g-docweb-display Portlet

Provvedimento del 17 dicembre 2020 [9559923]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9559923]

Provvedimento del 17 dicembre 2020

Registro dei provvedimenti
n. 277 del 17 dicembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo in ordine alla diffusione sul sito web istituzionale del Comune di Soverato di dati personali, anche relativi alla salute, della Sig.ra XX (di seguito “il reclamante”).

Nello specifico, dalla verifica preliminare effettuata dal Dipartimento, è emerso che il predetto Comune a seguito di apposito «XX», ha pubblicato sul sito web istituzionale i seguenti documenti:

1) Determina n. XX del XX del settore VIII “demografico - polizia municipale – sociale”, avente a oggetto «XX» (url: http://...;

2) «VXX» (url: http://...);

3)  «XX» (url: http://....

Al riguardo, il file, sopra identificato al n. 3, conteneva la graduatoria di tutte le domande presentate ed esaminate dall’ente, con indicazione in chiaro del nome e cognome dei soggetti che hanno presentato la domanda, del punteggio e della graduatoria dei vincitori.

Con particolare riferimento al reclamante, è specificamente indicato il nominativo e la circostanza che lo stesso è stato escluso, perché «la patologia non consente l’autodeterminazione».

2. Normativa applicabile.

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

In tale quadro, si rappresenta che, è vietata la diffusione di dati relativi alla salute (art. 2-septies, comma 8, del Codice; cfr. anche art. 9, parr. 1, 2 e 4, del RGPD), ossia di «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35, del RGPD). Il trattamento dei dati personali deve, inoltre, avvenire nel rispetto dei principi indicati dall’art. 5 del RGPD, fra cui quelli di «liceità, correttezza e trasparenza» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «trattati in modo lecito, corretto e trasparente nei confronti dell'interessato» nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. a e c).

Al riguardo, si ricorda che, sin dal 2014, il Garante ha evidenziato che per dato idoneo a rivelare lo stato di salute non si intende solo l’indicazione della patologia, ma qualsiasi informazione «da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici» (cfr. Linee guida in materia di trasparenza, parte prima, par. 2 e parte seconda, par. 1; nonché provvedimenti ivi citati in nota n. 5).

Nelle predette Linee guida del Garante, con particolare riferimento alle graduatorie dei disabili, è, inoltre, indicato che, poiché non possono formare oggetto di pubblicazione «i riferimenti a condizioni di invalidità, disabilità o handicap fisici e/o psichici», al fine di consentire in ogni caso la consultazione delle graduatorie agli aventi diritto «le stesse possono […] essere messe a disposizione degli interessati in aree ad accesso selezionato dei siti web istituzionali consentendo la consultazione degli esiti delle prove o del procedimento ai soli partecipanti alla procedura concorsuale o selettiva mediante l´attribuzione agli stessi di credenziali di autenticazione (es. username o password, numero di protocollo o altri estremi identificativi forniti dall´ente agli aventi diritto, oppure mediante utilizzo di dispositivi di autenticazione, quali la carta nazionale dei servizi)» (parte seconda, par. 3.b).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Soverato, con la pubblicazione integrale del documento intitolato «XX» relativo alla selezione per la realizzazione di progetti a favore delle persone con disabilità, ha causato la diffusione di dati e informazioni personali relativi salute del reclamante e di tutti i soggetti disabili che hanno presentato la domanda per la realizzazione di progetti di vita indipendente, effettuando un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando il predetto ente a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

Con la nota prot. n. XX del XX il Comune di Soverato ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, è stato evidenziato, fra l’altro che:

- «l’ente, appena avuta comunicazione da parte [del Garante] ha prontamente oscurato gli atti ritenuti lesivi, che pertanto non sono più visibili dalla data del XX»;

- «La gravità della violazione contestata tuttavia è da ritenersi lieve, poiché la semplice indicazione del nome e cognome non rende identificabile univocamente, direttamente o indirettamente, una persona fisica se non associata ad altri elementi identificativi, quali ad esempio la data e il luogo di nascita, residenza, la dimora, il domicilio, il codice fiscale»;

- «Nel caso che ci occupa è stato pubblicato solo il nome e cognome senza nessun altro elemento idoneo ad indentificare la persona fisica»;

- «A tal proposito si evidenzia che l’avviso pubblico per la realizzazione di progetti a favore di persone con disabilità, volto all’elargizione di contributi per l’eliminazione delle barriere architettoniche, era rivolto ad una platea particolarmente ampia, costituita da tutti i disabili residenti nei comuni dell’ambito territoriale, circa 15, di cui Soverato è capofila»,

- «Il dato pubblicato ha riguardato solo il nome e cognome dei partecipanti e nessun riferimento è stato fatto relativamente al comune di residenza, o ad altro elemento che permettesse l’identificazione certa dei partecipanti»;

- «La natura della violazione contestata ha certamente carattere colposo ed è dovuta ad una negligenza del responsabile del settore interessato nel controllo dei file inviati all’ufficio preposto per la pubblicazione. In realtà, per un errore materiale è risultata pubblicata la graduatoria integrale anziché quella riportante gli omissis»;

- «Sono state messe in atto le seguenti misure tecniche ed organizzative:

•  È stato effettuato un breve corso formativo specifico, avente in argomento le modalità di pubblicazione, sul sito web istituzionale del Comune, di dati identificativi di persone fisiche destinatarie di benefici economici, da cui è possibile ricavare informazioni relative allo stato di salute e alla situazione di disagio economico-sociale.

• Ai Responsabili sono state date istruzioni per la corretta pubblicazione degli atti contenenti dati sensibili con avvertenza di consegnare gli stessi al personale addetto alla pubblicazione, completi degli oscuramenti reputati necessari e di effettuare un controllo degli atti pubblicati subito dopo la pubblicazione, per evitare eventuali errori;

• Sono state date istruzioni specifiche al personale deputato alla pubblicazione degli atti sul sito web istituzionale del Comune, di assicurarsi della correttezza del file da allegare alla pubblicazione, eventualmente se possibile anche leggendone il contenuto, nelle parti ove compaiano dati personali, e in caso di dubbi contattare il Responsabile prima della pubblicazione»;

- «Si segnala l’assoluta buona fede dell’Ente nel caso che ci occupa e la volontà di evitare qualsiasi evento lesivo da ricollegarsi allo stesso»;

- «Si evidenzia che molto spesso gli uffici sono deputati all’assolvimento di numerosi adempimenti, anche contemporanei cosicché è possibile che, allo scopo di assicurare gli stessi, si commettano errori tecnici, causati tuttavia, non già da dolo, ma piuttosto dalla necessità di rispondere celermente alle diverse incombenze, tutte ugualmente fondamentali ed urgenti».

5. Esito dell’istruttoria relativa alla segnalazione presentata

Nello specifico caso sottoposto all’esame del Garante, oggetto di lamentela da parte del reclamante risulta essere la diffusione dei propri dati personali relativi alla salute contenuti nel file denominato «XX.pdf» (url http://...), del «XX» – relativo alla selezione per la realizzazione di progetti a favore delle persone con disabilità – con indicazione in chiaro del nome e cognome di tutti i soggetti disabili che hanno presentato la domanda, del punteggio e della graduatoria dei vincitori e specifica indicazione che il reclamante (con indicazione del nominativo) è stato escluso, perché «la patologia non consente l’autodeterminazione».

Il Comune di Soverato, nelle memorie difensive, ha confermato l’avvenuta diffusione online dei dati personali del reclamante, evidenziando – quanto al merito della violazione contestata – che «la semplice indicazione del nome e cognome non rende identificabile univocamente, direttamente o indirettamente, una persona fisica se non associata ad altri elementi identificativi, quali ad esempio la data e il luogo di nascita, residenza, la dimora, il domicilio, il codice fiscale».

Tale assunto non è condivisibile, in quanto non è conforme alla disciplina in materia di protezione dei dati personali ed è contraria proprio alla stessa definizione di «dato personale» e di soggetto «interessato» di cui all’art. 4, par. 1, n. 1, del RGPD, prima richiamato (cfr. supra par. 2). In base al citato art. 4, infatti, anche solo il nome e cognome di una persona fisica – come quello pubblicato online riferito al reclamante – costituisce un «dato personale», indipendentemente dal fatto che sia o meno accompagnato da alti elementi, quali ad esempio l’indicazione del comune di residenza, come sostenuto nelle memorie difensive.

In ogni caso, il Comune ha evidenziato che la condotta non è stata intenzionale, ma frutto di un errore, e che si è provveduto alla rimozione dei dati personali dal sito web appena ricevuta la comunicazione del Garante.

Tali elementi, seppure meritevoli di considerazione, non consentono tuttavia di superare i rilievi notificati dall’Ufficio con la nota prot. n. XX del XX e non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro nessuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche tenendo conto che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza, ha fornito a tutti i soggetti pubblici specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali degli interessati, anche con riferimento al divieto di diffusione di dati idonei a rivelare lo stato di salute (cfr. parte prima, par. 2; parte seconda, par. 1; nonché provvedimenti ciati in nota n. 5).

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Soverato, in quanto a seguito della pubblicazione integrale del documento intitolato «XX» relativo alla selezione per la realizzazione di progetti a favore delle persone con disabilità, allegato alla Determina n. XX del XX del settore VIII “demografico - polizia municipale – sociale”, sopra identificato nel par. 1 al n. 3, ha causato la diffusione di dati e informazioni personali relativi salute contenuti nella predetta graduatoria: del reclamante (avendo indicato che lo stesso è affetto da una patologia che non consente l’autodeterminazione) e di tutti i soggetti disabili che hanno presentato la domanda per la realizzazione di progetti di vita indipendente. Tale diffusione sul sito web istituzionale dei dati sulla salute dei soggetti disabili viola i principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4, del RGPD, nonché dell’art. 2-septies, comma 8, del Codice.

Considerato, comunque, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha provveduto a rimuovere dal sito web istituzionale i dati personali del reclamante e degli altri soggetti disabili che hanno presentato la domanda prima descritti, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

Il Comune di Soverato risulta pertanto aver violato gli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4, del RGPD, nonché dell’art. 2-septies, comma 8, del Codice.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate è soggetta alla stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Occorre altresì tenere conto che, seppure i documenti oggetto del reclamo pubblicati online risalgono a giugno 2019, per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che sancisce come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del 25/5/2018 in cui il RGPD è divenuto applicabile. Dagli atti dell’istruttoria è, infatti, emerso che l’illecita diffusione online si è protratta – secondo quanto riportato nelle memorie difensive del Comune – fino maggio 2020.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, va considerato che la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di dati relativi alla salute appartenenti, quindi, a categorie particolari di dati personali di cui all’art. 9 del RGPD, riferiti a nove soggetti interessati (ossia tutti i soggetti disabili presenti in graduatoria che hanno presentato domanda) e si è protratta per quasi un anno. Il Comune di Soverato, che in ogni caso è un ente di piccole dimensioni con poco meno di 9.000 abitanti, si è attivato per oscurare i dati personali oggetto del reclamo, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione – il cui carattere appare di natura colposa – attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte alcune misure tecniche e organizzative messe in atto dall’ente ai sensi degli artt. 25-32 del RGPD. Non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dal citato Comune.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 15.000,00 (quindicimila) per la violazione degli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4, del RGPD, nonché dell’art. 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative all’illecita diffusione di dati sulla salute sul web di graduatorie riferite a soggetti disabili, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Soverato nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché 166 del Codice

ORDINA

al Comune di Soverato, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Maria Ausiliatrice n. 8 - 88068 Soverato (CZ) – C.F. 84000610794 di pagare la somma di euro 15.000,00 (quindicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

al medesimo Comune di pagare la somma di euro 15.000,00 (quindicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

-  la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l’annotazione nel registro interno dell’Autorità ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 dicembre 2020

IL PRESIDENTE
Stanzioene

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei