Garante per la protezione
    dei dati personali


Pubblicazione nel sito web istituzionale di un Comune di documenti contenenti dati sensibili idonei a rivelare lo stato di salute

PROVVEDIMENTO DEL 3 OTTOBRE 2013

Registro dei provvedimenti
n. 432 del 3 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia,segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003,n. 196, di seguito "Codice");

VISTAla segnalazione in atti presentata da un'associazione con la quale è statalamentata la pubblicazione, nel sito web istituzionale del Comune di Canicattì(AG) della determinazione dirigenziale n. XX avente a oggetto il "Sostegnoeconomico ai soggetti affetti da JJ" contenente dati personali anchesensibili;

RILEVATO,da un accertamento preliminare effettuato dall'Ufficio in data 16 settembre2013, che sul sito web istituzionale del predetto comune(http://www.comune.canicatti.ag.it/), al link situato nella KK denominato"ZZ", è possibile consultare l'archivio degli atti amministratividell'ente;

RILEVATO,nel medesimo accertamento preliminare, che nell'area relativa alle KK dell'anno2013 è visibile e liberamente scaricabile per intero la predetta determinazioneal seguente url:
http://...;

VISTOche nella predetta determinazione dirigenziale n. XX si fa riferimento allapatologia sofferta dal soggetto beneficiario del sostegno economico (JJ), conindicazione in chiaro dei relativi dati anagrafici (nominativo, luogo e data dinascita);

VISTOche nella stessa determinazione sono, altresì, riportati in chiaro l'importo delbeneficio economico ricevuto e liquidato al "familiare referente" delsuddetto soggetto malato con indicazione dei relativi dati anagrafici(nominativo, luogo e data di nascita), della residenza, del codice fiscale edel numero IBAN su cui accreditare le somme con specificazione della seguentecausale "Sostegno economico al familiare di persona affetta da JJ, ai finidella tracciabilità dei flussi finanziari, ai sensi dell'art. 3 della legge n.136/2010";

VISTOche dal medesimo accertamento preliminare è stato, altresì, verificato che ilnominativo dei soggetti interessati è immediatamente visibile in rete tramitel'inserimento delle generalità dei medesimi nei più diffusi motori di ricercageneralisti come Google;

CONSIDERATOche per dato personale si intende "qualunque informazione relativa apersona fisica, identificata o identificabile, anche indirettamente, medianteriferimento a qualsiasi altra informazione, ivi compreso un numero diidentificazione personale" (art. 4, comma 1, lett. b, del Codice);

CONSIDERATOche per diffusione dei dati personali si intende "il dare conoscenza deidati personali a soggetti indeterminati, in qualunque forma, anche mediante laloro messa a disposizione o consultazione" (art. 4, comma 1, lett. m, delCodice);

CONSIDERATOche i dati personali oggetto di trattamento devono essere "pertinenti,completi e non eccedenti rispetto alle finalità per le quali sono raccolti osuccessivamente trattati" (art. 11, comma 1, lett. d, del Codice);

CONSIDERATOche la "diffusione" di dati personali da parte dei "soggettipubblici" è ammessa unicamente quando è prevista da una specifica norma dilegge o di regolamento (art. 19, comma 3, del Codice);

CONSIDERATOche, comunque, nel trattamento effettuato da soggetti pubblici i "datiidonei a rivelare lo stato di salute non possono essere diffusi" (art. 22,comma 8, del Codice, nonché art. 65, comma 5 e art. 68, comma 3, del Codice) eche, pertanto, è vietata la diffusione di dati da cui si possa desumere lostato di malattia o l'esistenza di patologie dei soggetti interessati, compresoqualsiasi riferimento alla condizioni di invalidità, disabilità o handicapfisici e/o psichici (cfr., fra gli altri, i provvedimenti del Garante del 4aprile 2013, 1, 2, 3, 4; nonché del 22 novembre 2012; 29 novembre 2012; 7 ottobre 2009; 17 settembre 2009; 25 giugno 2009; 8 maggio 2008; 18 gennaio 2007; 27 febbraio 2002);

CONSIDERATOche l'art. 124, comma 1, del d. lgs. 18 agosto 2000, n. 267, recante il"Testo unico delle leggi sull'ordinamento degli enti locali" prevedeche "Tutte le deliberazioni del comune e della provincia sono pubblicatemediante affissione all'albo pretorio, nella sede dell'ente, per quindicigiorni consecutivi, salvo specifiche disposizioni di legge";

CONSIDERATOche l'art. 32, comma 1, della legge 18 giugno 2009, n. 69, avente a oggetto"Disposizioni per lo sviluppo economico, la semplificazione, lacompetitività nonché in materia di processo civile" prevede che dal 1°gennaio 2010 gli obblighi di pubblicazione di atti e provvedimentiamministrativi aventi effetto di pubblicità legale sono assolti con "lapubblicazione nei propri siti informatici da parte delle amministrazioni edegli enti pubblici obbligati"

CONSIDERATO,inoltre, che l'art. 18, comma 1, della Legge Regione Sicilia 16 dicembre 2008,n. 22, prevede l'obbligo a carico delle amministrazioni comunali e provincialidi "rendere noti" sul sito web – "ferme restando ledisposizioni a tutela della privacy" – "tutti gli attideliberativi adottati dalla giunta e dal consiglio e le determinazionisindacali e dirigenziali, ai fini di pubblicità notizia" solo "perestratto";

RICHIAMATEle indicazioni fornite dal Garante con il Provvedimento del 2 marzo 2011recante le "Linee guida in materia di trattamento di dati personalicontenuti anche in atti e documenti amministrativi, effettuato da soggettipubblici per finalità di pubblicazione e diffusione sul web" (pubblicatoin G.U. n. 64 del 19 marzo 2011) in cui è stato precisato, fra l'altro, che:

- in "relazione alle sole operazioni di comunicazione e di diffusione, lepubbliche amministrazioni, nel mettere a disposizione sui propri sitiistituzionali dati personali, contenuti anche in atti e documenti amministrativi(in forma integrale, per estratto, ivi compresi gli allegati), devonopreventivamente verificare che una norma di legge o di regolamento preveda talepossibilità (artt. 4, comma 1, lett. l) e m), 19, comma 3, 20 e 21, delCodice), fermo restando comunque il generale divieto di diffusione dei datiidonei a rivelare lo stato di salute dei singoli interessati (artt. 22, comma8, 65, comma 5, 68, comma 3, del Codice)" (cfr. par. 2.1.);

-"tutte le decisioni assunte dalle amministrazioni in relazione allapubblicazione sui propri siti istituzionali di atti e documenti contenenti datipersonali possono essere oggetto di sindacato da parte del Garante al fine diverificare che siano rispettati i principi di necessità, proporzionalità epertinenza dei dati (artt. 3 e 11, comma 1, del Codice)" (cfr. par. 2.5.);

-"nelle ipotesi in cui specifiche disposizioni di settore individuinodeterminati periodi di tempo per la pubblicazione di atti e provvedimentiamministrativi (es., art. 124, d.lg. n. 267/2000 riguardante le deliberazionidel comune e della provincia che devono essere affisse all'albo pretorio, nellasede dell'ente, per quindici giorni consecutivi), i soggetti pubblici sonotenuti ad assicurare il rispetto dei limiti temporali previsti, rendendoli accessibilisul proprio sito web durante il circoscritto ambito temporale individuato dalledisposizioni normative di riferimento, anche per garantire il diritto all'obliodegli interessati" e che "Trascorsi i predetti periodi di tempospecificatamente individuati, determinate notizie, documenti o sezioni del sitodevono essere rimossi dal web o privati degli elementi identificativi degliinteressati" (cfr. par. 5.2, richiamato dal par. 6.B);

PRESOATTO che la pubblicazione sul sito web del Comune di Canicattì delladeterminazione dirigenziale n. XX – recante in chiaro i dati anagraficidel soggetto affetto da JJ (nominativo, luogo e data di nascita), nonché i datianagrafici (nominativo, luogo e data di nascita) del "familiarereferente" del soggetto malato con indicazione della residenza, del codicefiscale e del numero IBAN su cui accreditare le somme con specificazione dellaseguente causale "Sostegno economico al familiare di persona affetta daJJ, ai fini della tracciabilità dei flussi finanziari, ai sensi dell'art. 3della legge n. 136/2010" – ha causato una diffusione di dati einformazioni personali, fra cui anche dati sensibili in quanto idonei arivelare lo stato di salute del soggetto malato (art. 4, comma 1, lett. d, delCodice);

RILEVATA,pertanto, l'illiceità del trattamento effettuato dal Comune di Canicattì per:

- averdiffuso dati idonei a rivelare lo stato di salute del soggetto affetto da JJ inviolazione dell'art. 22, comma 8, del Codice;

- averdiffuso dati e informazioni personali del "familiare referente" –quali residenza, codice fiscale, numero IBAN su cui accreditare le somme conspecificazione della seguente causale "Sostegno economico al familiare dipersona affetta da JJ, ai fini della tracciabilità dei flussi finanziari, aisensi dell'art. 3 della legge n. 136/2010" – in violazione delprincipio di pertinenza e non eccedenza nel trattamento dei dati personali(art. 11, comma 1, lett. d, del Codice);

- averconservato, nella sezione denominata "ZZ" del sito web, i datianagrafici del "familiare referente" del soggetto malato (nominativo,luogo e data di nascita) in mancanza di un idoneo presupposto normativo inviolazione dell'art. 19, comma 3, del Codice. La determinazione dirigenziale n.XX oggetto della segnalazione, infatti, oltre a non essere stata pubblicata perestratto come previsto dal predetto art. 18 della legge regionale 16/12/2008 n.22, è stata pubblicata con i predetti dati personali in chiaro per un periodosuperiore ai 15 giorni previsti dall'art. 124 del d. lgs. n. 267/2000;

CONSIDERATOche il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1,lett. d), del Codice, ha il compito di "vietare anche d'ufficio, in tuttoo in parte, il trattamento illecito o non corretto dei dati o disporne ilblocco", nonché "di adottare gli altri provvedimenti previsti dalladisciplina applicabile al trattamento di dati personali";

RITENUTOnecessario, in ragione dell'illiceità del trattamento effettuato, vietare alComune di Canicattì, ai sensi dei citati artt. 143, comma 1, lett. c), e 154,comma 1, lett. d), del Codice, l'ulteriore diffusione in Internet – siaattraverso la pubblicazione nell'area denominata "ZZ" che inqualsiasi altra parte del sito web istituzionale – dei dati anagraficidel soggetto affetto da JJ (nominativo, luogo e data di nascita), nonché deidati anagrafici (nominativo, luogo e data di nascita) del "familiarereferente" del soggetto malato e dell'indicazione della relativaresidenza, codice fiscale e numero IBAN su cui accreditare le somme con laspecificazione della causale "Sostegno economico al familiare di personaaffetta da JJ, ai fini della tracciabilità dei flussi finanziari, ai sensidell'art. 3 della legge n. 136/2010", contenuti nella determinazionedirigenziale n. XX (url: http://...);

CONSIDERATO,inoltre, che il Garante, ai sensi degli artt. 143, comma 1, lett. b), e 154,comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d'ufficio,"le misure necessarie o opportune al fine di rendere il trattamentoconforme alle disposizioni vigenti";

RITENUTO,pertanto, necessario prescrivere al Comune di Canicattì, ai sensi dei citatiartt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, diattivarsi presso i responsabili dei principali motori di ricerca generalisti,come Google, al fine di sollecitare la rimozione della copia web delladeterminazione dirigenziale n. XX dagli indici e dalla cache dei motori diricerca;

RITENUTO,altresì, necessario prescrivere al Comune di Canicattì di dare conferma aquesta Autorità di avere provveduto ai predetti adempimenti senza ritardo ecomunque entro il termine di trenta giorni dalla notifica del presenteprovvedimento;

RITENUTOdi valutare, con separato provvedimento, gli estremi per contestare al Comunedi Canicattì la violazione amministrativa prevista dall'art. 162, comma 2-bis,del Codice come modificato dalla legge 27 febbraio 2009, n. 14 di conversione,con modificazioni, del decreto legge del 30 dicembre 2008 n. 207;

TENUTOCONTO che, ai sensi dell'art. 170 del Codice, chiunque essendovi tenuto nonosserva il presente provvedimento di divieto è punito con la reclusione da tremesi a due anni e che ai sensi dell'art. 162, comma 2-ter, del Codice, in casodi inosservanza del medesimo provvedimento, è altresì applicata in sedeamministrativa, in ogni caso, la sanzione del pagamento di una somma datrentamila a centottantamila euro;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatorela prof.ssa Licia Califano;

TUTTO CIO' PREMESSO IL GARANTE

rilevatal'illiceità del trattamento dei dati effettuato dal Comune di Canicattì neitermini indicati in premessa:

1. vietaal Comune di Canicattì, ai sensi dei citati artt. 143, comma 1, lett. c), e154, comma 1, lett. d), del Codice, l'ulteriore diffusione in Internet, siaattraverso la pubblicazione nell'area denominata "ZZ" che inqualsiasi altra parte del sito web istituzionale dei dati anagrafici delsoggetto affetto da JJ (nominativo, luogo e data di nascita), nonché dei datianagrafici (nominativo, luogo e data di nascita) del "familiarereferente" del soggetto malato e dell'indicazione della relativaresidenza, codice fiscale e numero IBAN su cui accreditare le somme con laspecificazione della causale "Sostegno economico al familiare di personaaffetta da JJ, ai fini della tracciabilità dei flussi finanziari, ai sensidell'art. 3 della legge n. 136/2010", contenuti nella determinazionedirigenziale n. XX (url: http://...);

2.prescrive al Comune di Canicattì, ai sensi dei citati artt. 143, comma 1, lett.b), e 154, comma 1, lett. c), del Codice, di attivarsi presso i responsabilidei principali motori di ricerca generalisti, come Google, al fine disollecitare la rimozione della copia web della determinazione dirigenziale n.XX dagli indici e dalla cache dei motori di ricerca;

3.prescrive al Comune di Canicattì, ai sensi dei citati artt. 143, comma 1, lett.b), e 154, comma 1, lett. c), del Codice di dare conferma a questa Autorità diavere provveduto ai predetti adempimenti senza ritardo e comunque entro iltermine di trenta giorni dalla notifica del presente provvedimento.

Aisensi degli artt. 152 del Codice e 10 del d. lgs. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 3 ottobre 2013

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia