Fatti
Il Garante per la protezione dei dati personali ha emanato un’ordinanza ingiunzione nei confronti della Regione Lombardia dopo aver avviato un’attività istruttoria a seguito di una segnalazione da parte di un cittadino. Quest’ultima è stata presentata per contestare una violazione delle disposizioni in materia di protezione dei dati personali da parte della Regione Lombardia che ha diffuso dati personali sul proprio sito web istituzionale. Nello specifico, come riportato nel testo, erano stati diffusi i dati di 104 mila studenti interessati a ricevere contributi economici per l’attività scolastica, previa presentazione del proprio ISEE che, per consentire l’accesso al contributo, occorreva non avesse valore superiore a euro 15.000,00.
In sostanza, dall’istruttoria effettuata dal Garante è emerso che, tramite il sito web della Regione Lombardia, era possibile accedere e scaricare i documenti che riportavano gli elenchi relativi alla selezione dei cittadini per l’erogazione di contributi economici per l’attività scolastica, richiesti da coloro che avevano presentato domanda, permettendo così di accedere a dati e informazioni personali di questi studenti e delle loro famiglie.
>> CLICCA QUI per leggere il provvedimento del Garante
La difesa della Regione Lombardia
A fronte dei fatti che erano emersi a seguito dello svolgimento dell’attività istruttoria da parte del Garante, la Regione, su invito dell’Ufficio a presentare scritti difensivi, ha giustificato il proprio comportamento evidenziando due aspetti. Innanzitutto, l’ente pubblico ha richiamato il disposto normativo dell’arti. 26 D.lgs. 33/2013, affermando che l’eccezione prevista dal comma 4, in forza del quale “è esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al seguente articolo, qualora da questi sia possibile ricavare informazioni relative allo stato di salute ovvero alla situazione economico-sociale degli interessati”, non risultava applicabile alla situazione oggetto dell’istruttoria.
Inoltre, a fronte della contestazione del Garante secondo il quale la soglia del valore ISEE necessaria per accedere al contributo (euro 15.000,00) era indice di una situazione di disagio economico sociale e la sua diffusione-illecita- era idonea a far conoscere la situazione economica, non certo agiata, di un famiglia, l’ente ha richiamato a proprio favore la pronuncia n.6505/2015 della Cassazione la quale ha affermato che lo “stato di disagio” vada inteso in senso rigoroso e consista in una “condizione obiettivamente deteriore rispetto a quella della generalità dei consociati”. Inoltre, a tal fine la Regione ha ricordato che altre misure richiedono, per l’erogazione del contributo, la presentazione delle soglie di reddito (ad es. Reddito di cittadinanza).
In conclusione, la Regione Lombardia ha altresì ricordato di essersi comunque prontamente attivata sia per cessare l’attività di trattamento dei dati oggetto di contestazione, sia per programmare e attivare nuove soluzioni idonee a gestire i processi di pubblicazione degli esiti dei bandi, in conformità alle indicazioni che vengono fornite assiduamente dal Garante.
Consigliamo l’Ebook:
I rischi nel trattamento dei dati – e-Book in pdf
L’ebook analizza gli aspetti pratici dell’attività di analisi dei rischi connessi al trattamento dei dati, partendo dal quadro normativo e fornendo risposte alle principali FAQ in materia di DPIA.Michele IaselliAvvocato, Funzionario del Ministero della Difesa, Docente a contratto di Informatica giuridica all’Università di Cassino e Collaboratore della cattedra di Informatica giuridica alla LUISS ed alla Federico II. Inoltre è Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di Privacy, Informatica giuridica e Diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2021 Maggioli Editore
9.90 € 7.92 €
Le violazioni
L’Ufficio, a seguito delle valutazioni e dell’attività istruttoria inerente, ha accertato una serie di violazioni della normativa privacy compiute dalla Regione Lombardia. In particolare, ha affermato che detto ente, attraverso la diffusione indiscriminata dei dati e delle informazioni contenute nei suddetti documenti pubblicati online, ha violato il disposto dell’art. 26 D.lgs. 33/2013 che impone il divieto di diffusione dei dati identificativi dei soggetti destinatari di contributi economici se da questi è possibile desumere uno stato di disagio economico e sociale. Sul punto il Garante ha anche precisato che i soggetti pubblici, quale la Regione Lombardia, possono diffondere dati personali soltanto se questa attività è prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, com. 1 e 3 del Codice Privacy).
In secondo luogo, il Garante ha ricordato altresì che, nonostante questa possibilità di diffusione dei dati prevista dal GDPR, l’ente è tenuto comunque ad agire nel rispetto dei principi in materia di protezione dei dati che sono previsti nell’art. 5 del citato Regolamento europeo. Tra questi principi, secondo il Garante, nella situazione oggetto della nostra attenzione, non è stato rispettato il c.d. principio di minimizzazione ex art. 5, par. 1, lett. c). Quest’ultimo vuole che il trattamento sia limitato ai soli dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati. In applicazione di di tale principio, quindi, il titolare del trattamento (nel caso di specie, la Regione Lombardia) può, innanzitutto, raccogliere dati personali solo per le finalità che siano determinate, esplicite e legittime, nonché dettagliatamente illustrate nell’informativa, poiché ogni successivo trattamento dovrà risultare compatibile con tali finalità. Inoltre, i dati raccolti dovranno risultare pertinenti e limitati a quanto necessario rispetto alle finalità per le quali i medesimi sono trattati.
Il Garante richiama anche le indicazioni contenute, per le cautele che devono essere adottate dalle pp.aa., nel provvedimento generale n. 243/2014 (recante le Linee guida in materia di trattamento dei dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza su web da soggetti pubblici e da altri enti obbligati). Una di queste indicazioni sancisce espressamente che, in riferimento all’obbligo di pubblicazione degli atti di concessioni di benefici economici, vigono una serie di limitazioni all’obbligo di pubblicazione di questi documenti.
Infine, l’Ufficio ha sostenuto anche che, in riferimento alla soglia di accesso al contributo (fissato in un valore ISEE pari a euro 15.000,00), il divieto di pubblicazione dei dati personali dai quali è possibile ricavare informazioni sullo stato economico-sociale vuole evitare che soggetti che si trovano in disagiate condizioni economiche o sociali non subiscano imbarazzo a causa della diffusione di tali informazioni, ossia a causa della conoscenza di terzi della loro particolare situazione economica.
Ebbene, secondo il Garante la diffusione dei dati da cui si può evincere una situazione economico-sociale particolare dell’interessato, eccede sicuramente la finalità per la quale si è proceduto alla raccolta dei dati di quel soggetto (nel caso di specie per formare elenchi degli aventi diritto alla erogazione dei contributi economici), procurando non indifferenti e non previste conseguenze sui soggetti interessati dal trattamento e dalla diffusione. Ne deriva la violazione del richiamato principio di minimizzazione dei dati.
Trattamento sanzionatorio
Avendo, dunque, accertato le suddette violazioni, il Garante ha proceduto a confermare l’illiceità del trattamento dei dati personali, in quanto la diffusione online dei documenti contenenti i dati personali di soggetti beneficiari del contributo economico, delle informazioni degli studenti beneficiari e della diffusione dei dati personali dei soggetti che non sono stati ammessi all’erogazione del contributo, in assenza di idonei presupposti normativi, si pone in contrasto con i richiamati principi del Codice privacy e del GDPR. Alla luce di queste risultanze, il Garante ha provveduto a comminare una severa sanzione pecuniaria alla Regione Lombardia, pari a €.200.000, nonostante abbia accertato che la condotta tenuta dall’ente fosse di natura colposa e che la stessa amministrazione si fosse prontamente attivata per far cessare gli effetti di tale diffusione e nonostante non risultassero precedenti episodi di violazione delle norme del GDPR commessi dall’ente.
Scrivi un commento
Accedi per poter inserire un commento