Garante per la protezione
    dei dati personali


Vedi anche :Newsletter del 16 luglio2014

Pubblicazione di dati personalirelativi alla condizione di invalidità sul sito istituzionale di una Regione

PROVVEDIMENTO DEL 19 GIUGNO 2014

Registro dei provvedimenti
 n. 313 del 19 giugno2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice");

VISTEle indicazioni fornite dal Garante con il Provvedimento n. 243 del 15 maggio2014 Linee guida in materia di trattamento di dati personali, contenuti anchein atti e documenti amministrativi, effettuato per finalità di pubblicità etrasparenza sul web da soggetti pubblici e da altri enti obbligati;

VISTAla segnalazione presentata il 16 maggio 2014 da XY con la quale è statalamentata la pubblicazione di dati personali relativi alla condizione diinvalidità della segnalante sul sito istituzionale della Regione Abruzzoagevolmente raggiungibili mediante i comuni motori di ricerca;

RILEVATOche da un accertamento preliminare effettuato dall'Ufficio in data 22 maggio2014 è emerso che sul sito web http://www.regione.abruzzo.it, facente capo allaRegione Abruzzo, risultano pubblicati, all'interno della sezione"KW", alla pagina:http:..., gli elenchi dei candidati ammessi e nonammessi alle prove concorsuali relative alla "YY" e "JJ"(n. 2), riservata esclusivamente alle categorie dei disabili di cui all'art. 1della legge n. 68/1999", come da Determinazione Dirigenziale n. ZZ del XX,pure pubblicata;

RILEVATOche gli elenchi pubblicati recano alcune centinaia di  nominativi, tra cuianche quello della segnalante, nonché la data ed il luogo di nascita degliinteressati e la specifica indicazione "ammesso/non ammesso";

VISTOche dal medesimo accertamento preliminare è stato altresì verificato che ilnominativo della segnalante, nonché, come detto, quello dei restantiinteressati, sono immediatamente visibili in rete tramite l'inserimento dellerispettive generalità nei più diffusi motori di ricerca generalisti;

CONSIDERATOche per dato personale si intende "qualunque informazione relativa apersona fisica, identificata o identificabile, anche indirettamente, medianteriferimento a qualsiasi altra informazione, ivi compreso un numero diidentificazione personale" (art. 4, comma 1, lett. b), del Codice);

CONSIDERATOche per diffusione dei dati personali si intende "il dare conoscenza deidati personali a soggetti indeterminati, in qualunque forma, anche mediante laloro messa a disposizione o consultazione" (art. 4, comma 1, lett. m), delCodice);

PRESOATTO che la pubblicazione dei menzionati elenchi – recanti in chiaro idati identificativi degli interessati nell'ambito di una procedura selettivapubblica, riservata ai soggetti disabili di cui alla legge n. 68/1999 –,caratterizzata dall'immediata reperibilità nel web dei nominativi deidestinatari mediante i più diffusi motori di ricerca, ha causato una diffusionedi dati sensibili in quanto idonei a rivelare lo stato di salute degliinteressati (art. 4, comma 1, lett. d), del Codice), in ragione dell'espressoriferimento allo status di disabile degli interessati nonché dell'espressorichiamo (nel medesimo contesto) alla legge n. 68/1999, normativa concernentele "Norme per il diritto al lavoro dei disabili";

CONSIDERATOche l'art. 22, comma 8, del Codice prevede che nel trattamento effettuato dasoggetti pubblici i "dati idonei a rivelare lo stato di salute non possonoessere diffusi" (cfr., in tal senso, anche l'art. 65, comma 5, e l'art.68, comma 3, del Codice) e che, pertanto, è vietata la diffusione di dati dacui si possa desumere lo stato di malattia o l'esistenza di patologie deisoggetti interessati, compreso qualsiasi riferimento alla condizioni diinvalidità, disabilità o handicap fisici e/o psichici (cfr. i provvedimenti delGarante, in particolare tra i più recenti, 6 marzo 2014, n. 109; 6 giugno 2013, n. 277; ma siveda anche, 22 novembre 2012; 29 novembre 2012; 7 ottobre 2009; 17 settembre 2009; 25 giugno 2009; 8 maggio 2008; 18 gennaio 2007; 27 febbraio 2002);

RICHIAMATEle indicazioni fornite dal Garante con il Provvedimento n. 243  del 15maggio 2014, Linee guida in materia di trattamento di dati personali, contenutianche in atti e documenti amministrativi, effettuato per finalità di pubblicitàe trasparenza sul web da soggetti pubblici e da altri enti obbligati (cfr., inparticolare, parte II punto 1);

RILEVATA,pertanto, l'illiceità del trattamento effettuato dalla Regione Abruzzo inrelazione all'avvenuta diffusione di dati idonei a rivelare lo stato di salutedegli interessati in violazione dell'art. 22, comma 8, del Codice;

CONSIDERATOche il Garante, ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma1, lett. d), del Codice, ha il compito di "vietare anche d'ufficio, intutto o in parte, il trattamento illecito o non corretto dei dati o disporne ilblocco", nonché "di adottare gli altri provvedimenti previsti dalladisciplina applicabile al trattamento di dati personali";

RITENUTOnecessario, in ragione dell'illiceità del trattamento effettuato, vietare allaRegione Abruzzo, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma1, lett. d), del Codice, l'ulteriore diffusione in Internet dei dati personaliidonei a rivelare lo stato di salute dei soggetti interessati contenuti neimenzionati elenchi;

CONSIDERATO,inoltre, che risulta indispensabile l'adozione da parte del titolare deltrattamento di idonei accorgimenti nella pubblicazione di detti elenchi, conparticolare riferimento alla necessità di rispettare il divieto di diffusionedi dati idonei a rivelare lo stato di salute dell'interessato;

CONSIDERATO,in merito, che il Garante, ai sensi degli artt. 143, comma 1, lett. b), 144 e154, comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d'ufficio,"le misure necessarie o opportune al fine di rendere il trattamentoconforme alle disposizioni vigenti";

RITENUTOnecessario prescrivere alla Regione Abruzzo, ai sensi dei citati artt. 143,comma 1, lett. b), 144 e 154, comma 1, lett. c), del Codice, di conformare peril futuro la pubblicazione di atti e documenti in Internet alle disposizionicontenute nel Codice in materia di protezione dei dati personali e nelle citateLinee guida, rispettando, in particolare, il divieto di diffusione dei dati idoneia rivelare lo stato di salute degli interessati (art. 22, comma 8, del Codice;parte II, punto 1, Linee guida, cit.);

RITENUTOdi valutare, con separato provvedimento, gli estremi per contestare al titolaredel trattamento la violazione amministrativa prevista dall'art. 162, comma2-bis, del Codice come modificato dalla legge 27 febbraio 2009, n. 14 diconversione, con modificazioni, del decreto legge del 30 dicembre 2008 n. 207;

TENUTOCONTO che, ai sensi dell'art. 170 del Codice, chiunque essendovi tenuto nonosserva il presente provvedimento di divieto è punito con la reclusione da tremesi a due anni e che ai sensi dell'art. 162, comma 2-ter, del Codice, in casodi inosservanza del medesimo provvedimento, è altresì applicata in sedeamministrativa, in ogni caso, la sanzione del pagamento di una somma datrentamila a centottantamila euro;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATOREla prof.ssa Licia Califano;

TUTTO CIO' PREMESSO IL GARANTE

neiconfronti della Regione Abruzzo, rilevata l'illiceità del trattamento dei datieffettuato nei termini indicati in premessa:

1.vieta, ai sensi dei citati artt. 143, comma 1, lett. c), 144 e 154, comma 1,lett. d), del Codice, l'ulteriore diffusione in Internet dei dati personaliidonei a rivelare lo stato di salute dei soggetti interessati contenuti neglielenchi menzionati nel presente provvedimento;

2.prescrive, ai sensi dei citati artt. 143, comma 1, lett. b), 144 e 154, comma1, lett. c), del Codice, di conformare per il futuro la pubblicazione di atti edocumenti in Internet alle disposizioni contenute nel Codice in materia diprotezione dei dati personali e nelle Linee guida in materia di trattamento didati personali, contenuti anche in atti e documenti amministrativi, effettuatoper finalità di pubblicità e trasparenza sul web da soggetti pubblici e daaltri enti obbligati, rispettando, in particolare, il divieto di diffusione deidati idonei a rivelare lo stato di salute degli interessati (art. 22, comma 8,del Codice; parte II, punto 1, Linee guida).

Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 19 giugno  2014

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia