Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Focus

è illecita la pubblicazione nell’albo pretorio da parte di un Comune di dati relativi alla salute di una persona

Avv. Muia’ Pier Paolo 25/02/20
Scarica PDF Stampa
 

Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 3 del 15 gennaio 2020

Fatto

Nel 2018 il Garante per la protezione dei dati personali aveva ricevuto una segnalazione da parte di una persona che lamentava la illecita pubblicazione, da parte del Comune di Francavilla Fontana, sull’ albo pretorio del Comune medesimo, di dati personali che lo riguardavano.

Nel novembre dello stesso anno, così, il Garante effettuava una verifica preliminare, consultando il sito web dell’ente pubblico e riscontrando che nella sezione dedicata all’ albo pretorio era consultabile e scaricabile una Determinazione dirigenziali relativa al soggetto che aveva presentato il reclamo al Garante.

In particolare, all’ interno di detto documento, il Comune provvedeva alla liquidazione delle spese legali relative ad un giudizio in cui era stato condannato lo stesso Comune a favore del reclamante e nella motivazione della determina venivano riportati anche dati personali del reclamante nonché informazioni relative al grado di infermità per cause di servizio di quest’ ultimo e il relativo suo diritto a percepire un equo indennizzo. Inoltre, sempre all’ interno della motivazione della Determina dirigenziale, venivano indicate le coordinate IBAN dell’ avvocato che era stato incaricato dal Comune per l’ assistenza e la difesa nel suddetto giudizio.

A fronte dei risultati emersi dalla suddetta verifica preliminare effettuata dal Garante, quest’ ultimo invitava il Comune a fornire chiarimenti all’ Autorità di controllo.

In sostanza, l’ Ente pubblico si giustificava sostenendo che:

  • la pubblicazione nel sito web dedicato all’ albo pretorio della Determina dirigenziale era avvenuta per mero refuso ed errore materiale del personale incaricato, il quale ultimo non aveva rispetto le disposizioni operative che erano state impartite dal dirigente comunale;
  • il Comune aveva provveduto a rimuovere dal sito web il documento in questione, che non era quindi più visibile nel sito web né rintracciabile con i motori di ricerca utilizzabili sul web;
  • il Comune stava effettuando un percorso per adeguare il proprio sistema di gestione e archiviazione dei documenti alla disciplina introdotta dal GDPR e stava effettuando eventi di formazione sul tema per i propri dipendenti;
  • il Comune aveva disabilitato l’ opzione del proprio software di gestione dei documenti che permetteva di poter visionare nell’ albo pretorio i documenti anche oltre i 15 giorni, facendo così in modo che tutti i documenti – dopo tale periodo temporale di 15 giorni – vengano archiviati e possano essere consultati soltanto dal personale interno all’ Ente pubblico.

Il Garante, preso atto delle giustificazioni di cui sopra, le riteneva non soddisfacenti e soprattutto non idonee per poter portare alla archiviazione del procedimento sanzionatorio avviato e così proseguiva nel medesimo.

Volume consigliato

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.

Stefano Comellini | 2020 Maggioli Editore

12.90 €  10.97 €

Scopri di più

La decisione del Garante

Il Garante, ritenendo appunto non soddisfacenti le giustificazioni date dal Comune nella fase preliminare e non avendo ricevuto ulteriori scritti difensivi da parte dell’ Ente pubblico durante il procedimento, ha ritenuto illecito il comportamento del Comune in violazione della normativa in materia di protezione dei dati personali e conseguentemente ha irrogato nei sui confronti la sanzione pecuniaria dell’ importo di Euro 10.000.

Preliminarmente, il Garante ha individuato le disposizioni normative che si applicano nel caso di specie:

  • l’ articolo 4 del GPDR relativo alla definizione di dati personali, che vengono descritti come quelle informazioni relative a una persona fisica che sia identificata o identificabile; in particolare, si definisce identificabile un soggetto che può essere direttamente o indirettamente identificato attraverso gli elementi identificativi quali il nome, il numero di identificazione, la sua ubicazione, un identificativo online oppure uno o più elementi che caratterizzano la sua identità fisica, fisiologica, psichica, genetica, culturale o economica;
  • l’ articolo 5 del GDPR relativo alle modalità di trattamento dei dati personali, che deve avvenire nel rispetto – fra gli altri – del principio di minimizzazione, cioè in modo tale che i dati siano adeguati, pertinenti e limitati rispetto alla finalità che si persegue con il trattamento stesso;
  • infine, gli articoli del codice della privacy italiano relativi ai dati sulla salute dell’ interessato, i quali vietano la diffusione di dati personali attinenti alla salute fisica o mentale di una persona fisica (ivi compresa la prestazione di servizi di assistenza sanitaria da cui poter ricavare lo stato di salute dell’ interessato).

Ebbene, il Garante ha quindi ritenuto che il Comune abbia effettuato un trattamento non conforme ai suddetti principi in materia di protezione dei dati personali, in considerazione del fatto che ha pubblicato, sul sito web relativo all’ albo pretorio, una Determina dirigenziale nella quale erano visibili i dati sulla salute del reclamante (una persona fisica), ivi compresi i riferimenti alla tipologia di infermità per cause di servizio dell’ interessato, nonché le coordinate IBAN dell’ avvocato che aveva assistito il Comune nel giudizio contro l’ interessato.

In particolare, secondo l’Autorità di controllo, tali condotte violano il suesposto divieto di diffusione di dati relativi alla salute di una persona fisica (per quanto attiene alla pubblicazione delle informazioni sulla infermità dell’ interessato) e il principio di minimizzazione dei dati (per quanto riguarda la pubblicazione delle coordinate bancarie dell’ avvocato).

In considerazione di tali violazioni, il Garante ha ritenuto di applicare una sanzione amministrativa pecuniaria a carico dell’ Ente pubblico, come previsto dal GDPR.

Tale sanzione, secondo quanto previsto dal citato Regolamento europeo, deve essere quantificata, caso per caso, tenendo in considerazione una serie di elementi che sono indicati dalla stessa norma. In particolare, nel caso di specie, il Garante ha valutato i seguenti aspetti della vicenda per quantificare la sanzione:

  • che i dati diffusi erano relativi alla salute dell’interessato, avendo pubblicato le informazioni sulla sua patologia, nonché all’ aspetto economico di un altro interessato, avendo pubblicato il suo IBAN;
  • che il periodo di tempo di pubblicazione di tali dati è stato di oltre due mesi;
  • che la violazione dei suddetti principi in materia di protezione dei dati personali da parte del Comune è stata colposa (e non dolosa), in quanto l’Ente ha riferito che la pubblicazione dei dati era avvenuta per errore;
  • che il Comune ha collaborato con il Garante per porre rimedio alla violazione commessa, cancellando i dati immediatamente dopo aver ricevuto la richiesta di chiarimenti da parte del Garante;
  • che il Comune ha adottato misure tecniche e organizzative per evitare che la violazione si possa ripetere;
  • che non vi erano precedenti violazioni da parte del Comune.

In considerazione di tutti tali aspetti, il Garante ha quindi ritenuto di applicare a carico del Comune la sanzione pecuniaria dell’importo di diecimila euro.

Volume consigliato

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.

Stefano Comellini | 2020 Maggioli Editore

12.90 €  10.97 €

Scopri di più

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Privacy e Cybersecurity
Diritto penale
Legge Cybersicurezza: tutte le modifiche al Codice penale
Antonio Di Tullio D'Elisiis 08/07/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Legge sulla cybersicurezza: obblighi e adempimenti per PA e aziende
Luisa Di Giacomo 04/07/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Società che gestisce raccolta di rifiuti diffonde dati personali di un residente: parere del Garante
Pier Paolo Muià 04/07/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
La legge cybersecurity arriva in Gazzetta Ufficiale

La legge sulla cybersecurity “Disposizioni in materia di rafforzamento della cybersicurezza nazional…

Luisa Di Giacomo 03/07/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;