Garante per la protezione
    dei dati personali


Pubblicazione nel sito webistituzionale di un Comune di documenti contenenti dati sensibili idonei arivelare lo stato di salute

PROVVEDIMENTO DEL 7 MARZO 2013

Registro dei provvedimenti
n. 100 del 7 marzo 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice");

VISTAla comunicazione in atti presentata dalla Guardia di finanza della Tenenza diGioia del Colle con la quale è stata segnalata la pubblicazione, nel sito webistituzionale del Comune di Merì (ME) delle ordinanze del sindaco n. XX del YY,n. ZZ del KK, n. JJ del HH aventi a oggetto la sottoposizione a trattamentisanitari obbligatori e contenenti "dati sensibili idonei ad identificarele persone interessate e rivelare lo stato di salute di ciascuno di essi,consentendone l'accessibilità indistintamente a qualsiasi utente durante lanavigazione nella rete web";

RILEVATO,da un accertamento preliminare effettuato dall'Ufficio in data 19 febbraio2013, che sul sito web istituzionale del predetto comune(http://www.comune.meri.me.it), in homepage, ai rispettivi link situati infondo alla pagina alla voce "ZX", è possibile consultare l'archiviodelle ordinanze sindacali dall'anno 2009 al 2013;

RILEVATO,nel medesimo accertamento preliminare, che nella predetta area sono visibili eliberamente scaricabili le predette ordinanze ai seguenti url segnalati dallaGuardia di finanza:
http://www.comune.meri.me.it/....pdf;http://www.comune.meri.me.it/...2.pdf; http://www.comune.meri.me.it/....pdf;

PRESOATTO che con le ordinanze del sindaco suindicate è stato ordinato il ricoveroper la sottoposizione a trattamento sanitario obbligatorio dei soggettiinteressati, con indicazione in chiaro oltre che dei dati anagrafici(nominativo, luogo e data di nascita) e di residenza, anche della qualifica di"infermo mentale";

VISTOche dal medesimo accertamento preliminare è stato, altresì, verificato che inominativi dei soggetti interessati sono immediatamente visibili in retetramite l'inserimento delle generalità dei medesimi nei più diffusi motori diricerca generalisti come Google;

CONSIDERATOche per dato personale si intende "qualunque informazione relativa apersona fisica, identificata o identificabile, anche indirettamente, medianteriferimento a qualsiasi altra informazione, ivi compreso un numero diidentificazione personale" (art. 4, comma 1, lett. b, del Codice);

CONSIDERATOche per diffusione dei dati personali si intende "il dare conoscenza deidati personali a soggetti indeterminati, in qualunque forma, anche mediante laloro messa a disposizione o consultazione" (art. 4, comma 1, lett. m, delCodice);

PRESOATTO che la pubblicazione delle ordinanze del sindaco n. XX del YY, n. ZZ delKK, n. JJ del HH – recanti in chiaro i dati identificativi degliinteressati e la loro condizione di "infermo mentale" tale dagiustificare un trattamento sanitario obbligatorio –, unita alla relativareperibilità nel web mediante l'inserzione dei nominativi dei destinatari neipiù diffusi motori di ricerca come Google, ha causato una diffusione di datisensibili in quanto idonei a rivelare lo stato di salute degli interessati(art. 4, comma 1, lett. d, del Codice);

CONSIDERATOche l'art. 22, comma 8, del Codice prevede che nel trattamento effettuato dasoggetti pubblici i "dati idonei a rivelare lo stato di salute non possonoessere diffusi" (cfr., in tal senso, anche l'art. 65, comma 5, e l'art.68, comma 3, del Codice) e che, pertanto, è vietata la diffusione di dati dacui si possa desumere lo stato di malattia o l'esistenza di patologie deisoggetti interessati, compreso qualsiasi riferimento alla condizioni diinvalidità, disabilità o handicap fisici e/o psichici (cfr. i provvedimenti delGarante 22 novembre 2012; 29 novembre 2012; 7 ottobre 2009; 17 settembre 2009; 25 giugno 2009; 8 maggio 2008; 18 gennaio 2007; 27 febbraio 2002).

RICHIAMATEle indicazioni fornite dal Garante con il Provvedimento del 2 marzo 2011 n. 88recante le "Linee guida in materia di trattamento di dati personalicontenuti anche in atti e documenti amministrativi, effettuato da soggettipubblici per finalità di pubblicazione e diffusione sul web" (pubblicatoin G.U. n. 64 del 19 marzo 2011) in cui è stato precisato che in "relazione allesole operazioni di comunicazione e di diffusione, le pubbliche amministrazioni,nel mettere a disposizione sui propri siti istituzionali dati personali,contenuti anche in atti e documenti amministrativi (in forma integrale, perestratto, ivi compresi gli allegati), devono preventivamente verificare che unanorma di legge o di regolamento preveda tale possibilità (artt. 4, comma 1,lett. l) e m), 19, comma 3, 20 e 21, del Codice), fermo restando comunque ilgenerale divieto di diffusione dei dati idonei a rivelare lo stato di salutedei singoli interessati (artt. 22, comma 8, 65, comma 5, 68, comma 3, delCodice)" (cfr. par. 2.1.);

RILEVATA,pertanto, l'illiceità del trattamento effettuato dal Comune di Merì inrelazione all'avvenuta diffusione di dati idonei a rivelare lo stato di salutedegli interessati in violazione dell'art. 22, comma 8, del Codice;

CONSIDERATOche il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1,lett. d), del Codice, ha il compito di "vietare anche d'ufficio, in tuttoo in parte, il trattamento illecito o non corretto dei dati o disporne ilblocco", nonché "di adottare gli altri provvedimenti previsti dalladisciplina applicabile al trattamento di dati personali";

RITENUTOnecessario, in ragione dell'illiceità del trattamento effettuato, vietare alComune di Merì, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma1, lett. d), del Codice, l'ulteriore diffusione in Internet – siaattraverso la pubblicazione nel WW che in qualsiasi area del sito webistituzionale – dei dati personali idonei a rivelare lo stato di salutedei soggetti interessati contenuti nelle ordinanze del sindaco n. XX del KK, n.ZZ del KK, n. JJ del HH aventi a oggetto la sottoposizione a trattamentosanitario obbligatorio, nonché in tutti gli altri atti aventi analogo oggettopubblicati alla data di ricezione del presente provvedimento;

CONSIDERATO,inoltre, che risulta indispensabile adottare idonei accorgimenti nellapredisposizione degli atti del sindaco che ordinano il ricovero per lasottoposizione a trattamento sanitario obbligatorio, con particolareriferimento alla necessità di rispettare il divieto di diffusione di datiidonei a rivelare lo stato di salute dell'interessato;

CONSIDERATO,in merito, che il Garante, ai sensi degli artt. 143, comma 1, lett. b), e 154,comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d'ufficio,"le misure necessarie o opportune al fine di rendere il trattamentoconforme alle disposizioni vigenti";

RITENUTOnecessario prescrivere al Comune di Merì, ai sensi dei citati artt. 143, comma1, lett. b), e 154, comma 1, lett. c), del Codice, di conformare per il futurola pubblicazione di atti e documenti in Internet alle disposizioni contenutenel Codice in materia di protezione dei dati personali e nelle citate "Lineeguida in materia di trattamento di dati personali contenuti anche in atti edocumenti amministrativi, effettuato da soggetti pubblici per finalità dipubblicazione e diffusione sul web", rispettando, in particolare, ildivieto di diffusione dei dati idonei a rivelare lo stato di salute degliinteressati (art. 22, comma 8, del Codice; par. 2.1 delle Linee guida);

RITENUTO,altresì, necessario prescrivere al Comune di Merì di attivarsi presso iresponsabili dei principali motori di ricerca, come Google, al fine disollecitare la rimozione della copia web delle predette ordinanze, e di tuttigli altri atti aventi a oggetto il ricovero per la sottoposizione a trattamentosanitario obbligatorio pubblicati alla data di ricezione del presenteprovvedimento, dagli indici e dalla cache dei motori di ricerca a decorreredalla data di ricezione del presente provvedimento;

RITENUTOdi valutare, con separato provvedimento, gli estremi per contestare al Comunedi Merì la violazione amministrativa prevista dall'art. 162, comma 2-bis, delCodice come modificato dalla legge 27 febbraio 2009, n. 14 di conversione, conmodificazioni, del decreto legge del 30 dicembre 2008 n. 207;

TENUTOCONTO che, ai sensi dell'art. 170 del Codice, chiunque essendovi tenuto nonosserva il presente provvedimento di divieto è punito con la reclusione da tremesi a due anni e che ai sensi dell'art. 162, comma 2-ter, del Codice, in casodi inosservanza del medesimo provvedimento, è altresì applicata in sedeamministrativa, in ogni caso, la sanzione del pagamento di una somma datrentamila a centottantamila euro;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatoreil dott. Antonello Soro;

TUTTO CIO' PREMESSO IL GARANTE

rilevatal'illiceità del trattamento dei dati effettuato dal Comune di Merì nei terminiindicati in premessa:

1. vietaal Comune di Merì, ai sensi dei citati artt. 143, comma 1, lett. c), e 154,comma 1, lett. d), del Codice, l'ulteriore diffusione in Internet – siaattraverso la pubblicazione nel WW che in qualsiasi area del sito webistituzionale – dei dati personali idonei a rivelare lo stato di salutedei soggetti interessati contenuti nelle ordinanze del sindaco n. XX del YY, n.ZZ del KK, n. JJ del HH aventi a oggetto la sottoposizione a trattamentosanitario obbligatorio, nonché in tutti gli altri atti aventi analogo oggettopubblicati alla data di ricezione del presente provvedimento;

2.prescrive al Comune di Merì, ai sensi dei citati artt. 143, comma 1, lett. b),e 154, comma 1, lett. c), del Codice, di conformare per il futuro lapubblicazione di atti e documenti in Internet alle disposizioni contenute nelCodice in materia di protezione dei dati personali e nelle citate "Lineeguida in materia di trattamento di dati personali contenuti anche in atti edocumenti amministrativi, effettuato da soggetti pubblici per finalità dipubblicazione e diffusione sul web", rispettando, in particolare, ildivieto di diffusione dei dati idonei a rivelare lo stato di salute degliinteressati (art. 22, comma 8, del Codice; par. 2.1 delle Linee guida);

3.prescrive al Comune di Merì, ai sensi dei citati artt. 143, comma 1, lett. b),e 154, comma 1, lett. c), del Codice, di attivarsi presso i principali motoridi ricerca, come Google, al fine di sollecitare la rimozione delle copie webdelle ordinanze del sindaco n. XX del YY, n. ZZ del KK, n. JJ del HH, e ditutti gli altri atti aventi a oggetto il ricovero per la sottoposizione atrattamento sanitario obbligatorio pubblicati alla data di ricezione delpresente provvedimento, dagli indici e dalla cache dei motori di ricerca a decorreredalla data di ricezione del presente provvedimento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 7 marzo 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia