NO ALLA PUBBLICAZIONE SUL SITO DEL COMUNE DEI DATI IDENTIFICATIVI DI DISABILI ED INDIGENTI

Il Garante per la Privacy si è occupato della pubblicazione su un sito web istituzionale di dati identificativi di disabili ed indigenti.

I dati erano relativi a persone fisiche destinatarie di benefici economici da cui era possibile ricavare informazioni relative al loro stato di salute ed alla situazione di disagio economico-sociale.

Più nello specifico il Comune di Messina aveva messo on line una Determina di approvazione di una graduatoria di soggetti aventi diritto all’esenzione o alla riduzione della tassa sui rifiuti, i cui allegati recavano in chiaro dati e informazioni dei soggetti interessati (quali nome e cognome, data di nascita, codice fiscale, importo ISEE, numero dei componenti del nucleo familiare) causando una diffusione:

1. di dati identificativi di persone fisiche destinatarie di benefici economici da cui era possibile ricavare informazioni relative alla situazione di disagio economico-sociale degli interessati, in violazione dell’art. 26, comma 4, del D.Lgs. n. 33/2013 e dell’art. 19, comma 3, del Codice Privacy;
2. di dati sensibili, in quanto idonei a rivelare lo stato di salute, dei soggetti identificati in un allegato interamente riferito a persone invalide al cento per cento, in violazione dell’art. 22, comma 8, del Codice Privacy e dell’art. 26, comma 4, del d. lgs. n. 33/2013.

Con provvedimento n. 213 del 12 aprile 2018 il Garante per la protezione dei dati personali, rilevata l’illiceità del trattamento dei dati effettuato dal Comune di Messina, ha:

• vietato allo stesso l’ulteriore diffusione – sia attraverso la pubblicazione nell’area denominata «Amministrazione trasparente» che in qualsiasi altra parte del sito web istituzionale – dei dati personali contenuti negli allegati alla Determinazione del Dirigente del Dipartimento Politiche sociali in questione;
• prescritto, per il futuro, al Comune di Messina di adottare gli opportuni accorgimenti nella pubblicazione di atti e documenti online al fine di rispettare il divieto di diffondere dati identificativi di persone fisiche destinatarie di benefici economici da cui è possibile ricavare informazioni relative allo stato di salute ed alla situazione di disagio economico-sociale.

Il Garante ha, inoltre, ritenuto di valutare, con separato procedimento, gli estremi per contestare al Comune la sanzione prevista dagli artt. 162, comma 2-bis, e 167, comma 2, del Codice Privacy.

Si rammenta che:

• ai sensi dell’art. 162, comma 2-bis, citato, in caso di trattamento di dati personali effettuato in violazione delle misure minime di sicurezza (art. 33, D.lgs. n. 196/2003) o delle disposizioni indicate nell’articolo 167 é applicata in sede amministrativa la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui all’articolo 33 è, inoltre, escluso il pagamento in misura ridotta;
• ai sensi dell’art. 167, comma 2, citato, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, é punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni;
• dal prossimo 25 maggio 2018 diventerà pienamente operativo il Regolamento Europeo 2016/679 che prevede, in materia di privacy, sanzioni amministrative molto più pesanti di quelle attuali.