Garante per la protezione
    dei dati personali


Trattamento illecito di dati da partedella Regione Calabria

PROVVEDIMENTO DEL 24 OTTOBRE 2013

Registro dei provvedimenti
 n. 469 del 24 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, e della dott.ssa Giovanna BianchiClerici, componente, e del dott.  Busia, segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003,n. 196, di seguito "Codice");

VISTOil ricorso della Signora XY presentato innanzi al T.A.R. Calabria e inoltrato atitolo di formale reclamo anche a questa Autorità, avente a oggettol'annullamento del provvedimento del 25/5/2010 prot. n. QQ, a firma delDirigente KW del Settore WW della Regione Calabria, inerente l'accoglimentoparziale di un'istanza di accesso ad atti amministrativi;

VISTAla nota dell'Ufficio del 20/8/2010 (prot. n. YY) con cui è stato rappresentatoalla Sig.ra XY che, in merito a quanto lamentato nel predetto reclamo, questaAutorità non ha intrapreso iniziative per l'adozione di specifici provvedimentida parte del Garante poiché la questione non è riconducibile ai compiti a essademandati (art. 11, comma 1, lett. a, del regolamento n. 1/2007 del 14 dicembre2007 concernente le procedure interne all'Autorità aventi rilevanza esterna, epubblicato in G.U. n. 7 del 9 gennaio 2008). Il reclamo presentato, infatti,riguarda l'ostensibilità di documenti amministrativi da parte della RegioneCalabria ai sensi della legge 7 agosto 1990 n. 241 e, di conseguenza, le sceltedell'amministrazione – in caso di accoglimento o di diniego dell'accesso,espresso o tacito – non possono essere oggetto di sindacato dinanzi alGarante, in quanto tale valutazione esula dal proprio ambito di competenza;

VISTAla successiva nota della Signora XY con cui è stato segnalato, a integrazionedei fatti descritti nel reclamo, che, comunque, nella Regione Calabria è statapermessa la consultazione, da parte dei dirigenti KJ e HJ, anche al di fuori diuna specifica richiesta di accesso ai documenti amministrativi ai sensi dellalegge n. 241/1990, del fascicolo personale contenente dati personali, peraltroidonei a rivelare lo stato di salute, della predetta XY;

VISTEle note dell'Ufficio (prot. n. HH del 25/10/2010; prot. n. JJ dell'8/3/2011;prot. n. KK del 28/7/2011; prot. n. ZZ del 20/2/2012) con le quali, per iprofili di competenza di questa Autorità in materia di protezione dei datipersonali, è stato chiesto alla Regione Calabria, fra l'altro, di comunicare ogniinformazione utile alla valutazione del caso e di fornire chiarimenti in ordinealla corretta previsione di designazione a incaricati del trattamento (art. 30del Codice) e all'adozione delle misure di sicurezza (art. 31 ss. del Codice);

VISTOil riscontro fornito dalla Regione Calabria (nota del 07/03/2012, prot. n.83741/SIAR) alla richiesta di informazioni dell'Ufficio, con il quale ladott.ssa KW – dirigente del Dipartimento "QW" – ribadendoquanto già precedentemente comunicato a questa Autorità (cfr. le note del20/1/2011 prot. n. 01713, del 8/6/2011 prot. n. 32971 del 26/10/2011 prot. n. 0153747),ha affermato, fra l'altro:

-   cheil Dott. KJ e la Dott.ssa HJ "al tempo dei fatti contestati eranorispettivamente ZZ gerarchicamente sovraordinati alla dott.ssa XY" e,pertanto, hanno avuto "legittima conoscenza della documentazione contenutanel fascicolo personale della dipendente XY, in quanto quest'ultima era, altempo in cui si sono verificati i fatti contestati [] una lorodipendente";

-   che"esclusivamente per detta circostanza e limitatamente, quindi alla tipicitàdella fattispecie oggetto di accertamento, questa dirigenza ha dichiarato chelegittimamente, per finalità connesse ad una buona gestione del rapporto dilavoro, ai dirigenti interessati è stato consentito consultare, senza necessità,quindi di formalizzare a tal fine alcun procedimento amministrativo ai sensidell'art. 112 del D. lgs. 196/2003, gli atti contenuti nel fascicolo dellapropria dipendente dr.ssa XY e ciò al fine di essere nelle condizioni, sullabase di una conoscenza delle vicende collegate alla carriera della dipendente,di ottimizzare l'impiego della stessa";

-   che"nello specifico la reclamante contestava la conoscenza da parte deipropri Dirigenti Dr. KJ  e dr.ssa HJ , delle proprie certificazionimediche giustificative delle assenze dal servizio, si riteneva opportunopuntualizzare come prima dell'entrata in vigore della recente "RiformaBrunetta" e del nuovo sistema di trasmissione telematica delle certificazionimediche, era lo stesso Dirigente competente a ricevere, per i consequenzialiprovvedimenti che la normativa pro tempore vigente imponeva, le certificazionimediche dei dipendenti assegnati alle proprie strutture";

-   chei Dirigenti KJ e HJ in data 21/04/2010 hanno delegato una propria dipendente adaccedere al fascicolo della dott.ssa XY e che "sul registro [dell'accessoall'archivio], infatti, risulta annotato il nominativo del dipendente che peresigenze di servizio ha effettuato la consultazione, il settore di appartenenzadel dipendente che effettua la consultazione, la firma dello stesso";

VISTOche, in occasione dell'accertamento ispettivo disposto da questa Autorità –per verificare le iniziative assunte nel Settore "QY" delDipartimento QJ "QH" della Regione Calabria in relazione alle modalitàcon cui si è dato attuazione alle misure di sicurezza adottate per iltrattamento dei dati personali (artt. 33 ss. del Codice) – la dott.ssaKH, funzionaria del Settore "ZX" del Dipartimento "QH", haaffermato che, con riferimento alle modalità con cui è avvenuta laconsultazione del fascicolo personale della dott.ssa XY, "come puòevincersi dal registro delle consultazioni dell'archivio, il fascicolo è statoprelevato dalla dott.ssa  ZX – appartenente al Settore JX – indata 21 aprile 2010 e riportato in archivio il giorno stesso" (cfr. verbaleredatto in data 29/01/2013, pag. 3);

VISTOche, sempre nel corso del medesimo accertamento ispettivo, il dott. QK,dirigente del Settore "JQ" del Dipartimento "QH", ha,inoltre, rappresentato che, con riferimento, invece, agli"incaricati" del trattamento dei dati personali (art. 30 del Codice),"non sono state formalizzate designazioni scritte degli incaricati conspecifico riferimento al trattamento dei dati personali e che non sono stateimpartite istruzioni scritte al riguardo" (cfr. ivi, pagg. 3-4);

VISTOche, durante lo stesso accertamento, il dott. QK ha, altresì, aggiunto che, conriferimento alle modalità con le quali è avvenuto il ritiro del fascicolo delladott.ssa XY effettuato in data 21/04/2010, "sulla base delle risultanze edegli accertamenti svolti col proprio personale, la dott.ssa ZX  si èpresentata presso l'archivio e ha ritirato il predetto fascicolo sudisposizione verbale del proprio dirigente, dott. KJ. Non risulta essere statapresentata una delega scritta" (cfr. verbale redatto in data 30/01/2013,pag. 4);

CONSIDERATOche l'omissione della designazione degli incaricati del trattamento e la mancanzadi istruzioni scritte in ordine all'ambito del trattamento loro consentito ealle modalità di trattamento dei dati personali effettuato sia con strumentielettronici che senza, si configura come una mancata applicazione delle misureminime di sicurezza (artt. 33 ss. del Codice, Allegato B al medesimo Codicerecante il "Disciplinare tecnico in materia di misure minime disicurezza");

CONSIDERATO,che l'Ufficio sulla base degli atti dell'istruttoria ha già avviato un autonomoprocedimento sanzionatorio per contestare alla Regione Calabria la violazionedegli artt. 33 ss. del Codice e dell'Allegato B al medesimo Codice recante il"Disciplinare tecnico in materia di misure minime di sicurezza" inrelazione, fra l'altro, alla mancata designazione degli incaricati deltrattamento fornendo le prescrizioni di cui all'art. 169, comma 1, del Codice,in ordine all'adozione delle misure minime di sicurezza (nota prot. n. 9145dell'11/04/2014).

CONSIDERATOche dato personale è "qualunque informazione relativa a persona fisica,identificata o identificabile, anche indirettamente, mediante riferimento aqualsiasi altra informazione, ivi compreso un numero di identificazionepersonale" (art. 4, comma 1, lett. b, del Codice);

CONSIDERATOche sono "dati sensibili", fra gli altri, i dati personali"idonei a rivelare lo stato di salute" (art. 4, comma 1, lett, d, delCodice) e che il trattamento di tali dati da parte dei soggetti pubblici –nei casi in cui una disposizione di legge specifica la finalità di rilevanteinteresse pubblico ma non i tipi di dati sensibili e di operazioni eseguibili –"è consentito solo in riferimento ai tipi di dati e di operazioniidentificati e resi pubblici a cura dei soggetti che ne effettuano iltrattamento, in relazione alle specifiche finalità perseguite nei singoli casie nel rispetto dei principi di cui all'articolo 22, con atto di naturaregolamentare adottato in conformità al parere espresso dal Garante ai sensi dell'articolo154, comma 1, lettera g), anche su schemi tipo" (art. 20, comma 2, delCodice);

CONSIDERATOche la "comunicazione" di dati personali è "il dare conoscenzadei dati personali a uno o più soggetti determinati diversi dall'interessato,dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagliincaricati, in qualunque forma, anche mediante la loro messa a disposizione oconsultazione" (art. 4, comma 1, lett. l, del Codice);

CONSIDERATOche la Regione Calabria con la delibera del Consiglio dell'11/10/2006 n. 93 haapprovato il regolamento per il trattamento dei dati sensibili e giudiziari cheidentifica i tipi di dati e di operazioni eseguibili dalla Regione per iltrattamento di dati sensibili e giudiziari ai sensi dell'articolo 20 delCodice;

CONSIDERATOche le uniche operazioni di "comunicazione" di dati sensibili egiudiziari ammesse nell'ambito dell'"Instaurazione e gestione del rapportodi lavoro del personale inserito a vario titolo presso l'ente regionale, leaziende sanitarie, gli enti e le agenzie regionali e gli altri enti vigilati econtrollati dalla regione, compreso collocamento obbligatorio, assicurazioniintegrative" sono quelle identificate nella scheda n. 2 allegata alpredetto regolamento;

CONSIDERATOche "trattamento" di dati personali è qualunque operazione ocomplesso di operazioni, effettuati anche senza l'ausilio di strumentielettronici, fra cui anche la "comunicazione" di dati personali (art.4, comma 1, lett. a, del Codice) e che i dati personali oggetto di"trattamento" devono essere pertinenti e non eccedenti rispetto allefinalità per le quali sono raccolti o successivamente trattati (art. 11, comma1, lett. d, del Codice);

CONSIDERATOche i soggetti pubblici "possono trattare solo i dati sensibili egiudiziari indispensabili per svolgere attività istituzionali che non possonoessere adempiute, caso per caso, mediante il trattamento di dati anonimi o didati personali di natura diversa" e che "in applicazione dell'articolo11, comma 1, lettere c), d) ed e), i soggetti pubblici verificanoperiodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari,nonché la loro pertinenza, completezza, non eccedenza e indispensabilitàrispetto alle finalità perseguite nei singoli casi, anche con riferimento aidati che l'interessato fornisce di propria iniziativa" (art. 22, commi 3 e5, del Codice).

PRESOATTO che dagli atti dell'istruttoria è emerso, altresì, che la Regione Calabriaha consentito la messa a disposizione e consultazione del fascicolo personaledella dipendente della Regione Calabria XY, contenente anche le certificazionimediche giustificative delle assenze dal servizio, ai dirigenti KJ, HJ e allafunzionaria delegata  ZX;

PRESOATTO che, in tal modo, si è realizzata una "comunicazione" di datipersonali idonei a rivelare lo stato di salute dell'interessata – da unsoggetto pubblico a soggetti non designati incaricati del trattamento –non previsto dalla scheda n. 2 del predetto regolamento per il trattamento deidati sensibili e giudiziari approvato dalla Regione Calabria con la deliberadel Consiglio dell'11/10/2006 n. 93 e, dunque, al di fuori degli specificipresupposti e garanzie predisposti dal Codice per il trattamento di datisensibili da parte di soggetti pubblici (art. 20, commi 1 e 2, del Codice);

PRESOATTO, inoltre, che i dati sulla salute dell'interessata oggetto della predettacomunicazione non risultavano pertinenti rispetto alla finalità per le qualigli stessi dati erano stati raccolti e successivamente trattati, né eranoindispensabili per lo svolgimento delle attività istituzionali (art. 11, comma1, lett. d, art. 22, commi 3 e 5, del Codice).

RILEVATA,pertanto, l'illiceità del trattamento dei dati personali della Sig.ra XY,oggetto della segnalazione, effettuato dalla Regione Calabria per averconsentito la messa a disposizione e consultazione del fascicolo personale,contenente in particolare dati personali idonei a rivelare lo stato di salutedell'interessata, da parte dei dirigenti KJ, HJ e della funzionaria delegata ZX, in violazione degli articoli 11, comma 1, lett. d, 20, commi 1 e 2, e 22,commi 3 e 5, del Codice;

RITENUTOnecessario valutare con separato provvedimento gli estremi per contestare allaRegione Calabria la violazione amministrativa prevista dall'art. 162, comma2-bis, del Codice (come modificato dalla legge 27 febbraio 2009, n. 14 diconversione, con modificazioni, del decreto-legge n. 207 del 30 dicembre 2008)in relazione alla violazione dell'art. 20, commi 1 e 2, del Codice, perl'avvenuta comunicazione a terzi di dati personali sensibili;

CONSIDERATOche resta impregiudicata la facoltà per l'interessata di far valere i propridiritti in sede civile, ove ne ricorrano i presupposti, con specifico riguardoagli eventuali profili di danno in relazione alla condotta illecita accertata(cfr. art. 15 del Codice);

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatorela dott.ssa Augusta Iannini;

TUTTO CIO' PREMESSO IL GARANTE

dichiaraillecito il trattamento dei dati personali della Sig.ra XY, oggetto dellasegnalazione, effettuato dalla Regione Calabria per aver consentito la messa adisposizione e consultazione del fascicolo personale, contenente in particolaredati personali idonei a rivelare lo stato di salute dell'interessata, da partedei dirigenti KJ, HJ e della funzionaria delegata  ZX, in violazione degliarticoli 11, comma 1, lett. d, 20, commi 1 e 2, e 22, commi 3 e 5, del Codice.

Aisensi degli artt. 152 del Codice e 10 del d. lgs. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenzail titolare del trattamento dei dati, entro il termine di trenta giorni dalladata di comunicazione del provvedimento stesso, ovvero di sessanta giorni se ilricorrente risiede all'estero.

Roma, 24 ottobre 2013

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia