Garante per la protezione
    dei dati personali


Diffusione di dati personali relativiai partecipanti ad un concorso su un sito web istituzionale

PROVVEDIMENTO DEL 6 GIUGNO 2013

Registro dei provvedimenti
 n. 277 del 6 giugno 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice");

VISTAla segnalazione presentata il 12 maggio 2013 da XY con la quale è statalamentata la pubblicazione di dati personali relativi al segnalante in siti webagevolmente raggiungibili mediante i comuni motori di ricerca;

RILEVATO,da un accertamento preliminare effettuato dall'Ufficio in data 15 maggio 2013,che sui siti web istituzionali di dell'Agenzia di Promozione Economica dellaToscana (APET), segnatamente agli indirizzi web http://www.toscanapromozione.ite http://www.apet.toscana.it, sono risultati visibili e liberamente scaricabilii seguenti documenti acquisiti agli atti agli url di seguito indicati, recantitra i nominativi oggetto di diffusione anche quello del segnalante:

a.  "elencoammessi alla prova scritta e diario delle prove - concorso pubblico per esamiper la copertura di n. 1 posto di categoria b profilo professionale b3"collaboratore gestionale per i servizi generali" con mansioni"tecnico-professionali" riservato ai disabili - art. 1 l.68/99",alla pagina http://www.toscanapromozione.it/...;

b.  "elencoammessi all'esame orale e diario della prova - concorso pubblico per esami perla copertura di n. 1 posto di categoria b profilo professionale b3"collaboratore gestionale per i servizi generali" con mansioni"tecnico-professionali" riservato ai disabili - art. 1 l.68/99",all'indirizzo http://www.apet.toscana.it/...;

VISTOche dal medesimo accertamento preliminare è stato altresì verificato che ilnominativo del segnalante nonché quello dei restanti interessati (puremenzionati negli elenchi sopra riportati) sono immediatamente visibili in retetramite l'inserimento delle rispettive generalità nei più diffusi motori diricerca generalisti;

CONSIDERATOche per dato personale si intende "qualunque informazione relativa apersona fisica, identificata o identificabile, anche indirettamente, medianteriferimento a qualsiasi altra informazione, ivi compreso un numero diidentificazione personale" (art. 4, comma 1, lett. b), del Codice);

CONSIDERATOche per diffusione dei dati personali si intende "il dare conoscenza deidati personali a soggetti indeterminati, in qualunque forma, anche mediante laloro messa a disposizione o consultazione" (art. 4, comma 1, lett. m), delCodice);

PRESOATTO che la pubblicazione delle menzionate graduatorie, peraltro risalenti al2010 – recanti in chiaro i dati identificativi degli interessatinell'ambito di un concorso pubblico "riservato ai disabili - art. 1 l.68/99" –, agevolata dalla immediata reperibilità nel web nominatividei destinatari mediante i più diffusi motori di ricerca, ha causato unadiffusione di dati sensibili in quanto idonei a rivelare lo stato di salutedegli interessati (art. 4, comma 1, lett. d), del Codice), in ragionedell'espresso riferimento allo status di disabile degli interessati nonchédell'espresso richiamo (nel medesimo contesto) alla legge n. 68/1999, normativaconcernente le "Norme per il diritto al lavoro dei disabili";

CONSIDERATOche l'art. 22, comma 8, del Codice prevede che nel trattamento effettuato dasoggetti pubblici i "dati idonei a rivelare lo stato di salute non possonoessere diffusi" (cfr., in tal senso, anche l'art. 65, comma 5, e l'art.68, comma 3, del Codice) e che, pertanto, è vietata la diffusione di dati dacui si possa desumere lo stato di malattia o l'esistenza di patologie deisoggetti interessati, compreso qualsiasi riferimento alla condizioni diinvalidità, disabilità o handicap fisici e/o psichici (cfr. i provvedimenti delGarante 22 novembre 2012; 29 novembre 2012; 7 ottobre 2009; 17 settembre 2009; 25 giugno 2009; 8 maggio 2008; 18 gennaio 2007; 27 febbraio 2002);

RICHIAMATEle indicazioni fornite dal Garante con il Provvedimento del 2 marzo 2011 n. 88recante le "Linee guida in materia di trattamento di dati personalicontenuti anche in atti e documenti amministrativi, effettuato da soggettipubblici per finalità di pubblicazione e diffusione sul web" (pubblicatoin G.U. n. 64 del 19 marzo 2011) in cuiè stato precisato che in relazione "alle sole operazioni di comunicazionee di diffusione, le pubbliche amministrazioni, nel mettere a disposizione suipropri siti istituzionali dati personali, contenuti anche in atti e documentiamministrativi (in forma integrale, per estratto, ivi compresi gli allegati),devono preventivamente verificare che una norma di legge o di regolamentopreveda tale possibilità (artt. 4, comma 1, lett. l) e m), 19, comma 3, 20 e21, del Codice), fermo restando comunque il generale divieto di diffusione deidati idonei a rivelare lo stato di salute dei singoli interessati (artt. 22,comma 8, 65, comma 5, 68, comma 3, del Codice)" (par. 2.1.);

RILEVATA,pertanto, l'illiceità del trattamento effettuato dall'APET in relazioneall'avvenuta diffusione di dati idonei a rivelare lo stato di salute degliinteressati in violazione dell'art. 22, comma 8, del Codice;

CONSIDERATOche il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1,lett. d), del Codice, ha il compito di "vietare anche d'ufficio, in tuttoo in parte, il trattamento illecito o non corretto dei dati o disporne ilblocco", nonché "di adottare gli altri provvedimenti previsti dalladisciplina applicabile al trattamento di dati personali";

RITENUTOnecessario, in ragione dell'illiceità del trattamento effettuato, vietare adAPET, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d),del Codice, l'ulteriore diffusione in Internet dei dati personali idonei arivelare lo stato di salute dei soggetti interessati contenuti nei menzionatielenchi;

CONSIDERATO,inoltre, che risulta indispensabile adottare idonei accorgimenti nella pubblicazionedi dette graduatorie, con particolare riferimento alla necessità di rispettareil divieto di diffusione di dati idonei a rivelare lo stato di salutedell'interessato;

CONSIDERATO,in merito, che il Garante, ai sensi degli artt. 143, comma 1, lett. b), e 154,comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d'ufficio,"le misure necessarie o opportune al fine di rendere il trattamentoconforme alle disposizioni vigenti";

RITENUTOnecessario prescrivere ad APET, ai sensi dei citati artt. 143, comma 1, lett.b), e 154, comma 1, lett. c), del Codice, di conformare per il futuro lapubblicazione di atti e documenti in Internet alle disposizioni contenute nelCodice in materia di protezione dei dati personali e nelle citate "Linee guidain materia di trattamento di dati personali contenuti anche in atti e documentiamministrativi, effettuato da soggetti pubblici per finalità di pubblicazione ediffusione sul web", rispettando, in particolare, il divieto di diffusionedei dati idonei a rivelare lo stato di salute degli interessati (art. 22, comma8, del Codice; par. 2.1 delle Linee guida);

RITENUTOdi valutare, con separato provvedimento, gli estremi per contestare al titolaredel trattamento la violazione amministrativa prevista dall'art. 162, comma2-bis, del Codice come modificato dalla legge 27 febbraio 2009, n. 14 diconversione, con modificazioni, del decreto legge del 30 dicembre 2008 n. 207;

TENUTOCONTO che, ai sensi dell'art. 170 del Codice, chiunque essendovi tenuto nonosserva il presente provvedimento di divieto è punito con la reclusione da tremesi a due anni e che ai sensi dell'art. 162, comma 2-ter, del Codice, in casodi inosservanza del medesimo provvedimento, è altresì applicata in sedeamministrativa, in ogni caso, la sanzione del pagamento di una somma datrentamila a centottantamila euro;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatorela prof.ssa Licia Califano;

TUTTO CIO' PREMESSO IL GARANTE

neiconfronti dell'Agenzia di Promozione Economica della Toscana (APET), rilevatal'illiceità del trattamento dei dati effettuato da nei termini indicati inpremessa:

1.vieta, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett.d), del Codice, l'ulteriore diffusione in Internet dei dati personali idonei arivelare lo stato di salute dei soggetti interessati contenuti nellegraduatorie menzionate nel presente provvedimento;

2.prescrive, ai sensi dei citati artt. 143, comma 1, lett. b), e 154, comma 1,lett. c), del Codice, di conformare per il futuro la pubblicazione di atti edocumenti in Internet alle disposizioni contenute nel Codice in materia diprotezione dei dati personali e nelle citate "Linee guida in materia ditrattamento di dati personali contenuti anche in atti e documentiamministrativi, effettuato da soggetti pubblici per finalità di pubblicazione ediffusione sul web", rispettando, in particolare, il divieto di diffusionedei dati idonei a rivelare lo stato di salute degli interessati (art. 22, comma8, del Codice; par. 2.1 delle Linee guida).

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 6 giugno 2013

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia