Garante per la protezione
    dei dati personali


Diffusione sul sito web istituzionaledi un Comune di dati idonei a rivelare lo stato di salute

PROVVEDIMENTO DEL 29 NOVEMBRE 2012

Registro dei provvedimenti
n. 369 del 29 novembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice");

VISTAla segnalazione telefonica con la quale è stata lamentata la diffusione sulsito web istituzionale del Comune di Siderno di dati idonei a rivelare lo statodi salute;

RILEVATO,da un accertamento preliminare effettuato dall'Ufficio in data 20 novembre2012, che il Comune di Siderno ha pubblicato nel proprio sito webistituzionale, nell'area denominata "Statuto e Regolamenti", fral'altro, il "Piano comunale di protezione civile" completo ditutti gli allegati all'urlhttp://www.comune.siderno.rc.it/index.php?action=index&p=535.

PRESOATTO che l'allegato n. 5 di tale documento (pagg. 103-109) contiene l'"elencopersone fisicamente non autosufficienti, abitanti da sole o con altriinabili" e che tale elenco riporta in chiaro il nome e cognome –assieme, in alcuni casi, anche alla data di nascita e/o all'indirizzo –del soggetto non autosufficiente unito alla sigla del "motivo della nonautosufficienza" oppure all'indicazione per esteso (es. "nonvedente");

PRESOATTO che i nominativi delle persone fisicamente non autosufficienti contenutinel predetto documento risultano, inoltre, indicizzati nei principali motori diricerca generalisti come Google;

CONSIDERATOche l'art. 4, comma 1, lett. b) del Codice qualifica come dato personale"qualunque informazione relativa a persona fisica, identificata oidentificabile, anche indirettamente, mediante riferimento a qualsiasi altrainformazione, ivi compreso un numero di identificazione personale".

CONSIDERATOche l'art. 4, comma 1, lett. m) del Codice definisce la diffusione dei datipersonali come "il dare conoscenza dei dati personali a soggettiindeterminati, in qualunque forma, anche mediante la loro messa a disposizioneo consultazione";

PRESOATTO che l'inclusione nel predetto allegato n. 5 al Piano comunale diprotezione civile dell'elenco di persone fisicamente non autosufficienti, conl'indicazione in chiaro dei dati identificativi degli interessati, ha causatouna diffusione – considerando che il Piano comunale di protezione civilecon tutti gli allegati è liberamente consultabile in Internet mediante lasemplice operazione di visualizzazione del testo – di dati sensibili inquanto idonei a rivelare lo stato di salute degli interessati (art. 4, comma 1,lett. d, del Codice);

CONSIDERATOche l'art. 22, comma 8, del Codice prevede che nel trattamento effettuato dasoggetti pubblici i "dati idonei a rivelare lo stato di salute non possonoessere diffusi" (cfr., in tal senso, anche l'art. 65, comma 5, e l'art.68, comma 3, del Codice) e che, pertanto, è vietata la diffusione di dati dacui si possa desumere lo stato di malattia o l'esistenza di patologie deisoggetti interessati, compreso qualsiasi riferimento alla condizioni diinvalidità, disabilità o handicap fisici e/o psichici (cfr. i provvedimenti delGarante 7 ottobre 2009; 17 settembre 2009; 25 giugno 2009; 8 maggio 2008; 18 gennaio 2007; 27 febbraio 2002).

RICHIAMATEle indicazioni fornite dal Garante con il Provvedimento del 2 marzo 2011 n. 88recante le "Linee guida in materia di trattamento di dati personalicontenuti anche in atti e documenti amministrativi, effettuato da soggettipubblici per finalità di pubblicazione e diffusione sul web" (pubblicatoin G.U. n. 64 del 19 marzo 2011) in cui è stato precisato che in "relazione allesole operazioni di comunicazione e di diffusione, le pubbliche amministrazioni,nel mettere a disposizione sui propri siti istituzionali dati personali,contenuti anche in atti e documenti amministrativi (in forma integrale, perestratto, ivi compresi gli allegati), devono preventivamente verificare che unanorma di legge o di regolamento preveda tale possibilità (artt. 4, comma 1,lett. l) e m), 19, comma 3, 20 e 21, del Codice), fermo restando comunque ilgenerale divieto di diffusione dei dati idonei a rivelare lo stato di salutedei singoli interessati (artt. 22, comma 8, 65, comma 5, 68, comma 3, delCodice)" (cfr. par. 2.1.);

RILEVATA,pertanto, l'illiceità del trattamento effettuato dal Comune di Siderno inrelazione all'avvenuta diffusione di dati idonei a rivelare lo stato di salutedegli interessati in violazione dell'art. 22, comma 8, del Codice;

CONSIDERATOche il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1,lett. d), del Codice, ha il compito di "vietare anche d'ufficio, intutto o in parte, il trattamento illecito o non corretto dei dati o disporne ilblocco", nonché "di adottare gli altri provvedimenti previstidalla disciplina applicabile al trattamento di dati personali";

RITENUTOnecessario, in ragione dell'illiceità del trattamento effettuato, vietare alComune di Siderno, ai sensi dei citati artt. 143, comma 1, lett. c) e 154,comma 1, lett. d), del Codice, l'ulteriore diffusione in Internet – siaattraverso la pubblicazione nell'area denominata "Statuto eRegolamenti" che in qualsiasi altra area del sito web istituzionale –dei dati personali idonei a rivelare lo stato di salute degli interessati,contenuti nell'allegato n. 5 del Piano comunale di protezione civile pubblicatoall'url: http://www.comune.siderno.rc.it/index.php?action=index&p=535;

CONSIDERATO,inoltre, che il Garante, ai sensi degli artt. 143, comma 1, lett. b) e 154,comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d'ufficio,"le misure necessarie o opportune al fine di rendere il trattamentoconforme alle disposizioni vigenti";

RITENUTOnecessario prescrivere al Comune di Siderno, ai sensi dei citati artt. 143,comma 1, lett. b) e 154, comma 1, lett. c) del Codice, di conformare per ilfuturo la pubblicazione di atti e documenti nel proprio sito web istituzionalealle disposizioni contenute nel Codice in materia di protezione dei datipersonali e nelle citate "Linee guida in materia di trattamento di datipersonali contenuti anche in atti e documenti amministrativi, effettuato dasoggetti pubblici per finalità di pubblicazione e diffusione sul web",rispettando, in particolare, il divieto di diffusione dei dati idonei arivelare lo stato di salute degli interessati (art. 22, comma 8, del Codice;par. 2.1 delle Linee guida);

RITENUTOdi valutare, con separato provvedimento, gli estremi per contestare al Comunedi Siderno la violazione amministrativa prevista dall'art. 162, comma 2-bis,del Codice come modificato dalla legge 27 febbraio 2009, n. 14 di conversione,con modificazioni, del decreto legge del 30 dicembre 2008 n. 207;

TENUTOCONTO che, ai sensi dell'art. 170 del Codice, chiunque essendovi tenuto nonosserva il presente provvedimento di divieto è punito con la reclusione da tremesi e due anni e che ai sensi dell'art. 162, comma 2-ter del Codice, in casodi inosservanza del medesimo provvedimento, è altresì applicata in sedeamministrativa, in ogni caso, la sanzione del pagamento di una somma datrentamila a centottantamila euro;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATOREla dott.ssa Augusta Iannini;

TUTTO CIŅ PREMESSO IL GARANTE

rilevatal'illiceità del trattamento dei dati effettuato dal Comune di Siderno neitermini indicati in premessa:

1.   vietaal Comune di Siderno, ai sensi dei citati artt. 143, comma 1, lett. c) e 154,comma 1, lett. d), del Codice, l'ulteriore diffusione in Internet – siaattraverso la pubblicazione nell'area denominata "Statuto eRegolamenti" che in qualsiasi altra area del sito web istituzionale –dei dati personali idonei a rivelare lo stato di salute degli interessati,contenuti nell'allegato n. 5 del Piano comunale di protezione civile pubblicatoall'url: http://www.comune.siderno.rc.it/index.php?action=index&p=535;

2.  prescriveal Comune di Siderno, ai sensi dei citati artt. 143, comma 1, lett. b) e 154,comma 1, lett. c) del Codice, di conformare per il futuro la pubblicazione diatti e documenti nel proprio sito web istituzionale alle disposizioni contenutenel Codice in materia di protezione dei dati personali e nelle citate"Linee guida in materia di trattamento di dati personali contenuti anchein atti e documenti amministrativi, effettuato da soggetti pubblici per finalitàdi pubblicazione e diffusione sul web", rispettando, in particolare, ildivieto di diffusione dei dati idonei a rivelare lo stato di salute degliinteressati (art. 22, comma 8, del Codice; par. 2.1 delle Linee guida);

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 29 novembre 2012

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia