No, tale diffusione non è ammissibile.
I dati di coloro che richiedono benefici economici vanno protetti in modo particolare per non rivelare la condizione di disagio economico e sociale delle persone interessate.
L’intervento del Garante
Con l’Ordinanza ingiunzione del 22 luglio 2021 il Garante per la Protezione dei Dati Personali ha imposto alla Regione Lombardia il pagamento della somma di euro 200.000,00 (duecentomila).
L’Autorità ha accertato che la Regione Lombardia aveva diffuso sul sito web istituzionale i dati personali di più di centomila studenti, i quali avevano richiesto borse di studio statali o sussidi economici per l’acquisto di libri di testo, dotazioni tecnologiche e strumenti per la didattica. Tenuto conto che per accedere al contributo occorreva essere in possesso di un valore ISEE non superiore a circa 15.000 euro e l’entità dei benefici era minima (sotto ai 1000 euro) la diffusione on line aveva come effetto immediato quello di rivelare la condizione di disagio economico degli interessati.
Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, dall’home page del sito web istituzionale della predetta Regione, tramite il percorso «XX»/«XX», si apriva la pagina web dedicata al «XX». Dai link inseriti nella parte dedicata alle «Comunicazioni», e precisamente alla comunicazione datata XX (url: https://…), era possibile visualizzare e scaricare i seguentidocumenti:
1) «XX» (url: https://….). Tale elenco riportava in chiaro dati riferiti a n. 23.975 soggetti interessati, quali Id domanda, nominativo del richiedente, classe dello studente, codice e denominazione della scuola, numero della domanda;
2) «XX» (url: https://…). Tale elenco riportava in chiaro dati riferiti a n. 59.989 soggetti interessati, quali Id domanda, nominativo del richiedente, classe dello studente, codice e denominazione della scuola, numero della domanda;
3) «XX» (url: https://…). Tale elenco riportava in chiaro dati riferiti a n. 20143 soggetti interessati, quali Id domanda, nominativo del richiedente, classe dello studente, codice e denominazione della scuola, numero della domanda;
4) «XX» (url: https://…). Tale elenco riportava in chiaro dati riferiti a n. 57 soggetti interessati, quali Id domanda, nominativo del richiedente, classe dello studente, codice e denominazione della scuola, numero della domanda.
Nello specifico, dall’home page del sito istituzionale della Regione era possibile consultare e scaricare l’elenco delle domande ammesse e finanziate, quello delle domande ammesse da finanziare, l’elenco dei beneficiari di borsa di studio statale e quello delle domande non ammesse. Tali liste riportavano dati personali quali l’Id della domanda, il nominativo del richiedente, la classe dello studente, il codice e la denominazione della scuola, il numero della domanda.
L’Autorità ha ribadito che i soggetti pubblici, nel rispettare gli obblighi di trasparenza, possono diffondere dati personali solo se tale operazione è prevista da una norma di legge o di regolamento, nei casi previsti dalla legge e sempre nel rispetto dei principi in materia di protezione dei dati come, ad esempio, il principio di minimizzazione. Tali indicazioni sono già contenute nelle Linee Guida emanate dal Garante del 2014.
Cosa dice la normativa?
La normativa statale di settore in materia di trasparenza prevede, con riferimento agli «obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati», che «Le pubbliche amministrazioni pubblicano gli atti di concessione delle sovvenzioni, contributi, sussidi ed ausili finanziari […], e comunque di vantaggi economici di qualunque genere a persone […] di importo superiore a mille euro» nel corso dell’anno solare. In ogni caso, «È esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati» (art. 26, commi 2-4, del d. lgs. n. 33 del 14/3/2013).
In ordine alla diffusione online di dati personali di soggetti beneficiari di contributi economici, fin dal 2014, il Garante ha fornito specifiche indicazioni alle pubbliche amministrazioni sulle cautele da adottare, con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).
Nelle Linee guida del Garante sopra citate, è espressamente sancito, con riferimento all’obbligo di pubblicazione degli atti di concessione di benefici economici (parte prima, par. 9.e), che «lo stesso d. lgs. n. 33/2013 individua una serie di limiti all’obbligo di pubblicazione di atti di concessione di benefici economici comunque denominati. Non possono, infatti, essere pubblicati i dati identificativi delle persone fisiche destinatarie dei provvedimenti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici, nonché gli elenchi dei relativi destinatari:
a) di importo complessivo inferiore a mille euro nel corso dell’anno solare a favore del medesimo beneficiario;
[…]
c) di importo superiore a mille euro nel corso dell’anno solare a favore del medesimo beneficiario “qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati” (art. 26, comma 4, d. lgs. n. 33/2013)».
Inoltre, la normativa statale di settore in materia di trasparenza esclude, in ogni caso, la pubblicazione dei dati dei destinatari dei provvedimenti, qualora da tali dati sia possibile ricavare informazioni sulla situazione di disagio degli interessati.
Riscontrato l’illecito, il Garante ha sanzionato la Regione per 200.000 euro, tenendo conto dell’alto numero di persone i cui dati sono stati diffusi e del periodo di quasi 11 mesi in cui è avvenuta l’infrazione, ritenuta comunque di natura colposa. A seguito dell’intervento dell’Autorità, la Regione ha prontamente rimosso dal sito istituzionale i dati personali oggetto di violazione.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.