Illecita diffusione on line di dati su sito di un Comune
Il Comune di Messina pubblicava sul proprio sito istituzionale on line le graduatorie con i nomi e cognomi in chiaro delle persone invalide o in stato di disagio che aveva ottenuto le esenzioni o riduzioni della tassa sui rifiuti 2015.
Un cittadino segnalava la possibile violazione della normativa privacy al Garante privacy che attivava un procedimento istruttorio.
Il Garante ha verificato che due graduatorie, consultabili e scaricabili liberamente da alcuni link presenti sul sito del Comune, riportavano in chiaro dati e informazioni personali di 3447 persone, ordinati in base alla situazione e economica.
Il Garante ha evidenziato come, nel primo elenco fossero indicati il nome e cognome, la data di nascita, il codice fiscale, il numero dei componenti del nucleo familiare di 3269 persone con reddito Isee familiare fino a 8mila euro.
Il Garante ha sottolineato come nel secondo elenco, fossero riportati gli stessi dati personali di altre 178 persone invalide al cento per cento e con Isee fino a 10mila euro.
Il Garante ha richiamato il divieto di diffusione di «dati idonei a rivelare lo stato di salute non possono essere diffusi» (art. 22, comma 8, del Codice; cfr., in tal senso, anche l’art. 65, comma 5, del Codice) e ha approfondito i profili normativi in materia.
Il Garante ha osservato come, in materia di trasparenza che «Restano fermi i limiti […] relativi alla diffusione dei dati idonei a rivelare lo stato di salute […]» (art. 7-bis, comma 6, D.Lgs. 14 marzo 2013, n. 33, recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»).
Il Garante ha rappresentato come in riferimento agli «obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati», il testo unico sulla trasparenza prevede che: «E’ esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative»: «allo stato di salute» o «alla situazione di disagio economico-sociale degli interessati» (art. 26, comma 4, D.Lgs. n. 33 del 2013).
Il Garante ha richiamato la propria posizione in materia di diffusione on line di dati da parte degli enti pubblici e ha citato , recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» (in G.U. 12 giugno 2014, n. 134 s.o. n. 43 e in www.gpdp.it, doc. web n. 3134436), il Provvedimento 15 maggio 2014, n. 243.
Il sopra citato provvedimento conferma che è «sempre vietata la diffusione di dati idonei a rivelare lo “stato di salute” (art. 22, comma 8, del Codice) […]» e che, in particolare, «è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici» (parte prima, parr. 2 e 9.e.; parte seconda, par. 1. Cfr., inoltre, i provvedimenti del Garante ivi citati in nota 49).
Il Garante alla luce della normativa in materia ha rilevato l’illiceità del trattamento dei dati effettuato dal Comune di Messina e ha vietato, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, al Comune di Messina l’ulteriore diffusione – sia attraverso la pubblicazione nell’area denominata «Amministrazione trasparente» che in qualsiasi altra parte del sito web istituzionale – dei dati personali contenuti negli allegati – intitolati «…» ed « …» – alla citata Determinazione del Dirigente del Dipartimento Politiche sociali n. XX del XX, scaricabili anche da altra url del sito..
Il Garante ha prescritto per il futuro, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, al Comune di Messina di adottare gli opportuni accorgimenti nella pubblicazione di atti e documenti online al fine di rispettare il divieto di diffondere dati identificativi di persone fisiche destinatarie di benefici economici da cui è possibile ricavare informazioni relative allo stato di salute e alla situazione di disagio economico-sociale (artt. 19, comma 3, 22, comma 8, del Codice; art. 26, comma 4, D.Lgs. n. 33 del 2013. Cfr. anche Linee guida, cit., parte prima, par. 2, par. 9.e.; parte seconda, par. 1).
Il Garante ha richiesto al Comune di Messina, ai sensi dell’art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nel provvedimento in esame e di fornire comunque riscontro entro trenta giorni dalla ricezione dello stesso. Il Garante privacy richiama l’attenzione sul fatto che il mancato riscontro alla richiesta ex art. 15 del Codice privacy sia punito con la sanzione amministrativa di cui all’art. 164 dello stesso Codice.
Il provvedimento in esame è di interesse in quanto approfondisce la problematica della pubblicazione on line delle graduatorie e richiama l’attenzione degli enti pubblici sulla base normativa per la diffusione on line dei dati, sulle scelte delle pa in materia nell’ottica già del principio del regolamento privacy europeo n. 679 del 2016 di “accountability”, responsabilizzazione del comune,titolare del trattamento attraverso la dimostrazione dell’ adozione di misure organizzative, tecniche, giuridiche, economiche, del monitoraggio delle misure adottate e dell’applicazione dei principi di privacy by default e privacy by design e dell’istituto della valutazione di impatto privacy.
Le pubbliche amministrazioni sottovalutano i rischi di violazioni connesse alla pubblicazione on line dei dati sul sito; si tratta di profili che possono essere facilmente controllati e verificati dal Garante per la protezione dei dati personali da remoto, Garante che ha recentemente sottoscritto l’aggiornamento del protocollo di Intesa con la Guardia di Finanza al fine di rafforzare ispezioni e controlli.
Si sottolinea, come le sanzioni del Garante privacy nei confronti delle pa siano effettive e rapide, si richiama a riguardo la sanzione amministrativa comminata nell’ottobre 2017 alla Regione Valle di Aosta di importo pari a centomila euro a seguito dell’ illecita diffusione di dati on line contenuti in una delibera relativa alla mobilità pubblicata sul sito istituzionali.
Provv. 12 aprile 2018, Garante per la Protezione dei Dati personali
