lunedì 10 febbraio 2020

Gdpr e albo pretorio on line: Garante, illecito pubblicare dati sulla salute L'Autorità sanziona un Comune per 10mila euro

I Comuni, prima di pubblicare documenti sull'albo pretorio on line, devono accertarsi che siano oscurate tutte le informazioni che non possono essere diffuse, in particolare i dati sulla salute di una persona.

Lo ricorda il Garante per la privacy nel comminare una delle prime sanzioni a un ente locale ai sensi del nuovo Regolamento europeo in materia di dati personali (Gdpr).

Una persona si era rivolta al Garante perché sull'albo pretorio del proprio Municipio era stata pubblicata una determina dirigenziale che riportava la grave patologia per la quale aveva presentato un'istanza per il riconoscimento della causa di servizio.

L'Autorità ha accertato che le informazioni sull'infermità e sull'operazione subita dal reclamante erano liberamente accessibili a chiunque, ed ha sottolineato come anche la nuova normativa sulla privacy vieti la diffusione dei dati sulla salute di una persona.

Ha poi aggiunto che la pubblicazione sull'albo pretorio della delibera in chiaro conteneva un'ulteriore violazione, in quanto riportava anche le coordinate di conto corrente bancario dell'avvocato al quale dovevano essere liquidate le spese del procedimento.

Tale trattamento di dati era effettuato in contrasto con il principio di “minimizzazione” previsto dal Gdpr, secondo il quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

L'ente locale, a giustificazione del proprio operato, nel corso dell'istruttoria, ha affermato che il personale addetto era incorso in un mero errore materiale, e che l'amministrazione avrebbe provveduto a completare il percorso interno di adeguamento alla normativa privacy, al fine di non incorrere più in tali problemi.

Per tali motivi, alla luce delle nuove modalità indicate dal Gdpr e dal Codice privacy, l'Autorità ha adottato un provvedimento unico con il quale ha dichiarato l'illiceità del trattamento dei dati posto in essere dal Comune e contemporaneamente ha ordinato il pagamento di una sanzione amministrativa di 10.000 euro, calcolata tenendo conto anche delle giustificazioni addotte dall'ente locale. 

%%%%%%%%%%%%%%


[doc. web n. 9261227]

Ordinanza ingiunzione - 15 gennaio 2020



Registro dei provvedimenti
n. 3 del 15 gennaio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito RGPD);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo da parte del Sig. XX, in ordine alla pubblicazione sul sito web istituzionale del Comune di Francavilla Fontana di propri dati e informazioni personali.

Dalla verifica preliminare effettuata dall’Ufficio data 21/11/2018, è risultato che sul sito web istituzionale del predetto Comune, nella sezione dedicata all’Albo pretorio (url http://www....), era visibile e liberamente scaricabile la Determinazione XX, avente a oggetto «XX» (url http://...).

Con la determinazione dirigenziale sopracitata veniva disposta la liquidazione delle spese legali per un procedimento giudiziario in cui era stato parte il Comune di Francavilla Fontana e nella parte motiva risultavano riportati anche dati e informazioni personali del reclamante, con dettagliati riferimenti alle relative infermità per cause di servizio, come l’indicazione che lo stesso aveva «diritto all’equo indennizzo per XX».

Nella stessa deliberazione, inoltre, risultavano riportati anche le coordinate IBAN dell’avvocato incaricato dall’Ente.

Al riguardo, il Comune di Francavilla Fontana ha fornito riscontro alla richiesta di informazioni di questa Autorità (nota prot. n. 34076 del 21/11/2018) con la nota prot. n. 42180 del 28/11/2018.

Nello specifico, il Dirigente dott. XX ha, fra l’altro, rappresentato che:

- «per mero refuso e per mero errore materiale, contrariamente alle disposizioni operative impartite allo stesso personale addetto, è stato erroneamente pubblicato il documento XX [oggetto del reclamo]»;

- «Il suddetto documento, alla data attuale, non risulta più consultabile in Rete né con i normali motori di ricerca tantomeno con quelli propri del sito dell’ENTE come da evidenza sotto riportata (società incaricata alla gestione dell’albo pretorio e amministrazione trasparente PARSEC su repository esterna)».

- «con riferimento al tema della pubblicazione ON LINE da parte dei soggetti pubblici […] l’Amministrazione Comunale di Francavilla Fontana sta attuando un percorso di adeguamento al GDPR del proprio sistema gestionale e documentale – attività peraltro stimolata dal Responsabile della protezione dei dati che legge per conoscenza - anche per mezzo di specifici interventi formativi rivolti al personale con compiti di responsabilità in tema di GDPR»;

- «I due interventi formativi somministrati al personale operativo e con funzioni dirigenziali […] pur avendo sviscerato il tema della trasparenza amministrativa non hanno tuttavia potuto impedire l’errore umano per il quale si stano ulteriormente rafforzando le misure di controllo interno»;

- «Si è provveduto […] a disabilitare l’opzione software che consente l’ostensione degli atti amministrativi per un periodo superiore ai 15 giorni (nel caso dell’albo pretorio) decorsi i quali i medesimi vengono archiviati e consultabili esclusivamente da personale interno».

2. Normativa applicabile.

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» (art. 4, par. 1, n. 1, del RGPD). Inoltre, «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (ibidem).

In tale quadro, il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 del RGPD, fra cui quelli di «minimizzazione dei dati», secondo il quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. c).

In ogni caso, resta assolutamente vietata la diffusione di dati relativi alla salute (art. 2-septies, comma 8, del Codice, cfr. anche art. 9, parr. 1, 2 e 4, del RGPD), ossia di «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35, del RGPD).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

In via preliminare, si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

In tale quadro, dalle verifiche compiute sulla base degli elementi acquisiti, anche attraverso la documentazione inviata dal Comune, e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio ha accertato che il Comune di Francavilla Fontana con la pubblicazione integrale sito web istituzionale, nella sezione dedicata all’Albo pretorio, della Determinazione XX, avente a oggetto «XX» (url http://...) ha effettuato un trattamento non conforme alla disciplina rilevante in materia di protezione dei dati personali.

Pertanto, si è proceduto alla notifica delle violazioni effettuate, prevista dall’art. 166, comma 5, del Codice, al Comune di Francavilla Fontana, comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del RGPD e invitando il predetto Comune a inviare al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Esito dell’istruttoria relativa al reclamo presentato

Dalle ricerche esperite all’Ufficio del protocollo non risulta pervenuto alcun riscontro da parte del Comune di Francavilla Fontana, né l’invio al Garante di scritti difensivi o di richiesta di audizione, in relazione alla citata notifica dell’avvio del procedimento effettuata ai sensi dell’art. 166, comma 5, del Codice.

Pertanto, considerando che, con riferimento al caso di specie, le argomentazioni addotte dal Comune nel riscontro alla richiesta d’informazioni dell’Ufficio, non risultano idonee a determinare l’archiviazione del procedimento, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Francavilla Fontana, per aver diffuso, tramite la pubblicazione sull’albo pretorio online della Determinazione XX (avente a oggetto «XXX»):

- dati sulla salute del Sig. XX, con dettagliati riferimenti alle relative infermità per cause di servizio, in violazione dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. c); 9, parr. 1, 2 e 4, del RGPD, nonché dell’art. 2-septies, comma 8, del Codice;

- dati personali non «limitati a quanto necessario rispetto alle finalità» del trattamento, con riferimento alla indicazione in chiaro delle coordinate IBAN dell’avvocato incaricato dall’Ente, in violazione dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. c, del RGPD.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

La violazione degli artt. 5, par. 1, lett. c); 9, parr. 1, 2, 4 del RGPD, e dell’art. 2-septies, comma 8, del Codice, causata dalla condotta posta in essere dal Comune di Francavilla Fontana sopra rilevata, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) del RGPD.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i); 83 del RGPD nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso» e, in tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In relazione ai predetti elementi, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di dati relativi alla salute del reclamante con specificazione della patologia sofferta e dell’XX, nonché dati relativi al codice IBAN del professionista incaricato dal Comune. La diffusione si è protratta per un periodo superiore a due mesi. Il Comune di Francavilla Fontana ha rappresentato che la violazione sarebbe stata causata da un errore materiale degli addetti alla compilazione degli atti deliberativi, con conseguente carattere colposo della violazione. Il Comune si è attivato per rimuovere i dati personali dei soggetti interessati appena ricevuta la richiesta di informazioni da parte del Garante ed ha quindi collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD. Non risultano, inoltre, eventuali precedenti violazioni del RGPD pertinenti commesse dal Comune di Francavilla Fontana.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, par. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, lett. a) del RGPD, nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 5, par. 1, c); 9, parr. 1, 2, 4 del RGPD, e dell’art. 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

Si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 166, comma 7, del Codice, si dispone la pubblicazione del presente provvedimento sul sito Internet del Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rileva l’illiceità del trattamento effettuato dal Comune di Francavilla Fontana e ai sensi degli artt. 58, par. 2, lett. i); 83 del RGPD, nonché 166 del Codice

ORDINA

al Comune di Francavilla Fontana, in persona del legale rappresentante pro-tempore, con sede legale in Via Municipio n. 4, c.a.p. 72021, Francavilla Fontana (BR) – C.F. 00176620748 di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente paragrafo;

INGIUNGE

al medesimo Comune di pagare la somma di euro 10.000,00 (diecimila) – fermo restando quanto disposto dal citato art. 166, comma 8, del Codice – secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che, ai sensi dell’art. 166, comma 8, del Codice, «Entro il termine di cui all’articolo 10, comma 3, del decreto legislativo n. 150 del 2011 previsto per la proposizione del ricorso, il trasgressore e gli obbligati in solido possono definire la controversia adeguandosi alle prescrizioni del Garante, ove impartite, e mediante il pagamento di un importo pari alla metà della sanzione irrogata».

Si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 166, comma 7, del Codice, si dispone la pubblicazione del presente provvedimento sul sito Internet del Garante.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 gennaio 2020

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia