Garante per la protezione
    dei dati personali


Pubblicazione nel sito webistituzionale di un Comune di documenti contenenti dati sensibili idonei arivelare lo stato di salute

PROVVEDIMENTO DEL 4 APRILE 2013

Registro dei provvedimenti
n. 157 del 4 aprile 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice");

VISTAla comunicazione in atti presentata dalla Guardia di finanza della Tenenza diGioia del Colle con la quale è stata segnalata la pubblicazione, nel sitoistituzionale del Comune di Gallipoli (LE), delle ordinanze n. QQ del XY, n. WWdel XY, n. YY del XY, n. HH del XY, n. JJ del XY, n. KK del XY, n. ZZ del XY,n. XX del XY, n. QW del XY, n. QY del XY, n. QH del XY, n. QJ del XY, n. QK delXY1, n. QZ del XY, n. QX del XY, n. WQ del XY, n. WY del XY, n. WH del XY, n.WJ del XY, n. WK del XY aventi a oggetto la sottoposizione a trattamentisanitari obbligatori e contenenti "dati sensibili idonei ad identificarele persone interessate e rivelare lo stato di salute di ciascuno di esse,consentendone l'accessibilità indistintamente a qualsiasi utente durante lanavigazione nella rete web";

RILEVATO,da un accertamento preliminare effettuato dall'Ufficio in data 5 marzo 2013,che le predette ordinanze sono visibili e liberamente scaricabili ai seguentiurl segnalati dalla Guardia di finanza:
[...]

RILEVATO,nel medesimo accertamento preliminare, che – oltre alle predetteordinanze segnalate dalla Guardia di finanza – è, altresì, visibile eliberamente scaricabile, all'url http://www.comune.gallipoli.le.it/....pdf,l'ordinanza ZX del XY;

PRESOATTO che con le ordinanze sopra identificate è stata disposta lasottoposizione, il prolungamento oppure la revoca di trattamenti sanitariobbligatori, con indicazione in chiaro dei dati anagrafici (nominativo, luogo edata di nascita) e di residenza dei soggetti interessati;

VISTOche dal medesimo accertamento preliminare è stato, altresì, verificato che inominativi dei soggetti interessati riportati nelle ordinanze n. QQ del XY, n.HH del XY e ZX del XY sono immediatamente visibili in rete tramitel'inserimento delle generalità dei medesimi nei più diffusi motori di ricercageneralisti come Google;
CONSIDERATO che per dato personale si intende"qualunque informazione relativa a persona fisica, identificata oidentificabile, anche indirettamente, mediante riferimento a qualsiasi altrainformazione, ivi compreso un numero di identificazione personale" (art. 4,comma 1, lett. b, del Codice);

CONSIDERATOche per diffusione dei dati personali si intende "il dare conoscenza deidati personali a soggetti indeterminati, in qualunque forma, anche mediante laloro messa a disposizione o consultazione" (art. 4, comma 1, lett. m, delCodice);

PRESOATTO che la pubblicazione delle ordinanze n. QQ del XY, n. WW del XY, n. YY delXY, n. HH del XY, ZX del XY, n. JJ del XY, n. KK del XY, n. ZZ del XY, n. XXdel XY, n. QW del XY, n. QY del XY, n. QH del XY, n. QJ del XY, n. QK del XY1,n. QZ del XY, n. QX del XY, n. WQ del XY, n. WY del XY, n. WH del XY, n. WJ delXY, n. WK del XY – recanti in chiaro i dati identificativi degliinteressati e la loro condizione di salute –, unita nel caso delleordinanze n. QQ del XY, n. HH del XY e ZX del XY alla reperibilità nel webmediante l'inserzione dei nominativi dei destinatari nei più diffusi motori diricerca come Google, ha causato una diffusione di dati sensibili in quantoidonei a rivelare lo stato di salute degli interessati (art. 4, comma 1, lett.d, del Codice);

CONSIDERATOche l'art. 22, comma 8, del Codice prevede che nel trattamento effettuato dasoggetti pubblici i "dati idonei a rivelare lo stato di salute non possonoessere diffusi" (cfr., in tal senso, anche l'art. 65, comma 5, e l'art.68, comma 3, del Codice) e che, pertanto, è vietata la diffusione di dati dacui si possa desumere lo stato di malattia o l'esistenza di patologie deisoggetti interessati, compreso qualsiasi riferimento alla condizioni diinvalidità, disabilità o handicap fisici e/o psichici (cfr. i provvedimenti delGarante 22 novembre 2012; 29 novembre 2012; 7 ottobre 2009; 17 settembre 2009; 25 giugno 2009; 8 maggio 2008; 18 gennaio 2007; 27 febbraio 2002).

RICHIAMATEle indicazioni fornite dal Garante con il Provvedimento del 2 marzo 2011 n. 88recante le "Linee guida in materia di trattamento di dati personalicontenuti anche in atti e documenti amministrativi, effettuato da soggettipubblici per finalità di pubblicazione e diffusione sul web" (pubblicatoin G.U. n. 64 del 19 marzo 2011) in cui è stato precisato che in "relazione allesole operazioni di comunicazione e di diffusione, le pubbliche amministrazioni,nel mettere a disposizione sui propri siti istituzionali dati personali,contenuti anche in atti e documenti amministrativi (in forma integrale, perestratto, ivi compresi gli allegati), devono preventivamente verificare che unanorma di legge o di regolamento preveda tale possibilità (artt. 4, comma 1,lett. l) e m), 19, comma 3, 20 e 21, del Codice), fermo restando comunque ilgenerale divieto di diffusione dei dati idonei a rivelare lo stato di salutedei singoli interessati (artt. 22, comma 8, 65, comma 5, 68, comma 3, delCodice)" (cfr. par. 2.1.);

RILEVATA,pertanto, l'illiceità del trattamento effettuato dal Comune di Gallipoli inrelazione all'avvenuta diffusione di dati idonei a rivelare lo stato di salutedegli interessati in violazione dell'art. 22, comma 8, del Codice;

CONSIDERATOche il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1,lett. d), del Codice, ha il compito di "vietare anche d'ufficio, in tuttoo in parte, il trattamento illecito o non corretto dei dati o disporne il blocco",nonché "di adottare gli altri provvedimenti previsti dalla disciplinaapplicabile al trattamento di dati personali";

RITENUTOnecessario, in ragione dell'illiceità del trattamento effettuato, vietare alComune di Gallipoli, ai sensi dei citati artt. 143, comma 1, lett. c), e 154,comma 1, lett. d), del Codice, l'ulteriore diffusione in Internet dei datipersonali idonei a rivelare lo stato di salute dei soggetti interessaticontenuti nelle ordinanze del n. QQ del XY, n. WW del XY, n. YY del XY, n. HHdel XY, ZX del XY, n. JJ del XY, n. KK del XY, n. ZZ del XY, n. XX del XY, n.QW del XY, n. QY del XY, n. QH del XY, n. QJ del XY, n. QK del XY1, n. QZ delXY, n. QX del XY, n. WQ del XY, n. WY del XY, n. WH del XY, n. WJ del XY, n. WKdel XY, aventi a oggetto la sottoposizione, il prolungamento o la revoca ditrattamenti sanitari obbligatori, nonché in tutti gli altri atti aventi analogooggetto pubblicati alla data di ricezione del presente provvedimento;

CONSIDERATO,inoltre, che risulta indispensabile adottare idonei accorgimenti nellapredisposizione degli atti dell'ente che hanno a oggetto la sottoposizione, ilprolungamento o la revoca di trattamenti sanitari obbligatori, con particolareriferimento alla necessità di rispettare il divieto di diffusione di datiidonei a rivelare lo stato di salute dell'interessato;

CONSIDERATO,in merito, che il Garante, ai sensi degli artt. 143, comma 1, lett. b), e 154,comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d'ufficio,"le misure necessarie o opportune al fine di rendere il trattamentoconforme alle disposizioni vigenti";

RITENUTOnecessario prescrivere al Comune di Gallipoli, ai sensi dei citati artt. 143,comma 1, lett. b), e 154, comma 1, lett. c), del Codice, di conformare per ilfuturo la pubblicazione di atti e documenti in Internet alle disposizionicontenute nel Codice in materia di protezione dei dati personali e nelle citate"Linee guida in materia di trattamento di dati personali contenuti anchein atti e documenti amministrativi, effettuato da soggetti pubblici per finalitàdi pubblicazione e diffusione sul web", rispettando, in particolare, ildivieto di diffusione dei dati idonei a rivelare lo stato di salute degliinteressati (art. 22, comma 8, del Codice; par. 2.1 delle Linee guida);

RITENUTO,altresì, necessario prescrivere al Comune di Gallipoli di attivarsi presso iresponsabili dei principali motori di ricerca, come Google, al fine disollecitare la rimozione della copia web delle ordinanze n. QQ del XY, n. HHdel XY e ZX del XY, e di tutti gli altri atti aventi a oggetto lasottoposizione, il prolungamento o la revoca di trattamenti sanitariobbligatori pubblicati alla data di ricezione del presente provvedimento,laddove i dati degli interessati siano indicizzati, dagli indici e dalla cachedei motori di ricerca a decorrere dalla data di ricezione del presenteprovvedimento;

RITENUTOdi valutare, con separato provvedimento, gli estremi per contestare al Comunedi Gallipoli la violazione amministrativa prevista dall'art. 162, comma 2-bis,del Codice come modificato dalla legge 27 febbraio 2009, n. 14 di conversione,con modificazioni, del decreto legge del 30 dicembre 2008 n. 207;

TENUTOCONTO che, ai sensi dell'art. 170 del Codice, chiunque essendovi tenuto nonosserva il presente provvedimento di divieto è punito con la reclusione da tremesi a due anni e che ai sensi dell'art. 162, comma 2-ter, del Codice, in casodi inosservanza del medesimo provvedimento, è altresì applicata in sedeamministrativa, in ogni caso, la sanzione del pagamento di una somma datrentamila a centottantamila euro;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatoreil dott. Antonello Soro;

TUTTO CIO' PREMESSO IL GARANTE

rilevatal'illiceità del trattamento dei dati effettuato dal Comune di Gallipoli neitermini indicati in premessa:

1. vietaal Comune di Gallipoli, ai sensi dei citati artt. 143, comma 1, lett. c), e154, comma 1, lett. d), del Codice, l'ulteriore diffusione in Internet dei datipersonali idonei a rivelare lo stato di salute dei soggetti interessaticontenuti nelle ordinanze del n. QQ del XY, n. WW del XY, n. YY del XY, n. HHdel XY, ZX del XY, n. JJ del XY, n. KK del XY, n. ZZ del XY, n. XX del XY, n.QW del XY, n. QY del XY, n. QH del XY, n. QJ del XY, n. QK del XY1, n. QZ delXY, n. QX del XY, n. WQ del XY, n. WY del XY, n. WH del XY, n. WJ del XY, n. WKdel XY, aventi a oggetto la sottoposizione, il prolungamento o la revoca ditrattamenti sanitari obbligatori, nonché in tutti gli altri atti aventi analogooggetto pubblicati alla data di ricezione del presente provvedimento;

2.prescrive al Comune di Gallipoli, ai sensi dei citati artt. 143, comma 1, lett.b), e 154, comma 1, lett. c), del Codice, di conformare per il futuro lapubblicazione di atti e documenti in Internet alle disposizioni contenute nelCodice in materia di protezione dei dati personali e nelle citate "Lineeguida in materia di trattamento di dati personali contenuti anche in atti edocumenti amministrativi, effettuato da soggetti pubblici per finalità dipubblicazione e diffusione sul web", rispettando, in particolare, ildivieto di diffusione dei dati idonei a rivelare lo stato di salute degliinteressati (art. 22, comma 8, del Codice; par. 2.1 delle Linee guida);

3.prescrive al Comune di Gallipoli, ai sensi dei citati artt. 143, comma 1, lett.b), e 154, comma 1, lett. c), del Codice, di attivarsi presso i principalimotori di ricerca, come Google, al fine di sollecitare la rimozione della copiaweb delle ordinanze n. QQ del XY, n. HH del XY e ZX del XY, e di tutti glialtri atti aventi a oggetto la sottoposizione, il prolungamento o la revoca ditrattamenti sanitari obbligatori pubblicati alla data di ricezione del presenteprovvedimento, laddove i dati degli interessati siano indicizzati, dagli indicie dalla cache dei motori di ricerca a decorrere dalla data di ricezione delpresente provvedimento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. KK/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 4 aprile 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia