Il Garante della Protezione dei dati personali riceveva un reclamo da parte di una persona fisica che contestava una violazione della normativa in materia di protezione dei dati personali da parte di un Comune.
La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali del reclamante, anche relativi alla salute, contenuti nel testo e nell’oggetto della citata determinazione di liquidazione n. X del reclamante pubblicata online sul sito web istituzionale del Comune.
Il contenuto della determinazione di liquidazione
La determinazione pubblicata sull’albo pretorio dell’Ente ha ad oggetto la liquidazione di un contributo erogato per l’interventi di eliminazione di barriere architettoniche eseguito presso l’abitazione di un cittadino portatore di handicap.
Tuttavia, la determinazione non riporta solamente dati economici o dati “anonimi” ma riporta in chiaro sia nel testo sia nell’oggetto i dati e le informazioni personali, quali il nominativo dell’interessato e del padre a suo carico con indicazione della relativa situazione di disabilità di quest’ultimo in quanto portatore di handicap.
Inoltre, sono presenti l’indicazione dell’alloggio oggetto dell’intervento con indicazione dell’indirizzo del soggetto disabile, dei singoli lavori effettuati (compresi i riferimenti dettagliati alle fatture e l’indicazione delle imprese di lavori che ha eseguito l’intervento).
La normativa in materia di protezione di dati personali
Ai sensi dell’art. 4, par.1, n.1 del RGPD (Regolamento Europeo 2016/679) dato personale è: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»);
si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;”
In questo quadro bisogna comunque ricordare che è in ogni caso vietata la diffusione di dati relativi alla salute (art. 2-septies, comma 8, del Codice; cfr. anche art. 9, parr. 1, 2, 4, del RGPD), ossia di: “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par.1, n. 15; considerando n. 35 del RGPD).”
Con riferimento al caso sottoposto all’attenzione del Garante è necessario ricordare che i soggetti pubblici, come il Comune, possono diffondere “dati personali” solo se tale operazione è prevista da “una norma di legge o, nei casi previsti dalla legge, di regolamento” (art. 2 -ter, commi 1 e 3 del D.lgs 196/2003 aggiornato al D.lgs 101/2018), nel rispetto – in ogni caso- dei principi in materia di protezione dei dati, fra i quali quello di “minimizzazione”.
Il principio di minimizzazione
In base a questo principio, i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c, del RGPD).
Il principio di minimizzazione dei dati fa parte dei principi in base ai quali si effettua il trattamento dei dati.
Il trattamento dei dati personali per essere lecito, e quindi consentito, deve essere limitato ai soli dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.
Le conclusioni del Garante
Il Garante rileva l’illiceità del trattamento dei dati personali effettuato dal Comune, in quanto la diffusione dei dati sul sito web istituzionale:
1) è avvenuta in violazione del divieto previsto dall’art. 2-septies, comma 8, del Codice e dell’art. 9 parr. 1, 2 e 4, del RGPD;
2) aveva ad oggetto dati e delle informazioni personali – quali la data e il luogo di nascita, la residenza, le informazioni relative alla liquidazione dell’importo del contributo previsto per il superamento e l’eliminazione di barriere architettoniche presenti nell’alloggio con indicazione dell’indirizzo del soggetto disabile, i singoli lavori effettuati ( comprese le fatture e l’indicazione delle imprese di lavori a cui ci si è rivolti) – è avvenuta in violazione del principio di “ minimizzazione” dei dati, considerando che gli stessi non risultano essere stati “limitati a quanto necessario rispetto alle finalità per le quali sono trattati” di cui all’art. 5, par. 1, lettera c), del RGPD;
3) è avvenuta in assenza di idonei presupposti normativi per il periodo eccedente i quindici giorni previsti dall’art. 124, comma 1, del D.lgs. n. 267/2000 per la pubblicazione nell’Albo pretorio, in violazione dell’art. 2-ter, commi 1 e 3 del Codice; nonché dei principi di base del Trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD.
La sanzione emessa dal Garante
Il Garante considerando che la condotta ha esaurito i suoi effetti, in quando il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali oggetto di contestazione dell’Ufficio dal sito web istituzionale, non ricorrono i presupposti per l’applicazione per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.
Il Garante ha quindi accertato la violazione del principio di minimizzazione e ha ingiunto al Comune di pagare la somma di € 5.000,00 a titolo di sanzione amministrative pecuniaria.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.