Privacy

Il trattamento illecito di dati personali da parte della Pubblica Amministrazione

11 Febbraio 2020 /

Il 28 gennaio si è celebrata la giornata europea della protezione dei dati personali.

Un’ occasione per riflettere sulle trasformazioni cui sta andando incontro la nostra democrazia con l’avvento delle nuove tecnologie di intelligenza artificiale e sulle misure per la tutela dei diritti fondamentali delle persone (leggi anche il post Riconoscimento facciale: ci sono limiti che non possiamo superare ).

Tra le violazioni della privacy per le quali -secondo Federprivacy- il nostro Garante commina più sanzioni a livello europeo, spicca il trattamento illecito di dati personali, vale a dire effettuato in maniera non conforme alla normativa in materia di protezione dei dati personali.

Di recente il Garante della privacy ha avuto modo di pronunciarsi sul trattamento illecito di dati sensibili da parte delle pubbliche amministrazioni.

Con l’ordinanza del 15 gennaio 2010 n.3 infatti il Garante ha inflitto ad un ente locale una sanzione pecuniaria di dieci mila euro per aver pubblicato sul proprio sito istituzionale una delibera – relativa ad un procedimento giudiziario in cui lo stesso ente locale era parte – che riportava in maniera visibile e liberamente accessibile a chiunque, dati personali del reclamante, con dettagliati riferimenti alle infermità dello stesso per cause di servizio.

Senza procedere all’oscuramento di tali dati infatti, la delibera in questione faceva riferimento alla patologia di cui lo stesso reclamante era affetto, nonché all’importo liquidatogli come equo indennizzo.

Ciò in palese contrasto con la normativa in materia di protezione dei dati personali che vieta la diffusione di dati relativi allo stato di salute, fisica o mentale di una persona, attesa la natura particolarmente sensibile dei dati medesimi e che impone una specifica protezione degli stessi al fine di salvaguardare diritti e libertà fondamentali.

Trattamento di determinate categorie di dati personali

Ai sensi dell’art. 9 del GDPR-  il Regolamento europeo relativo  alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che ha abrogato la direttiva 95/46/CE (c.d regolamento generale sulla protezione dei dati personali) –  il trattamento di dati sensibili -tra i quali vanno annoverati oltre ai dati sulla salute di una persona, anche i dati idonei a rivelare l’origine razziale o etnica, le opinioni politiche, l’appartenenza ad un sindacato, la vita sessuale e l’orientamento sessuale di una persona – è consentito con il consenso esplicito dell’interessato; in materia di diritto del lavoro e della sicurezza e protezione sociale, per tutelare un interesse vitale delle persone, per motivi di interesse pubblico nel settore della sanità pubblica e negli altri casi espressamente previsti dal regolamento citato.

Nello stesso provvedimento in esame inoltre il Garante ha ritenuto che la diffusione delle coordinate bancarie dell’avvocato incaricato dal comune – contenute nella determinazione dirigenziale pubblicata on line dall’ente locale- e al quale dovevano essere liquidate le spese del procedimento, violasse il principio di minimizzazione dei dati, che impone che il trattamento venga effettuato in modo adeguato, pertinente e limitato a quanto necessario rispetto alle finalità del trattamento stesso.

Trattamento dati di minori

Ancora in materia di trattamento illecito di dati personali, con il provvedimento del 9 gennaio 2010 n. 1, il Garante ha dichiarato illecita la condotta della provincia di Trento che, con un unico messaggio di posta elettronica indirizzato a sedici destinatari – i cui indirizzi erano stati inseriti nel “campo conoscenza”- comunicava alle famiglie di minori non in regola con l’obbligo di vaccinazione, di non poter ammettere tali minori alle scuole dell’infanzia e dei servizi educativi.

Tale mail, secondo il Garante, conteneva informazioni che si possono qualificare come idonee a rivelare lo stato di salute del minore e necessitavano quindi di essere trattate nel rispetto dei principi di liceità, correttezza, trasparenza e di minimizzazione.

Osserva il Garante infatti, che tra i soggetti non in regola con l’obbligo vaccinale “non è possibile escludere che siano ricompresi minori rientranti nei casi di esonero, omissione o differimento connesse a situazioni di morbilità, pregresse o attuali, temporanee o permanenti che non siano stati -all’epoca dei fatti- ancora oggetto di comunicazione all’istituto scolastico”.

Nel caso di specie pertanto la provincia avrebbe dovuto inviare la mail a ciascun genitore separatamente o utilizzando lo strumento della “copia per conoscenza nascosta” in grado di rendere riservato ogni indirizzo e garantire così la riservatezza della comunicazione.

Con tale provvedimento il Garante ammonendo la provincia a conformare il trattamento dei dati personali alla normativa vigente in materia, non ha ritenuto tuttavia di applicare una sanzione pecuniaria nei confronti della stessa.

Ciò in quanto era stata la stessa Provincia a notificare all’autorità Garante la violazione in questione e tenuto conto che la stessa si era attivata per sensibilizzare le persone autorizzate al trattamento, al rispetto della normativa sulla protezione dei dati personali.

Conclusioni

Ricordiamo infine che l’art. 82 del GDPR attribuisce a chiunque abbia subito un danno, morale o materiale, dal trattamento dei propri dati personali non conforme alla normativa europea,il diritto al risarcimento del danno stesso da parte del titolare o responsabile del trattamento, salvo che quest’ultimo non dimostri che l’evento dannoso non gli sia in alcun modo imputabile.

facebook Share on Facebook
Twitter Tweet
Follow Follow us

Leave a Reply

Il tuo indirizzo email non sarà pubblicato.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso