18/02/2020 – Le ultime indicazioni del Garante per la protezione dei dati personali in ambito pubblico

di Amedeo Di Filippo – Dirigente comunale

 

Col Provvedimento n. 1 del 9 gennaio il Garante della privacy esamina la notifica di violazione dei dati personali da parte della Provincia autonoma di Trento che ha informato tramite mail alcune famiglie della possibile esclusione dalla frequenza delle scuole dell’infanzia e dei servizi educativi per la prima infanzia dei loro bambini in quanto risultavano non in regola con gli obblighi vaccinali. Nella suddetta mail venivano portati con piena visibilità gli indirizzi di tutti i genitori destinatari della comunicazione, anziché procedere con l’inoltro personalizzato.

Secondo il Garante, le informazioni oggetto della mail sono qualificabili come dati relativi alla salute di minori, poiché tra i soggetti non in regola potrebbero esservi ricompresi quelli rientranti nei casi di esonero, omissione o differimento connesse a situazioni di morbilità, pregresse o attuali, temporanee o permanenti. Il trattamento di tali dati è in generale vietato, salvo casi espressi, posto che le informazioni sullo stato di salute devono essere trattate sulla base di un idoneo presupposto giuridico.

Il problema non si sarebbe posto, secondo il Garante, se la comunicazione indirizzata a un numero plurimo di destinatari fosse stata inserita non nel campo copia conoscenza (c/c) della mail, che ha rivelato reciprocamente alle famiglie coinvolte lo stato di inadempimento dei minori rispetto agli obblighi vaccinali, ma nel campo denominato “copia conoscenza nascosta” (ccn).

Questo semplice accorgimento non è stato seguito per cui il Garante dichiara illecito il trattamento dei dati e ammonisce la Provincia autonoma “sulla necessità di conformare i trattamenti di dati personali che comportano l’invio di comunicazioni a mezzo posta elettronica alle disposizioni e ai principi in materia di protezione dei dati personali indicati in motivazione”.

 

L’ordinanza ingiunzione n. 3 del 15 gennaio invece esamina un reclamo presentato in ordine alla pubblicazione sull’Albo pretorio di un Comune di una determinazione con cui veniva disposta la liquidazione delle spese legali per un procedimento giudiziario in cui risultavano riportati anche dati e informazioni personali del reclamante, con dettagliati riferimenti alle relative infermità per cause di servizio, e alle coordinate IBAN dell’avvocato incaricato dall’ente.

Il Comune è difeso sostenendo che si era trattato di un mero errore materiale, che il documento non risultava più consultabile in rete con i normali motori di ricerca e che stava attuando un percorso di adeguamento al GDPR del proprio sistema gestionale e documentale.

Argomentazioni che il Garante ritiene non idonee a determinare l’archiviazione del procedimento, per cui rileva l’illiceità del trattamento di dati personali, soggetta all’applicazione di una sanzione amministrativa pecuniaria, la cui entità viene quantificata in ragione degli elementi riscontrati: la diffusione si è protratta per un periodo superiore a due mesi; il Comune ha rappresentato che la violazione sarebbe stata causata da un errore materiale degli addetti alla compilazione degli atti deliberativi, con conseguente carattere colposo della violazione; si è inoltre attivato per rimuovere i dati personali dei soggetti interessati appena ricevuta la richiesta di informazioni da parte del Garante e ha collaborato nel corso dell’istruttoria al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; nel riscontro al Garante sono state descritte diverse misure tecniche e organizzative messe in atto; non risultano precedenti violazioni.

In ragione dei suddetti elementi, l’ammontare della sanzione è quantificata nella misura di 10 mila euro, da pagare entro 30 giorni dalla notifica del provvedimento. Ricorda che entro il termine previsto per la proposizione del ricorso, il trasgressore e gli obbligati in solido possono definire la controversia mediante il pagamento di un importo pari alla metà della sanzione irrogata.

Il trattamento dei dati effettuati per fini statistici di interesse pubblico rilevante sconta un regime giuridico peculiare, in quanto trova fondamento nell’art. 6-bis, comma 1-bis, D.Lgs. n. 322/1989, che affida al Programma statistico nazionale (PSN) il compito di specificare i tipi di dati, le operazioni eseguibili e le misure adottate per tutelare i diritti fondamentali e le libertà degli interessati, qualora non siano individuati da una disposizione di legge o di regolamento. Il PSN, adottato sentito il Garante per la protezione dei dati personali, indica inoltre le misure tecniche e organizzative idonee a garantire la liceità e la correttezza del trattamento, con particolare riguardo al principio di minimizzazione dei dati, e, per ciascun trattamento, le modalità, le categorie dei soggetti interessati, le finalità perseguite, le fonti utilizzate, le principali variabili acquisite, i tempi di conservazione e le categorie dei soggetti destinatari dei dati.

La novità è che la Legge n. 205/2017 ha attribuito all’Istat il compito di realizzare il censimento permanente della popolazione e delle abitazioni, così superando la logica della rilevazione decennale in favorfe di una cadenza annuale. L’ulteriore novità è che il Garante ha espresso parere non favorevole sullo schema di PSN 2017-2019, proprio in relazione ai lavori statistici connessi all’attuazione del censimento permanente.

Il Garante si è riservato di proseguire gli approfondimenti, anche in collaborazione con Istat, volti a conformare i trattamenti alla normativa in materia di protezione dei dati personali. Di seguito gli ambiti maggiormente critici analizzati dal Provvedimento n. 10 del 23 gennaio, alcuni dei quali superati.

Circa le modalità di realizzazione del censimento permanente, l’Istat utilizza molteplici fonti per gli scopi censuari, così riducendo il “fastidio statistico” tipico delle rilevazioni censuarie e i costi connessi ma aumentando i rischi connessi a tali trattamenti per i diritti e le libertà fondamentali degli interessati.

Il Garante così invoca il perseguimento di alcuni principi: oltre quello di minimizzazione dei dati, si concentra sulla loro pseudonimizzazione, criticando l’attribuzione di un codice univoco alle singole unità statistiche nella fase di raccolta e prima elaborazione dei dati per le operazioni censuarie ma non ritenendolo sufficiente a garantire un’efficace attuazione degli altri principi applicabili al trattamento dei dati personali, in quanto: il meccanismo di codifica conferisce ai dati una struttura rigida ed espone al rischio che, nel selezionare i dati, vengano trattate anche informazioni riferite ad un singolo interessato non pertinenti rispetto allo scopo perseguito; il mantenimento del codice univoco nel tempo impedisce di differenziare i tempi di conservazione dei dati in relazione alle diverse finalità statistiche perseguite.

Da qui la necessità di introdurre un meccanismo di disaccoppiamento gerarchico dei codici nelle varie basi di dati e di rotazione degli stessi nel tempo.

Il Garante poi si sofferma sull’obbligo per l’Istat di definire le modalità di restituzione, in forma aggregata, ai Comuni delle informazioni raccolte nell’ambito del censimento. Indicazioni che non risultano nel Piano generale di censimento e che pertanto l’Istituto è invitato a integrare.

Tra le criticità superate, il Garante segnala in particolare quelle relative al ruolo degli uffici provinciali e comunali di censimento, in quanto l’Istat ha ben evidenziato che le Province e i Comuni, rispettivamente nella persona del responsabile dell’ufficio provinciale di censimento e del responsabile dell’ufficio comunale di censimento, sono responsabili del trattamento dei dati personali. Siffatta struttura organizzativa appare al Garante “tale da escludere, in astratto, che soggetti terzi non autorizzati siano coinvolti nelle operazioni censuarie”.