Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Trattamento illecito di dati da parte della Regione Calabria - 24 ottobre 2013 [2799174]

[doc. web n. 2799174]

Trattamento illecito di dati da parte della Regione Calabria - 24 ottobre 2013

Registro dei provvedimenti
n. 469 del 24 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, e della dott.ssa Giovanna Bianchi Clerici, componente, e del dott.  Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il ricorso della Signora XY presentato innanzi al T.A.R. Calabria e inoltrato a titolo di formale reclamo anche a questa Autorità, avente a oggetto l´annullamento del provvedimento del 25/5/2010 prot. n. QQ, a firma del Dirigente KW del Settore WW della Regione Calabria, inerente l´accoglimento parziale di un´istanza di accesso ad atti amministrativi;

VISTA la nota dell´Ufficio del 20/8/2010 (prot. n. YY) con cui è stato rappresentato alla Sig.ra XY che, in merito a quanto lamentato nel predetto reclamo, questa Autorità non ha intrapreso iniziative per l´adozione di specifici provvedimenti da parte del Garante poiché la questione non è riconducibile ai compiti a essa demandati (art. 11, comma 1, lett. a, del regolamento n. 1/2007 del 14 dicembre 2007 concernente le procedure interne all´Autorità aventi rilevanza esterna, disponibile sul sito istituzionale www.garanteprivacy.it, doc. web n. 1477480 e pubblicato in G.U. n. 7 del 9 gennaio 2008). Il reclamo presentato, infatti, riguarda l´ostensibilità di documenti amministrativi da parte della Regione Calabria ai sensi della legge 7 agosto 1990 n. 241 e, di conseguenza, le scelte dell´amministrazione – in caso di accoglimento o di diniego dell´accesso, espresso o tacito – non possono essere oggetto di sindacato dinanzi al Garante, in quanto tale valutazione esula dal proprio ambito di competenza;

VISTA la successiva nota della Signora XY con cui è stato segnalato, a integrazione dei fatti descritti nel reclamo, che, comunque, nella Regione Calabria è stata permessa la consultazione, da parte dei dirigenti KJ e HJ, anche al di fuori di una specifica richiesta di accesso ai documenti amministrativi ai sensi della legge n. 241/1990, del fascicolo personale contenente dati personali, peraltro idonei a rivelare lo stato di salute, della predetta XY;

VISTE le note dell´Ufficio (prot. n. HH del 25/10/2010; prot. n. JJ dell´8/3/2011; prot. n. KK del 28/7/2011; prot. n. ZZ del 20/2/2012) con le quali, per i profili di competenza di questa Autorità in materia di protezione dei dati personali, è stato chiesto alla Regione Calabria, fra l´altro, di comunicare ogni informazione utile alla valutazione del caso e di fornire chiarimenti in ordine alla corretta previsione di designazione a incaricati del trattamento (art. 30 del Codice) e all´adozione delle misure di sicurezza (art. 31 ss. del Codice);

VISTO il riscontro fornito dalla Regione Calabria (nota del 07/03/2012, prot. n. 83741/SIAR) alla richiesta di informazioni dell´Ufficio, con il quale la dott.ssa KW – dirigente del Dipartimento "QW" – ribadendo quanto già precedentemente comunicato a questa Autorità (cfr. le note del 20/1/2011 prot. n. 01713, del 8/6/2011 prot. n. 32971 del 26/10/2011 prot. n. 0153747), ha affermato, fra l´altro:

- che il Dott. KJ e la Dott.ssa HJ "al tempo dei fatti contestati erano rispettivamente ZZ gerarchicamente sovraordinati alla dott.ssa XY" e, pertanto, hanno avuto "legittima conoscenza della documentazione contenuta nel fascicolo personale della dipendente XY, in quanto quest´ultima era, al tempo in cui si sono verificati i fatti contestati […] una loro dipendente";

- che "esclusivamente per detta circostanza e limitatamente, quindi alla tipicità della fattispecie oggetto di accertamento, questa dirigenza ha dichiarato che legittimamente, per finalità connesse ad una buona gestione del rapporto di lavoro, ai dirigenti interessati è stato consentito consultare, senza necessità, quindi di formalizzare a tal fine alcun procedimento amministrativo ai sensi dell´art. 112 del D. lgs. 196/2003, gli atti contenuti nel fascicolo della propria dipendente dr.ssa XY e ciò al fine di essere nelle condizioni, sulla base di una conoscenza delle vicende collegate alla carriera della dipendente, di ottimizzare l´impiego della stessa";

- che "nello specifico la reclamante contestava la conoscenza da parte dei propri Dirigenti Dr. KJ  e dr.ssa HJ , delle proprie certificazioni mediche giustificative delle assenze dal servizio, si riteneva opportuno puntualizzare come prima dell´entrata in vigore della recente "Riforma Brunetta" e del nuovo sistema di trasmissione telematica delle certificazioni mediche, era lo stesso Dirigente competente a ricevere, per i consequenziali provvedimenti che la normativa pro tempore vigente imponeva, le certificazioni mediche dei dipendenti assegnati alle proprie strutture";

- che i Dirigenti KJ e HJ in data 21/04/2010 hanno delegato una propria dipendente ad accedere al fascicolo della dott.ssa XY e che "sul registro [dell´accesso all´archivio], infatti, risulta annotato il nominativo del dipendente che per esigenze di servizio ha effettuato la consultazione, il settore di appartenenza del dipendente che effettua la consultazione, la firma dello stesso";

VISTO che, in occasione dell´accertamento ispettivo disposto da questa Autorità – per verificare le iniziative assunte nel Settore "QY" del Dipartimento QJ "QH" della Regione Calabria in relazione alle modalità con cui si è dato attuazione alle misure di sicurezza adottate per il trattamento dei dati personali (artt. 33 ss. del Codice) – la dott.ssa KH, funzionaria del Settore "ZX" del Dipartimento "QH", ha affermato che, con riferimento alle modalità con cui è avvenuta la consultazione del fascicolo personale della dott.ssa XY, "come può evincersi dal registro delle consultazioni dell´archivio, il fascicolo è stato prelevato dalla dott.ssa  ZX – appartenente al Settore JX – in data 21 aprile 2010 e riportato in archivio il giorno stesso" (cfr. verbale redatto in data 29/01/2013, pag. 3);

VISTO che, sempre nel corso del medesimo accertamento ispettivo, il dott. QK, dirigente del Settore "JQ" del Dipartimento "QH", ha, inoltre, rappresentato che, con riferimento, invece, agli "incaricati" del trattamento dei dati personali (art. 30 del Codice), "non sono state formalizzate designazioni scritte degli incaricati con specifico riferimento al trattamento dei dati personali e che non sono state impartite istruzioni scritte al riguardo" (cfr. ivi, pagg. 3-4);

VISTO che, durante lo stesso accertamento, il dott. QK ha, altresì, aggiunto che, con riferimento alle modalità con le quali è avvenuto il ritiro del fascicolo della dott.ssa XY effettuato in data 21/04/2010, "sulla base delle risultanze e degli accertamenti svolti col proprio personale, la dott.ssa ZX  si è presentata presso l´archivio e ha ritirato il predetto fascicolo su disposizione verbale del proprio dirigente, dott. KJ. Non risulta essere stata presentata una delega scritta" (cfr. verbale redatto in data 30/01/2013, pag. 4);

CONSIDERATO che l´omissione della designazione degli incaricati del trattamento e la mancanza di istruzioni scritte in ordine all´ambito del trattamento loro consentito e alle modalità di trattamento dei dati personali effettuato sia con strumenti elettronici che senza, si configura come una mancata applicazione delle misure minime di sicurezza (artt. 33 ss. del Codice, Allegato B al medesimo Codice recante il "Disciplinare tecnico in materia di misure minime di sicurezza");

CONSIDERATO, che l´Ufficio sulla base degli atti dell´istruttoria ha già avviato un autonomo procedimento sanzionatorio per contestare alla Regione Calabria la violazione degli artt. 33 ss. del Codice e dell´Allegato B al medesimo Codice recante il "Disciplinare tecnico in materia di misure minime di sicurezza" in relazione, fra l´altro, alla mancata designazione degli incaricati del trattamento fornendo le prescrizioni di cui all´art. 169, comma 1, del Codice, in ordine all´adozione delle misure minime di sicurezza (nota prot. n. 9145 dell´11/04/2014).

CONSIDERATO che dato personale è "qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale" (art. 4, comma 1, lett. b, del Codice);

CONSIDERATO che sono "dati sensibili", fra gli altri, i dati personali "idonei a rivelare lo stato di salute" (art. 4, comma 1, lett, d, del Codice) e che il trattamento di tali dati da parte dei soggetti pubblici – nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico ma non i tipi di dati sensibili e di operazioni eseguibili – "è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all´articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell´articolo 154, comma 1, lettera g), anche su schemi tipo" (art. 20, comma 2, del Codice);

CONSIDERATO che la "comunicazione" di dati personali è "il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall´interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione" (art. 4, comma 1, lett. l, del Codice);

CONSIDERATO che la Regione Calabria con la delibera del Consiglio dell´11/10/2006 n. 93 ha approvato il regolamento per il trattamento dei dati sensibili e giudiziari che identifica i tipi di dati e di operazioni eseguibili dalla Regione per il trattamento di dati sensibili e giudiziari ai sensi dell´articolo 20 del Codice;

CONSIDERATO che le uniche operazioni di "comunicazione" di dati sensibili e giudiziari ammesse nell´ambito dell´"Instaurazione e gestione del rapporto di lavoro del personale inserito a vario titolo presso l´ente regionale, le aziende sanitarie, gli enti e le agenzie regionali e gli altri enti vigilati e controllati dalla regione, compreso collocamento obbligatorio, assicurazioni integrative" sono quelle identificate nella scheda n. 2 allegata al predetto regolamento;

CONSIDERATO che "trattamento" di dati personali è qualunque operazione o complesso di operazioni, effettuati anche senza l´ausilio di strumenti elettronici, fra cui anche la "comunicazione" di dati personali (art. 4, comma 1, lett. a, del Codice) e che i dati personali oggetto di "trattamento" devono essere pertinenti e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati (art. 11, comma 1, lett. d, del Codice);

CONSIDERATO che i soggetti pubblici "possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa" e che "in applicazione dell´articolo 11, comma 1, lettere c), d) ed e), i soggetti pubblici verificano periodicamente l´esattezza e l´aggiornamento dei dati sensibili e giudiziari, nonché la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l´interessato fornisce di propria iniziativa" (art. 22, commi 3 e 5, del Codice).

PRESO ATTO che dagli atti dell´istruttoria è emerso, altresì, che la Regione Calabria ha consentito la messa a disposizione e consultazione del fascicolo personale della dipendente della Regione Calabria XY, contenente anche le certificazioni mediche giustificative delle assenze dal servizio, ai dirigenti KJ, HJ e alla funzionaria delegata  ZX;

PRESO ATTO che, in tal modo, si è realizzata una "comunicazione" di dati personali idonei a rivelare lo stato di salute dell´interessata – da un soggetto pubblico a soggetti non designati incaricati del trattamento – non previsto dalla scheda n. 2 del predetto regolamento per il trattamento dei dati sensibili e giudiziari approvato dalla Regione Calabria con la delibera del Consiglio dell´11/10/2006 n. 93 e, dunque, al di fuori degli specifici presupposti e garanzie predisposti dal Codice per il trattamento di dati sensibili da parte di soggetti pubblici (art. 20, commi 1 e 2, del Codice);

PRESO ATTO, inoltre, che i dati sulla salute dell´interessata oggetto della predetta comunicazione non risultavano pertinenti rispetto alla finalità per le quali gli stessi dati erano stati raccolti e successivamente trattati, né erano indispensabili per lo svolgimento delle attività istituzionali (art. 11, comma 1, lett. d, art. 22, commi 3 e 5, del Codice).

RILEVATA, pertanto, l´illiceità del trattamento dei dati personali della Sig.ra XY, oggetto della segnalazione, effettuato dalla Regione Calabria per aver consentito la messa a disposizione e consultazione del fascicolo personale, contenente in particolare dati personali idonei a rivelare lo stato di salute dell´interessata, da parte dei dirigenti KJ, HJ e della funzionaria delegata  ZX, in violazione degli articoli 11, comma 1, lett. d, 20, commi 1 e 2, e 22, commi 3 e 5, del Codice;

RITENUTO necessario valutare con separato provvedimento gli estremi per contestare alla Regione Calabria la violazione amministrativa prevista dall´art. 162, comma 2-bis, del Codice (come modificato dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto-legge n. 207 del 30 dicembre 2008) in relazione alla violazione dell´art. 20, commi 1 e 2, del Codice, per l´avvenuta comunicazione a terzi di dati personali sensibili;

CONSIDERATO che resta impregiudicata la facoltà per l´interessata di far valere i propri diritti in sede civile, ove ne ricorrano i presupposti, con specifico riguardo agli eventuali profili di danno in relazione alla condotta illecita accertata (cfr. art. 15 del Codice);

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE

dichiara illecito il trattamento dei dati personali della Sig.ra XY, oggetto della segnalazione, effettuato dalla Regione Calabria per aver consentito la messa a disposizione e consultazione del fascicolo personale, contenente in particolare dati personali idonei a rivelare lo stato di salute dell´interessata, da parte dei dirigenti KJ, HJ e della funzionaria delegata  ZX, in violazione degli articoli 11, comma 1, lett. d, 20, commi 1 e 2, e 22, commi 3 e 5, del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d. lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 24 ottobre 2013

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia