Diritti interna

Doveri interna

ricerca avanzata

Pubblicazione nel sito web istituzionale di un Comune di documenti contenenti dati sensibili idonei a rivelare lo stato di salute - 4 aprile 2013 [2452536]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
2452536
Data:
04/04/13
Argomenti:
Trasparenza amministrativa , Dati sanitari su Internet , Comuni
Tipologia:
Divieto del trattamento

[doc. web n. 2452536]

Pubblicazione nel sito web istituzionale di un Comune di documenti contenenti dati sensibili idonei a rivelare lo stato di salute - 4 aprile 2013

Registro dei provvedimenti
n. 157 del 4 aprile 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la comunicazione in atti presentata dalla Guardia di finanza della Tenenza di Gioia del Colle con la quale è stata segnalata la pubblicazione, nel sito istituzionale del Comune di Gallipoli (LE), delle ordinanze n. QQ del XY, n. WW del XY, n. YY del XY, n. HH del XY, n. JJ del XY, n. KK del XY, n. ZZ del XY, n. XX del XY, n. QW del XY, n. QY del XY, n. QH del XY, n. QJ del XY, n. QK del XY1, n. QZ del XY, n. QX del XY, n. WQ del XY, n. WY del XY, n. WH del XY, n. WJ del XY, n. WK del XY aventi a oggetto la sottoposizione a trattamenti sanitari obbligatori e contenenti "dati sensibili idonei ad identificare le persone interessate e rivelare lo stato di salute di ciascuno di esse, consentendone l´accessibilità indistintamente a qualsiasi utente durante la navigazione nella rete web";

RILEVATO, da un accertamento preliminare effettuato dall´Ufficio in data 5 marzo 2013, che le predette ordinanze sono visibili e liberamente scaricabili ai seguenti url segnalati dalla Guardia di finanza:
[...]

RILEVATO, nel medesimo accertamento preliminare, che – oltre alle predette ordinanze segnalate dalla Guardia di finanza – è, altresì, visibile e liberamente scaricabile, all´url http://www.comune.gallipoli.le.it/....pdf, l´ordinanza ZX del XY;

PRESO ATTO che con le ordinanze sopra identificate è stata disposta la sottoposizione, il prolungamento oppure la revoca di trattamenti sanitari obbligatori, con indicazione in chiaro dei dati anagrafici (nominativo, luogo e data di nascita) e di residenza dei soggetti interessati;

VISTO che dal medesimo accertamento preliminare è stato, altresì, verificato che i nominativi dei soggetti interessati riportati nelle ordinanze n. QQ del XY, n. HH del XY e ZX del XY sono immediatamente visibili in rete tramite l´inserimento delle generalità dei medesimi nei più diffusi motori di ricerca generalisti come Google;
CONSIDERATO che per dato personale si intende "qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale" (art. 4, comma 1, lett. b, del Codice);

CONSIDERATO che per diffusione dei dati personali si intende "il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione" (art. 4, comma 1, lett. m, del Codice);

PRESO ATTO che la pubblicazione delle ordinanze n. QQ del XY, n. WW del XY, n. YY del XY, n. HH del XY, ZX del XY, n. JJ del XY, n. KK del XY, n. ZZ del XY, n. XX del XY, n. QW del XY, n. QY del XY, n. QH del XY, n. QJ del XY, n. QK del XY1, n. QZ del XY, n. QX del XY, n. WQ del XY, n. WY del XY, n. WH del XY, n. WJ del XY, n. WK del XY – recanti in chiaro i dati identificativi degli interessati e la loro condizione di salute –, unita nel caso delle ordinanze n. QQ del XY, n. HH del XY e ZX del XY alla reperibilità nel web mediante l´inserzione dei nominativi dei destinatari nei più diffusi motori di ricerca come Google, ha causato una diffusione di dati sensibili in quanto idonei a rivelare lo stato di salute degli interessati (art. 4, comma 1, lett. d, del Codice);

CONSIDERATO che l´art. 22, comma 8, del Codice prevede che nel trattamento effettuato da soggetti pubblici i "dati idonei a rivelare lo stato di salute non possono essere diffusi" (cfr., in tal senso, anche l´art. 65, comma 5, e l´art. 68, comma 3, del Codice) e che, pertanto, è vietata la diffusione di dati da cui si possa desumere lo stato di malattia o l´esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alla condizioni di invalidità, disabilità o handicap fisici e/o psichici (cfr. i provvedimenti del Garante 22 novembre 2012, doc. web n. 2194472; 29 novembre 2012, doc. web n. 2192671; 7 ottobre 2009, doc. web n. 1664456; 17 settembre 2009, doc. web n.1658335; 25 giugno 2009, doc. web n. 1640102; 8 maggio 2008, doc. web n. 1521716; 18 gennaio 2007, doc. web n. 1382026; 27 febbraio 2002, doc. web n. 1063639).

RICHIAMATE le indicazioni fornite dal Garante con il Provvedimento del 2 marzo 2011 n. 88 recante le "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web" (pubblicato in G.U. n. 64 del 19 marzo 2011 e disponibile sul sito dell´Autorità www.garanteprivacy.it, doc. web n. 1793203) in cui è stato precisato che in "relazione alle sole operazioni di comunicazione e di diffusione, le pubbliche amministrazioni, nel mettere a disposizione sui propri siti istituzionali dati personali, contenuti anche in atti e documenti amministrativi (in forma integrale, per estratto, ivi compresi gli allegati), devono preventivamente verificare che una norma di legge o di regolamento preveda tale possibilità (artt. 4, comma 1, lett. l) e m), 19, comma 3, 20 e 21, del Codice), fermo restando comunque il generale divieto di diffusione dei dati idonei a rivelare lo stato di salute dei singoli interessati (artt. 22, comma 8, 65, comma 5, 68, comma 3, del Codice)" (cfr. par. 2.1.);

RILEVATA, pertanto, l´illiceità del trattamento effettuato dal Comune di Gallipoli in relazione all´avvenuta diffusione di dati idonei a rivelare lo stato di salute degli interessati in violazione dell´art. 22, comma 8, del Codice;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, ha il compito di "vietare anche d´ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco", nonché "di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento di dati personali";

RITENUTO necessario, in ragione dell´illiceità del trattamento effettuato, vietare al Comune di Gallipoli, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l´ulteriore diffusione in Internet dei dati personali idonei a rivelare lo stato di salute dei soggetti interessati contenuti nelle ordinanze del n. QQ del XY, n. WW del XY, n. YY del XY, n. HH del XY, ZX del XY, n. JJ del XY, n. KK del XY, n. ZZ del XY, n. XX del XY, n. QW del XY, n. QY del XY, n. QH del XY, n. QJ del XY, n. QK del XY1, n. QZ del XY, n. QX del XY, n. WQ del XY, n. WY del XY, n. WH del XY, n. WJ del XY, n. WK del XY, aventi a oggetto la sottoposizione, il prolungamento o la revoca di trattamenti sanitari obbligatori, nonché in tutti gli altri atti aventi analogo oggetto pubblicati alla data di ricezione del presente provvedimento;

CONSIDERATO, inoltre, che risulta indispensabile adottare idonei accorgimenti nella predisposizione degli atti dell´ente che hanno a oggetto la sottoposizione, il prolungamento o la revoca di trattamenti sanitari obbligatori, con particolare riferimento alla necessità di rispettare il divieto di diffusione di dati idonei a rivelare lo stato di salute dell´interessato;

CONSIDERATO, in merito, che il Garante, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d´ufficio, "le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti";

RITENUTO necessario prescrivere al Comune di Gallipoli, ai sensi dei citati artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, di conformare per il futuro la pubblicazione di atti e documenti in Internet alle disposizioni contenute nel Codice in materia di protezione dei dati personali e nelle citate "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web", rispettando, in particolare, il divieto di diffusione dei dati idonei a rivelare lo stato di salute degli interessati (art. 22, comma 8, del Codice; par. 2.1 delle Linee guida);

RITENUTO, altresì, necessario prescrivere al Comune di Gallipoli di attivarsi presso i responsabili dei principali motori di ricerca, come Google, al fine di sollecitare la rimozione della copia web delle ordinanze n. QQ del XY, n. HH del XY e ZX del XY, e di tutti gli altri atti aventi a oggetto la sottoposizione, il prolungamento o la revoca di trattamenti sanitari obbligatori pubblicati alla data di ricezione del presente provvedimento, laddove i dati degli interessati siano indicizzati, dagli indici e dalla cache dei motori di ricerca a decorrere dalla data di ricezione del presente provvedimento;

RITENUTO di valutare, con separato provvedimento, gli estremi per contestare al Comune di Gallipoli la violazione amministrativa prevista dall´art. 162, comma 2-bis, del Codice come modificato dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto legge del 30 dicembre 2008 n. 207;

TENUTO CONTO che, ai sensi dell´art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che ai sensi dell´art. 162, comma 2-ter, del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l´illiceità del trattamento dei dati effettuato dal Comune di Gallipoli nei termini indicati in premessa:

1. vieta al Comune di Gallipoli, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l´ulteriore diffusione in Internet dei dati personali idonei a rivelare lo stato di salute dei soggetti interessati contenuti nelle ordinanze del n. QQ del XY, n. WW del XY, n. YY del XY, n. HH del XY, ZX del XY, n. JJ del XY, n. KK del XY, n. ZZ del XY, n. XX del XY, n. QW del XY, n. QY del XY, n. QH del XY, n. QJ del XY, n. QK del XY1, n. QZ del XY, n. QX del XY, n. WQ del XY, n. WY del XY, n. WH del XY, n. WJ del XY, n. WK del XY, aventi a oggetto la sottoposizione, il prolungamento o la revoca di trattamenti sanitari obbligatori, nonché in tutti gli altri atti aventi analogo oggetto pubblicati alla data di ricezione del presente provvedimento;

2. prescrive al Comune di Gallipoli, ai sensi dei citati artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, di conformare per il futuro la pubblicazione di atti e documenti in Internet alle disposizioni contenute nel Codice in materia di protezione dei dati personali e nelle citate "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web", rispettando, in particolare, il divieto di diffusione dei dati idonei a rivelare lo stato di salute degli interessati (art. 22, comma 8, del Codice; par. 2.1 delle Linee guida);

3. prescrive al Comune di Gallipoli, ai sensi dei citati artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, di attivarsi presso i principali motori di ricerca, come Google, al fine di sollecitare la rimozione della copia web delle ordinanze n. QQ del XY, n. HH del XY e ZX del XY, e di tutti gli altri atti aventi a oggetto la sottoposizione, il prolungamento o la revoca di trattamenti sanitari obbligatori pubblicati alla data di ricezione del presente provvedimento, laddove i dati degli interessati siano indicizzati, dagli indici e dalla cache dei motori di ricerca a decorrere dalla data di ricezione del presente provvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. KK/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 4 aprile 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia