Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Diffusione sul sito web di un'Azienda sanitaria di dati personali idonei a rivelare lo stato di salute - 24 settembre 2015 [4364539]

[doc. web n. 4364539]

Diffusione sul sito web di un´Azienda sanitaria di dati personali idonei a rivelare lo stato di salute - 24 settembre 2015

Registro dei provvedimenti
n. 490 del 24 settembre 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la segnalazione in atti con la quale è stato rappresentato che l´Azienda USL 8 di Arezzo ha pubblicato online documenti aventi a oggetto «HH;

RILEVATO, da un accertamento preliminare effettuato dall´Ufficio in data 7 settembre 2015, che sul sito web istituzionale dell´Azienda Usl 8 di Arezzo – http://www.usl8.toscana.it/ – al link situato nella homepage denominato «YY» è possibile consultare gli atti adottati dall´ente;

RILEVATO, nel medesimo accertamento preliminare, che nel predetto YY (http://www.usl8.toscana.it/albo/) sono visibili e liberamente scaricabili i seguenti provvedimenti con i relativi allegati:

i. Provvedimento XY

ii. Provvedimento KW

iii. Provvedimento ZH

iv. Provvedimento KJ

RILEVATO che tutti i predetti provvedimenti dispongono la liquidazione di contributi economici a favore di persone affette da disturbi psichiatrici e riportano in chiaro, nei rispettivi allegati A e B, il nome e cognome, la data e il luogo di nascita, il codice fiscale e, in alcuni casi, anche il numero di conto corrente e la banca su cui accreditare le somme dei soggetti malati;

CONSIDERATO che per dato personale si intende «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» (art. 4, comma 1, lett. b, del Codice);

CONSIDERATO che per diffusione dei dati personali si intende «il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» (art. 4, comma 1, lett. m, del Codice);

CONSIDERATO che la diffusione dei dati personali da parte dei soggetti pubblici è ammessa unicamente quando è prevista da una norma di legge o di regolamento nel rispetto dei principi di pertinenza e non eccedenza (art. 19, comma 3, e art. 11, comma 1, lett. d¸ del Codice).

CONSIDERATO che nel trattamento effettuato da soggetti pubblici i «dati idonei a rivelare lo stato di salute non possono essere diffusi» (art. 22, comma 8, del Codice);

CONSIDERATO che, in proposito, anche il d. lgs. 14/3/2013 n. 33, recante il «Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni», prevede, fra i «Limiti alla trasparenza», che «Nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione» e che «Restano fermi i limiti alla diffusione e all´accesso delle informazioni […] relativi alla diffusione dei dati idonei a rivelare lo stato di salute […]» (art. 4, commi 4 e 6. Cfr., inoltre, art. 26, comma 4, con riferimento agli obblighi di pubblicazione di contributi economici di importo superiore a mille euro);

RICHIAMATE, inoltre, le indicazioni fornite dal Garante con il Provvedimento del 15 maggio 2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» (in G.U. 12 giugno 2014, n. 134 suppl. ord. n. 43 e in www.gpdp.it, doc. web n. 3134436), in cui, si evidenzia che:

- è «sempre vietata la diffusione di dati idonei a rivelare lo "stato di salute" (art. 22, comma 8, del Codice) […]» e che, in particolare, «è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l´esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici» (parte prima, par. 2 e par. 9.e.; parte seconda, par. 1. Cfr., inoltre, i provvedimenti del Garante ivi citati in nota 49);

- non risulta giustificato diffondere, con riferimento agli atti di attribuzione di benefici economici – nel rispetto dei principi di necessità, pertinenza e non eccedenza (art. 3, comma 1, e art. 11, comma 1, lett. d, del Codice) – «fra l´altro, dati quali, ad esempio, l´indirizzo di abitazione o la residenza, il codice fiscale di persone fisiche, le coordinate bancarie dove sono accreditati i contributi o i benefici economici (codici IBAN), la ripartizione degli assegnatari secondo le fasce dell´Indicatore della situazione economica equivalente-Isee, l´indicazione di analitiche situazioni reddituali, di condizioni di bisogno o di peculiari situazioni abitative, etc.» (parte prima, par. 9.e.);

PRESO ATTO che la pubblicazione, nel YY presente sul sito web istituzionale dell´Azienda Usl 8 di Arezzo, degli allegati A e B dei citati Provvedimenti del Responsabile di Zona Distretto Valdarno HJ, JH, KH nonché del Provvedimento del Direttore U.O.C. Direzione Attività amministrative decentrate WQ con cui è stata disposta la liquidazione di contributi economici a favore di persone affette da disturbi psichiatrici per gli anni QQ, riportando in chiaro il nome e cognome dei soggetti beneficiari, ha causato una diffusione di dati sensibili in quanto idonei a rivelare il relativo stato di salute (art. 4, comma 1, lett. d, del Codice).

PRESO ATTO, inoltre, che la pubblicazione dei predetti Provvedimenti – che riportavano anche il luogo di nascita, il codice fiscale e, in alcuni casi, il numero di conto corrente e la banca su cui accreditare le somme dei soggetti beneficiari dei contributi – ha causato una diffusione di dati eccedenti rispetto alle finalità del trattamento;

RILEVATA, pertanto, l´illiceità del trattamento effettuato dall´Usl 8 di Arezzo per aver diffuso online:

-  dati idonei a rivelare lo stato di salute dei soggetti affetti da disturbi psichiatrici, in violazione dell´art. 22, comma 8, del Codice;

-  dati personali eccedenti, in violazione dell´art. 11, comma 1, lett. d), del Codice;

CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, ha il compito di «vietare anche d´ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco», nonché «di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento di dati personali»;

RITENUTO necessario, in ragione dell´illiceità del trattamento effettuato, vietare all´Azienda Usl 8 di Arezzo, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l´ulteriore diffusione in Internet – sia attraverso la pubblicazione nell´area dedicata al YY dell´ente che in qualsiasi altra parte del sito web istituzionale – dei dati personali contenuti nei seguenti provvedimenti:

i. Provvedimento XY

ii. Provvedimento KW

iii. Provvedimento ZH

iv. Provvedimento KJ

CONSIDERATO, inoltre, che il Garante, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d´ufficio, «le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti»;

RITENUTO, pertanto, necessario prescrivere all´Azienda Usl 8 di Arezzo di apportare gli opportuni accorgimenti affinché le modalità di pubblicazione degli atti contenenti dati personali sul sito web istituzionale siano conformi alle indicazioni fornite dal Garante con il Provvedimento del 15 maggio 2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» (in G.U. 12 giugno 2014, n. 134 suppl. ord. n. 43 e in www.gpdp.it, doc. web n. 3134436), con particolare riferimento al divieto di diffondere dati idonei a rivelare lo stato di salute dei soggetti interessati e al rispetto dei principi di necessità, pertinenza e non eccedenza (art. 3, comma 1, e art. 11, comma 1, lett. d, del Codice) (cfr. Linee guida, cit., parte prima, par. 2, par. 9.e.; parte seconda, par. 1);

RITENUTO di valutare, con separato provvedimento, gli estremi per contestare dell´Azienda Usl 8 di Arezzo la sanzione amministrativa prevista dagli artt. 162, comma 2-bis, e 167, comma 2, del Codice, in relazione all´avvenuta diffusione di dati idonei a rivelare lo stato di salute, in violazione dell´art. 22, comma 8, del Codice;

TENUTO CONTO che, ai sensi dell´art. 170 del Codice, chiunque essendovi tenuto non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che ai sensi dell´art. 162, comma 2-ter, del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l´illiceità del trattamento dei dati effettuato all´Azienda Usl 8 di Arezzo nei termini indicati in premessa:

1) vieta all´Azienda Usl 8 di Arezzo, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l´ulteriore diffusione in Internet – sia attraverso la pubblicazione nell´area dedicata al YY dell´ente che in qualsiasi altra parte del sito web istituzionale – dei dati personali contenuti nei seguenti provvedimenti:

i. Provvedimento XY

ii. Provvedimento KW

iii. Provvedimento ZH

iv. Provvedimento KJ

2) prescrive all´Azienda Usl 8 di Arezzo, ai sensi dei citati artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, di apportare gli opportuni accorgimenti affinché le modalità di pubblicazione degli atti contenenti dati personali sul sito web istituzionale siano conformi alle indicazioni fornite dal Garante con il Provvedimento del 15 maggio 2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» (in G.U. 12 giugno 2014, n. 134 suppl. ord. n. 43 e in www.gpdp.it, doc. web n. 3134436), con particolare riferimento al divieto di diffondere dati idonei a rivelare lo stato di salute dei soggetti interessati e al rispetto dei principi di necessità, pertinenza e non eccedenza (art. 3, comma 1, e art. 11, comma 1, lett. d, del Codice) (cfr. Linee guida, cit., parte prima, par. 2, par. 9.e.; parte seconda, par. 1);

3) richiede all´Azienda Usl 8 di Arezzo, ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nei precedenti punti 1 e 2 del presente provvedimento e di fornire comunque riscontro entro trenta giorni dalla ricezione dello stesso. Si ricorda che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d. lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 24 settembre 2015

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia