Garante per la protezione
    dei dati personali


Pubblicazione nel sito webistituzionale di un Comune di documenti contenenti dati sensibili idonei arivelare lo stato di salute

PROVVEDIMENTO DEL 14 MARZO 2013

Registro dei provvedimenti
n. 119 del 14 marzo 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici, componente, e del dott. Giuseppe Busia, segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice");

VISTAla comunicazione in atti presentata dalla Guardia di finanza della Tenenza diGioia del Colle con la quale è stata segnalata la pubblicazione, nel sitoistituzionale del Comune di Ascea (SA), delle ordinanze del sindaco (...)aventi a oggetto la sottoposizione a trattamenti sanitari obbligatori econtenenti "dati sensibili idonei ad identificare le persone interessate erivelare lo stato di salute di ciascuna di esse, consentendone l'accessibilitàindistintamente a qualsiasi utente durante la navigazione nella rete web";

RILEVATO,da un accertamento preliminare effettuato dall'Ufficio in data 27 febbraio2013, che sul sito web istituzionale del predetto comune(http://www.comune.ascea.sa.it/), al link situato in homepage denominato"WW", è possibile consultare l'archivio degli atti dell'ente(http://www.comune.ascea.sa.it/...)

RILEVATO,nel medesimo accertamento preliminare, che in detta area, nella sezionededicata alle ordinanze, sono visibili e liberamente scaricabili le ordinanzedel sindaco (...) ai seguenti url segnalati dalla Guardia di finanza:http://www.comune.ascea.sa.it/allegati/2049.pdf; http://www.comune.ascea.sa.it/....pdf,http://www.comune.ascea.sa.it/....pdf, http://www.comune.ascea.sa.it/....pdf,http://www.comune.ascea.sa.it/....pdf, http://www.comune.ascea.sa.it/....pdf,http://www.comune.ascea.sa.it/....pdf, http://www.comune.ascea.sa.it/....pdf;

PRESOATTO che con le predette ordinanze del sindaco è stata ordinata lasottoposizione a trattamento sanitario obbligatorio in condizione di degenzaospedaliera dei soggetti interessati, con indicazione in chiaro oltre che deidati anagrafici (nominativo, luogo e data di nascita) e di residenza, anchedella patologia dagli stessi sofferta (allegando, in alcuni casi, anche ilcertificato medico);

VISTOche dal medesimo accertamento preliminare è stato, altresì, verificato che inominativi dei soggetti interessati sono immediatamente visibili in retetramite l'inserimento delle generalità dei medesimi nei più diffusi motori diricerca generalisti come Google;

CONSIDERATOche per dato personale si intende "qualunque informazione relativa apersona fisica, identificata o identificabile, anche indirettamente, medianteriferimento a qualsiasi altra informazione, ivi compreso un numero diidentificazione personale" (art. 4, comma 1, lett. b, del Codice);

CONSIDERATOche per diffusione dei dati personali si intende "il dare conoscenza deidati personali a soggetti indeterminati, in qualunque forma, anche mediante laloro messa a disposizione o consultazione" (art. 4, comma 1, lett. m, delCodice);

PRESOATTO che la pubblicazione delle ordinanze del sindaco (...) – recanti inchiaro i dati identificativi degli interessati e la loro condizione di salute –,unita alla relativa reperibilità nel web mediante l'inserzione dei nominatividei destinatari nei più diffusi motori di ricerca come Google, ha causato unadiffusione di dati sensibili in quanto idonei a rivelare lo stato di salutedegli interessati (art. 4, comma 1, lett. d, del Codice);

CONSIDERATOche l'art. 22, comma 8, del Codice prevede che nel trattamento effettuato dasoggetti pubblici i "dati idonei a rivelare lo stato di salute non possonoessere diffusi" (cfr., in tal senso, anche l'art. 65, comma 5, e l'art.68, comma 3, del Codice) e che, pertanto, è vietata la diffusione di dati dacui si possa desumere lo stato di malattia o l'esistenza di patologie dei soggettiinteressati, compreso qualsiasi riferimento alla condizioni di invalidità,disabilità o handicap fisici e/o psichici (cfr. i provvedimenti del Garante 22 novembre 2012; 29 novembre 2012; 7 ottobre 2009; 17 settembre 2009; 25 giugno 2009; 8 maggio 2008; 18 gennaio 2007; 27 febbraio 2002).

RICHIAMATEle indicazioni fornite dal Garante con il Provvedimento del 2 marzo 2011 n. 88recante le "Linee guida in materia di trattamento di dati personalicontenuti anche in atti e documenti amministrativi, effettuato da soggettipubblici per finalità di pubblicazione e diffusione sul web" (pubblicatoin G.U. n. 64 del 19 marzo 2011) in cui è stato precisato che in "relazione allesole operazioni di comunicazione e di diffusione, le pubbliche amministrazioni,nel mettere a disposizione sui propri siti istituzionali dati personali,contenuti anche in atti e documenti amministrativi (in forma integrale, perestratto, ivi compresi gli allegati), devono preventivamente verificare che unanorma di legge o di regolamento preveda tale possibilità (artt. 4, comma 1,lett. l) e m), 19, comma 3, 20 e 21, del Codice), fermo restando comunque ilgenerale divieto di diffusione dei dati idonei a rivelare lo stato di salutedei singoli interessati (artt. 22, comma 8, 65, comma 5, 68, comma 3, delCodice)" (cfr. par. 2.1.);

RILEVATA,pertanto, l'illiceità del trattamento effettuato dal Comune di Ascea inrelazione all'avvenuta diffusione di dati idonei a rivelare lo stato di salutedegli interessati in violazione dell'art. 22, comma 8, del Codice;

CONSIDERATOche il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1,lett. d), del Codice, ha il compito di "vietare anche d'ufficio, in tuttoo in parte, il trattamento illecito o non corretto dei dati o disporne ilblocco", nonché "di adottare gli altri provvedimenti previsti dalladisciplina applicabile al trattamento di dati personali";

RITENUTOnecessario, in ragione dell'illiceità del trattamento effettuato, vietare alComune di Ascea, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma1, lett. d), del Codice, l'ulteriore diffusione in Internet – siaattraverso la pubblicazione nell'area dedicata agli "WW" che inqualsiasi altra parte del sito web istituzionale – dei dati personaliidonei a rivelare lo stato di salute dei soggetti interessati contenuti nelleordinanze del sindaco (...) aventi a oggetto la sottoposizione a trattamentosanitario obbligatorio, nonché in tutti gli altri atti aventi analogo oggettopubblicati alla data di ricezione del presente provvedimento;

CONSIDERATO,inoltre, che risulta indispensabile adottare idonei accorgimenti nellapredisposizione degli atti del sindaco che ordinano la sottoposizione atrattamento sanitario obbligatorio, con particolare riferimento alla necessitàdi rispettare il divieto di diffusione di dati idonei a rivelare lo stato disalute dell'interessato;

CONSIDERATO,in merito, che il Garante, ai sensi degli artt. 143, comma 1, lett. b), e 154,comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d'ufficio,"le misure necessarie o opportune al fine di rendere il trattamentoconforme alle disposizioni vigenti";

RITENUTOnecessario prescrivere al Comune di Ascea, ai sensi dei citati artt. 143, comma1, lett. b), e 154, comma 1, lett. c), del Codice, di conformare per il futurola pubblicazione di atti e documenti in Internet alle disposizioni contenutenel Codice in materia di protezione dei dati personali e nelle citate"Linee guida in materia di trattamento di dati personali contenuti anchein atti e documenti amministrativi, effettuato da soggetti pubblici per finalitàdi pubblicazione e diffusione sul web", rispettando, in particolare, ildivieto di diffusione dei dati idonei a rivelare lo stato di salute degliinteressati (art. 22, comma 8, del Codice; par. 2.1 delle Linee guida);

RITENUTO,altresì, necessario prescrivere al Comune di Ascea di attivarsi presso iresponsabili dei principali motori di ricerca, come Google, al fine disollecitare la rimozione della copia web delle predette ordinanze, e di tuttigli altri atti aventi a oggetto la sottoposizione a trattamento sanitarioobbligatorio pubblicati alla data di ricezione del presente provvedimento,dagli indici e dalla cache dei motori di ricerca a decorrere dalla data diricezione del presente provvedimento;

RITENUTOdi valutare, con separato provvedimento, gli estremi per contestare al Comunedi Ascea la violazione amministrativa prevista dall'art. 162, comma 2-bis, delCodice come modificato dalla legge 27 febbraio 2009, n. 14 di conversione, conmodificazioni, del decreto legge del 30 dicembre 2008 n. 207;

TENUTOCONTO che, ai sensi dell'art. 170 del Codice, chiunque essendovi tenuto nonosserva il presente provvedimento di divieto è punito con la reclusione da tremesi a due anni e che ai sensi dell'art. 162, comma 2-ter, del Codice, in casodi inosservanza del medesimo provvedimento, è altresì applicata in sedeamministrativa, in ogni caso, la sanzione del pagamento di una somma datrentamila a centottantamila euro;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatoreil  dott. Antonello Soro;

TUTTO CIO' PREMESSO IL GARANTE

rilevatal'illiceità del trattamento dei dati effettuato dal Comune di Ascea nei terminiindicati in premessa:

1. vietaal Comune di Ascea, ai sensi dei citati artt. 143, comma 1, lett. c), e 154,comma 1, lett. d), del Codice, l'ulteriore diffusione in Internet – siaattraverso la pubblicazione nell'area dedicata agli "WW" che inqualsiasi altra parte del sito web istituzionale – dei dati personaliidonei a rivelare lo stato di salute dei soggetti interessati contenuti nelleordinanze del sindaco (...) aventi a oggetto la sottoposizione a trattamentosanitario obbligatorio, nonché in tutti gli altri atti aventi analogo oggettopubblicati alla data di ricezione del presente provvedimento;

2.prescrive al Comune di Ascea, ai sensi dei citati artt. 143, comma 1, lett. b),e 154, comma 1, lett. c), del Codice, di conformare per il futuro lapubblicazione di atti e documenti in Internet alle disposizioni contenute nelCodice in materia di protezione dei dati personali e nelle citate "Lineeguida in materia di trattamento di dati personali contenuti anche in atti edocumenti amministrativi, effettuato da soggetti pubblici per finalità dipubblicazione e diffusione sul web", rispettando, in particolare, ildivieto di diffusione dei dati idonei a rivelare lo stato di salute degliinteressati (art. 22, comma 8, del Codice; par. 2.1 delle Linee guida);

3.prescrive al Comune di Ascea, ai sensi dei citati artt. 143, comma 1, lett. b),e 154, comma 1, lett. c), del Codice, di attivarsi presso i principali motoridi ricerca, come Google, al fine di sollecitare la rimozione delle copie webdelle ordinanze del sindaco (...), e di tutti gli altri atti aventi a oggettola sottoposizione a trattamento sanitario obbligatorio pubblicati alla data diricezione del presente provvedimento, dagli indici e dalla cache dei motori diricerca a decorrere dalla data di ricezione del presente provvedimento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento puì essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 14 marzo 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia