>>>Leggi l’Ordinanza ingiunzione n. 197 del 26 maggio 2022<<<
1. I fatti
A seguito di una segnalazione ricevuta, il Garante per la protezione dei dati personali accertava che in una pagina web riconducibile alla Regione Toscana era possibile visualizzare e scaricare dei documenti relativi al “Bando Filiera Turismo”, avente ad oggetto degli aiuti economici finalizzati a contenere e contrastare l’emergenza sanitaria Covid-19, i quali contenevano anche dei dati e delle informazioni personali.
In particolare, da detta pagina web era possibile visualizzare e scaricare dei files in formato .pdf che riportavano l’elenco delle domande di partecipazione al suddetto bando, sia quelle ammesse che quelle non ammesse, che erano state presentate dai richiedenti anche persone fisiche (quali professionisti e ditte individuali), le quali contenevano anche l’indicazione dell’importo ricevuto e della residenza o domicilio dell’interessato.
Ritenendo che detta pubblicazione potesse configurare una violazione della normativa in materia di protezione dei dati personali, il Garante invitava la Regione Toscana a inviare le proprie memorie difensive.
La regione sosteneva che i documenti di cui sopra erano degli allegati agli atti amministrativi con cui erano stati concessi i sostegni economici in accoglimento delle domande di partecipazione al “Bando Filiera Turismo” e che la loro pubblicazione era imposta dalla legge regionale toscana, secondo cui nelle procedure valutative con graduatoria (come nel caso dei bandi) l’attività istruttoria finalizzata a valutare le domande presentate si conclude con la predisposizione di una graduatoria delle domande presentate, sia quelle ammesse che quelle non ammesse, in base ai punteggi che sono stati attribuiti all’esito della valutazione.
In secondo luogo, la Regione sosteneva che la normativa in materia di trasparenza della PA, in caso di assegnazione di contributi economici nell’ambito di un bando, impone la pubblicazione di alcuni dati relativi ai soggetti beneficiari della convenzione, quali il nome e i dati fiscali, l’importo del vantaggio economico corrisposto e il link al progetto selezionato e al curriculum del soggetto.
Pertanto, secondo la Regione, se è pur vero che la medesima normativa esclude la pubblicazione dei dati identificativi delle persone fisiche destinatarie di detti contributi economici qualora da tali dati sia possibile ricavare informazioni relative alla situazione di disagio economico degli interessati, tale valutazione spetta alla pubblica amministrazione che eroga il contributo (la quale, soltanto in caso di valutazione positiva, dovrà anonimizzare i dati identificativi dei beneficiari che potrebbero rivelare la condizione di disagio economico di questi ultimi).
Tuttavia, nel caso di specie, la Regione si difendeva sostenendo che non aveva ritenuto configurarsi una situazione di disagio economico degli interessati, in quanto la richiesta di partecipazione al bando di cui sopra non comportava alcuna indicazione sull’ammontare del reddito del richiedente e il requisito della riduzione del fatturato era previsto solo in termini percentuali e non indicato in valori assoluti (cioè, nella domanda si doveva dichiarare di aver subito una riduzione del fatturato pari ad almeno due terzi rispetto all’anno 2019, ma non si doveva indicare a quanto ammontava il fatturato nell’anno di riferimento).
Inoltre, la Regione sosteneva che i dati personali (quali indirizzi e codice fiscale) degli interessati, che erano stati pubblicati nei documenti di cui sopra, erano dati pubblici, ricavabili facilmente e senza limitazioni dal Registro delle imprese o dagli Albi di appartenenza dei professionisti.
Infine, la Regione evidenziava come, dopo l’avvio della procedura da parte del Garante, la stessa aveva rivalutato i dati pubblicati e aveva provveduto a eliminare alcune informazioni che erano oggettivamente non necessarie nella pubblicazione della graduatoria soprattutto delle imprese individuali.
Potrebbero interessarti anche:
- Dati personali sull’incarico ad un avvocato: il Garante interviene
- Ok del Garante privacy a Regolamento per l’uso dell’intelligenza artificiale per la gestione degli esposti
- Il Garante privacy ha negato l’accesso civico ai dati personali di soggetti liquidati dal Comune per sinistri
2. La valutazione del Garante
Preliminarmente, il Garante ha analizzato la normativa in materia di trasparenza, secondo cui gli obblighi di pubblicazione degli atti con cui si attribuiscono contributi economici a persone fisiche ed enti pubblici e privati, sono esclusi in due casi: 1) quando l’importo complessivo erogato è inferiore a mille euro nel corso dell’anno solare; 2) quando dai dati pubblicati è possibile ricavare informazioni relative alla situazione di disagio economico-sociale dell’interessato.
Ciò premesso, il Garante ha ritenuto che, nel caso di specie, la pubblicazione dei dati di cui sopra da parte della Regione configurasse una violazione della normativa in materia di privacy e che non potessero essere accolte le tesi difensive dalla Regione.
In primo luogo, i beneficiari dei contributi economici di cui al citato bando dovevano necessariamente essere soggetti “particolarmente danneggiati” a causa della epidemia da Covid-19 (requisito previsto dal bando) ed in particolare dovevano essere soggetti che si trovavano nella condizione economica per cui l’ammontare del fatturato dal maggio ad agosto 2020 era inferiore ai due terzi dell’ammontare del fatturato dello stesso periodo del 2019.
Ebbene, secondo il Garante, il divieto di pubblicare i dati da cui è possibile ricavare la condizione di disagio economico-sociale dell’interessato, sancita dalla normativa in materia di trasparenza della PA, è previsto per tutelare la dignità, i diritti e le libertà fondamentali dell’interessato e per evitare che i soggetti che si trovano in condizioni economico-sociali disagiate soffrano l’imbarazzo della diffusione di tali informazioni e comunque possano essere sottoposti a conseguenze indesiderate a causa della conoscenza da parte di terzi di detta situazione personale.
Ebbene, la valutazione che è stata fatta dalla Regione Toscana, all’esito della quale ha ritenuto che i dati di cui si discute non fossero idonei a rilevare una condizione di disagio economico-sociale dei richiedenti il sussidio, non è aderente alla suddetta ratio della disposizione normativa.
In secondo luogo, la pubblicazione di tali dati è sproporzionata e viola il principio di minimizzazione dei dati.
A tal proposito, infatti, secondo il Garante, è stata la stessa Regione ad aver ammesso di aver rivalutato i dati pubblicati e provveduto alla rimozione di alcuni di essi che erano oggettivamente non necessari.
Infine, con riferimento al fatto che alcuni dati pubblicati fossero pubblici, in quanto ricavabili dal Registro delle imprese, il Garante ha ritenuto che ciò non rileva ai fini della valutazione della illeicità della diffusione di detti dati da parte della Regione. Infatti, anche la presenza di uno specifico regime di pubblicità, non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga al principio di minimizzazione dei dati.
Ebbene, nel caso di specie, la diffusione del codice fiscale e dell’indirizzo di residenza, unitamente al nominativo del soggetto interessato e alle altre informazioni economiche di cui sopra, è sproporzionata rispetto alla finalità di trasparenza connessa alla pubblicazione della graduatoria del bando.
3. La decisione del Garante
In base alle valutazioni di cui sopra, il Garante per la protezione dei dati personali ha quindi ritenuto che il trattamento dei dati è stato effettuato in violazione dei principi di liceità, correttezza, trasparenza e minimizzazione dei dati ed ha comminato alla Regione una sanzione pecuniaria amministrativa dell’importo di €. 16.000.
Volume consigliato
GDPR: ISPEZIONI E SANZIONI DEL GARANTE
L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.
Stefano Comellini | 2020 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento