Il Comune risponde dell’illecita diffusione dei dati personali di un residente compiuta dalla società che gestisce il servizio di raccolta di rifiuti.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy
Indice
1. I fatti
Due persone residenti presso un Comune in provincia di Viterbo presentavano un reclamo al Garante per la protezione dei dati personali in cui sostenevano di aver ricevuto una comunicazione da parte del Comune con cui predetto ente pubblico notificava loro la comunicazione di avvenuta violazione dei dati personali conseguentemente formulavano una richiesta di intervento al garante nei confronti del predetto comune e della società che gestiva il servizio della raccolta di rifiuti nel paese.
In particolare, i reclamanti sostenevano che il Comune gli aveva riferito di essere venuto a conoscenza dalla predetta società della possibilità di una illegittima diffusione su whatsapp e su facebook di una foto di un documento interno con cui il Comune aveva informato la predetta società quali fossero le abitazioni in cui risiedevano soggetti per i quali doveva essere attivata una particolare forma di raccolta dei rifiuti legata all’emergenza epidemiologica da covid 19.
Il Garante, quindi, invitava il Comune e poi la società che gestisce il servizio di raccolta rifiuti a fornire informazioni ai fatti oggetto del reclamo.
Il comune affermava che la Asl di Viterbo aveva riferito della positività al covid di alcuni cittadini del paese e che in considerazione di ciò erano state attivate le procedure previste in questi casi, le quali stabilivano l’invio di due comunicazioni di servizio interno, rispettivamente, al comandante della polizia locale (affinché attivasse il servizio di vigilanza domiciliare dei soggetti affetti dal virus) e alla società direttrice del servizio di raccolta rifiuti (affinché attivasse servizi speciali di raccolta presso le abitazioni dove risiedevano i soggetti affetti dal virus). In particolare, nella comunicazione inviata alla società era presente un elenco con cognome nome indicati con le sole iniziali nonché indirizzo di residenza e data di inizio e fine dell’isolamento dei soggetti che erano stati indicati dall’Asl come affetti dal virus.
Successivamente il commissario prefettizio del comune veniva contattato dall’Asl di Viterbo, la quale riferiva di aver appreso che su whatsapp e su Facebook era apparsa una foto del predetto documento interno inviato dal Comune alla società.
Infine, il Comune precisava che aveva depositato una denuncia-querela dei fatti accaduti e si era attivata per accertare le modalità con cui si era verificato l’evento nonché le eventuali responsabilità.
La società, invece, rappresentava che la condizione di liceità del trattamento erano rinvenibili nello svolgimento di un’attività di pubblico servizio, come quello di raccolta dei rifiuti, e che il rapporto giuridico intercorrente tra il Comune e la società era costituito da un contratto di servizio con cui la società era stata incaricata di effettuare il servizio di raccolta rifiuti.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
23.75 €
2. Società che gestisce raccolta di rifiuti diffonde dati personali di un residente: la valutazione del Garante
Preliminarmente il Garante ha evidenziato come il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di privacy e soprattutto delle disposizioni previste dal regolamento europeo ed al codice italiano.
Ai sensi delle sopra richiamate normative, qualsiasi informazione che riguarda una persona fisica identificata o identificabile è ritenuto dato personale: la persona fisica viene considerata identificabile allorquando può essere identificata, anche indirettamente, attraverso un identificativo come il nome, un numero di identificazione o dati relativi all’ubicazione. L’interno della categoria dei dati personali, poi, vi sono le categorie particolari di dati, cioè quelle informazioni che rivelano l’origine razziale ed etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale nonché dati relativi alla salute o alla vita sessuale della persona.
Sempre ai sensi delle sopra richiamate disposizioni normative, deve essere intesa come diffusione di dati personali qualsiasi operazione attraverso cui viene data conoscenza dei dati a dei soggetti indeterminati, in qualunque forma essa avvenga (anche mediante la loro messa a disposizione o consultazione). Allorquando i dati vengono trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio dei pubblici poteri, come per il servizio di raccolta rifiuti nel caso di specie, la diffusione e ammessa solo quando sia prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento. Anche in tali casi, tuttavia, il trattamento deve essere effettuato nel rispetto dei principi di illiceità, correttezza e trasparenza nonché di integrità e riservatezza dei dati personali, in base ai quali i dati devono essere trattati in modo da garantire un’adeguata sicurezza dei medesimi, compresa la protezione attraverso l’uso di misure tecniche e organizzative adeguate, in modo da evitare trattamenti non autorizzati o illeciti nonché la perdita, la distruzione o il danno accidentale dei dati.
Nel caso di specie, la società che svolgeva il servizio di raccolta rifiuti ha diffuso dei dati relativi alla salute di alcuni interessati (attraverso l’invio su whatsapp e la pubblicazione su Facebook di una fotografia in cui era rappresentata una comunicazione interna ricevuta dal Comune contenente le iniziali e l’indirizzo di residenza di nove persone affette da Covid), senza tuttavia che vi fosse una base giuridica idonea a legittimare il trattamento.
Tale diffusione è dipesa anche da un’assenza di misure tecniche e organizzative adeguate (quali, ad esempio, circolari e linee guida) idonee a garantire un’adeguata sicurezza dei dati personali anche in termini di attenzione, da parte del personale interno alla società, ai rischi derivanti da trattamenti non autorizzati o illeciti.
3. La decisione del Garante
In considerazione di tutto quanto sopra, secondo il garante la diffusione dei dati personali degli interessati in assenza di una idonea base giuridica, quindi, determinato la violazione della normativa privacy che stabilisce che il titolare del trattamento e il responsabile devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
Conseguentemente, il Garante ha ritenuto di dover comminare una sanzione pecuniaria alla società che gestisce il servizio di raccolta rifiuti del Comune per la diffusione illecita dei predetti dati personali. Per quanto concerne la quantificazione della predetta sanzione, da un lato il garante ha valutato che la diffusione dei dati personali è stata limitata soltanto all’interno di una chat privata di whatsapp nonché di durata circoscritta e relativa ad un numero esiguo di interessati (nove persone). Dall’altro lato, il garante ha valutato che i dati in questione erano estremamente delicati, in quanto idonee a rivelare le condizioni di salute degli interessati. In ragione di ciò, il Garante ha ritenuto di quantificare la sanzione amministrativa pecuniaria in €. 6.000 (seimila).
Scrivi un commento
Accedi per poter inserire un commento