XX del XX nei confronti del Sig. XX (url http://...);

PRESO ATTO che, nello specifico, con il predetto provvedimento è stato rilasciato un permesso «per la chiusura con vetrate atermiche della tettoia posta sul lastrico solare» di un immobile – di cui sono indicati indirizzo e dati catastali – al fine di «destinarla a spazio dedicato alla riabilitazione di portatore di handicap», in applicazione di quanto previsto dalla Legge della Regione Puglia n. 39 del 10/12/2012;

RICORDATO che la citata legge regionale disciplina l´«Abbattimento delle barriere architettoniche mediante realizzazione di ambienti per persone con disabilità grave negli edifici di edilizia residenziale in proprietà» e si applica «agli edifici di uso abitativo esistenti, di residenza della persona affetta da "handicap grave" di cui all´articolo 3, comma 3, della L. 104/1992 e di proprietà esclusiva di quest´ultima o del familiare di cui è fiscalmente a carico» (art. 4, comma 1);

CONSIDERATO che per dato personale si intende «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» (art. 4, comma 1, lett. b), del Codice) e che il nuovo Regolamento europeo in materia di protezione dei dati personali prevede che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all´ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del Regolamento del Parlamento Europeo 27 aprile 2016, n. 2016/679/UE «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)», già entrato in vigore e applicabile a decorrere dal 25/5/2018);

CONSIDERATO che per diffusione dei dati personali si intende «il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» (art. 4, comma 1, lett. m), del Codice);

CONSIDERATO che nel trattamento effettuato da soggetti pubblici i «dati idonei a rivelare lo stato di salute non possono essere diffusi» (art. 22, comma 8, del Codice; cfr., in tal senso, anche l´art. 65, comma 5, del Codice);

CONSIDERATO che anche la disciplina statale in materia di trasparenza prevede che «Restano fermi i limiti […] relativi alla diffusione dei dati idonei a rivelare lo stato di salute […]» (art. 7-bis, comma 6, del d. lgs. n. 33 del 14/3/2013, recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»);

RICHIAMATE, inoltre, le indicazioni fornite dal Garante con il Provvedimento n. 243 del 15 maggio 2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» (in G.U. 12 giugno 2014, n. 134 suppl. ord. n. 43 e in www.gpdp.it, doc. web n. 3134436), in cui si evidenzia che è «sempre vietata la diffusione di dati idonei a rivelare lo "stato di salute" (art. 22, comma 8, del Codice) […]» e che, in particolare, «è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l´esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici» (parte prima, parr. 2 e 9.e.; parte seconda, par. 1. Cfr., inoltre, i provvedimenti del Garante ivi citati in nota 49);

CONSIDERANDO che il destinatario del permesso di costruire citato nel provvedimento ha rappresentato a questa Autorità che il predetto permesso era finalizzato a effettuare lavori a beneficio della figlia minorenne affetta da un grave handicap;

CONSIDERANDO che, quanto alla possibilità di identificare anche indirettamente il soggetto interessato, il Garante ha ricordato che «In molti casi, […] in particolari ambiti (ad esempio, per campioni di popolazioni di ridotte dimensioni), la pubblicazione online anche solo di alcuni dati – come […] la residenza, […], la complessiva vicenda oggetto di pubblicazione, etc. – è sufficiente a individuare univocamente la persona cui le stesse si riferiscono e, dunque, a rendere tale soggetto identificabile mediante il collegamento con altre informazioni che possono anche essere nella disponibilità di terzi o ricavabili da altre fonti. Per rendere effettivamente "anonimi" i dati pubblicati online occorre, quindi, oscurare del tutto il nominativo e le altre informazioni riferite all´interessato che ne possono consentire l´identificazione anche a posteriori» (parte prima, par. 3, delle Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, cit.);

PRESO ATTO che la pubblicazione sul sito web istituzionale del Comune di XX del provvedimento del Settore edilizia ed attività produttive-servizio XX del XX ha causato una diffusione di dati idonei a rivelare lo stato di salute (art. 4, comma 1, lett. d), del Codice), in quanto il predetto provvedimento riporta in chiaro dati e informazioni che consentono di identificare indirettamente il soggetto portatore di handicap, considerando che sono indicati il nominativo del soggetto richiedente il permesso di costruire a favore del soggetto affetto da handicap, l´indirizzo di residenza e i dati catastali, nonché gli estremi della normativa regionale di riferimento (l.r. Puglia n. 39/2012), che prevede la concessione del permesso a favore di soggetto affetto da handicap grave, per gli edifici dove lo stesso è residente e di cui è proprietario esso stesso o il familiare di cui è fiscalmente a carico (cfr. anche art. 4, par. 1, n. 1, del Regolamento n. 2016/679/UE, cit.);

RILEVATA, pertanto, l´illiceità del trattamento effettuato dal Comune di XX in relazione all´avvenuta diffusione di dati idonei a rivelare lo stato di salute dell´interessato, in violazione dell´art. 22, comma 8, del Codice;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, ha il compito di «vietare anche d´ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco», nonché «di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento di dati personali»;

RITENUTO necessario, in ragione dell´illiceità del trattamento effettuato, vietare al Comune di XX, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l´ulteriore diffusione – sia attraverso la pubblicazione nello storico degli atti dell´Albo pretorio online che in qualsiasi altra parte del sito web istituzionale – dei dati e informazioni personali contenuti nel provvedimento del Settore edilizia ed attività produttive-servizio XX del XX relativo a permesso di costruire n. XX del XX nei confronti del Sig. XX, presente all´url http://...;

RITENUTO di valutare, con separato provvedimento, gli estremi per contestare al Comune di XX la sanzione amministrativa prevista dagli artt. 162, comma 2-bis, e 167, comma 2, del Codice, in relazione all´avvenuta diffusione di dati idonei a rivelare lo stato di salute, in violazione dell´art. 22, comma 8, del Codice;

TENUTO CONTO che, ai sensi dell´art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che ai sensi dell´art. 162, comma 2-ter, del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l´illiceità del trattamento dei dati effettuato dal Comune di XX nei termini indicati in premessa:

1) vieta, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, al Comune di XX l´ulteriore diffusione – sia attraverso la pubblicazione nello storico degli atti dell´Albo pretorio online che in qualsiasi altra parte del sito web istituzionale – dei dati e informazioni personali contenuti nel provvedimento del Settore edilizia ed attività produttive-servizio XX del XX relativo a permesso di costruire n. XX del XX nei confronti del Sig. XX, presente all´url indicato in premessa;

2) richiede al Comune di XX, ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nella motivazione del presente provvedimento e di fornire comunque riscontro entro trenta giorni dalla ricezione dello stesso. Si ricorda che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d. lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 5 luglio 2017

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia