Il Garante Privacy sanziona un Comune per pubblicazione illecita di dati personali

Il Garante per la protezione dei dati personali ha irrogato una sanzione di 12.000 euro a un Comune per la pubblicazione illecita, sul sito istituzionale, dei dati personali di centinaia di cittadini.

Le informazioni erano contenute nei registri delle richieste di accesso civico e documentale, caricati nella sezione Amministrazione trasparente e rimasti consultabili almeno fino ad aprile 2024. Nei documenti erano riportati dettagli riferiti a 1.455 istanze presentate tra il 2017 e settembre 2023: nomi e cognomi dei richiedenti e dei destinatari, numeri di protocollo, oggetto e descrizione delle istanze. In alcuni casi, inoltre, erano presenti dati ulteriormente delicati, come i nominativi di proprietari di immobili, intestatari di pratiche edilizie e persino informazioni riconducibili allo stato di salute di un cittadino

Il Comune, nel corso del procedimento, ha tentato di giustificare la scelta richiamando un’“interpretazione ampia del principio di trasparenza”. Una tesi non accolta dal Garante, che ha ribadito come la corretta applicazione della normativa richieda la tutela della riservatezza dei soggetti coinvolti e l’oscuramento dei dati personali prima della pubblicazione.

L’Autorità ha inoltre ricordato che la diffusione di tali informazioni risulta in contrasto con le Linee guida dell’ANAC e con la circolare del Ministro per la Pubblica Amministrazione, che prevedono in maniera esplicita l’oscuramento dei dati personali nei registri degli accessi resi pubblici online, compresi i nominativi dei richiedenti e delle persone fisiche citate nei documenti.

 

La redazione PERK SOLUTION

PA e obblighi di trasparenza online, il Garante privacy chiede maggiori tutele

Il Garante privacy ha dato parere favorevole ad Anac su altri 6 schemi standard di pubblicazione che le Pubbliche amministrazioni devono seguire per rispettare gli obblighi di trasparenza online. Gli schemi, previsti dal decreto trasparenza (d. lgs. n. 33/2013), tengono conto delle diverse osservazioni formulate dall’Ufficio, affinché la diffusione delle informazioni avvenga nel rispetto del diritto alla protezione dei dati personali degli interessati.

In conformità con la disciplina europea e nazionale in materia, ed evitando così possibili conseguenze sanzionatorie, le Pa dovranno limitarsi a pubblicare nella sezione “amministrazione trasparente” dei rispettivi siti web solo dati previsti dalla normativa vigente nel rispetto dei principi di necessità e proporzionalità. Ad esempio, non potrà essere indicato il grado di parentela dei familiari dei titolari di incarichi politici, di amministrazione, di direzione o di governo, che non abbiano prestato consenso alla pubblicazione dei propri dati reddituali e patrimoniali.

Il Garante ha inoltre chiarito come in relazione alle procedure di conferimento degli incarichi riguardanti la dirigenza sanitaria si applicano gli obblighi di trasparenza previsti per i concorsi pubblici (art. 19 del d. lgs. n. 33/2013) in cui non è prevista la pubblicità di curricula e nominativi di candidati non vincitori.

Nel parere, il Garante privacy ha suggerito di richiamare nello schema di pubblicazione dei dati personali riferiti a “titolari di incarichi politici, di amministrazione, di direzione o di governo e i titolari di incarichi dirigenziali”, la possibilità di consultare le proprie Linee sul trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati (doc. web n. 3134436 e successivi aggiornamenti) che contengono ulteriori indicazioni sulle cautele da adottare.

Il Garante ha infine invitato l’Autorità anticorruzione a valutare l’opportunità di un periodo transitorio che consenta alle pubbliche amministrazioni di uniformarsi progressivamente e gradualmente alle nuove modalità di pubblicazione.

 

La redazione PERK SOLUTION

Cimitero dei feti: il Garante privacy sanziona il Comune di Brescia

Il Garante privacy, con provvedimento del 19 dicembre 2024, ha ordinato al Comune di Brescia il pagamento di una sanzione di 10mila euro per aver trattato in modo illecito i dati personali riportati sulle sepolture dei feti e nel portale online dei servizi cimiteriali della città. Nella apposita sezione di un cimitero comunale, in molti casi, le sepolture riportavano il medesimo nome di fantasia attribuito convenzionalmente ai feti insieme al cognome della madre e alla data di interruzione di gravidanza (riportata come data di nascita/morte coincidente). Ciò accadeva anche nei casi in cui i parenti non avevano richiesto, per i prodotti abortivi e del concepimento, la sepoltura né indicato i dati da riportare sulla stessa. Nel definire il procedimento, l’Autorità ha ritenuto illecita la diffusione di tali dati, perché effettuata in assenza di una base giuridica e in violazione del divieto di diffusione di dati sulla salute, tra i quali rientra l’informazione sull’interruzione di gravidanza.

Il Garante ha ricordato che l’indicazione del cognome della donna o del marito o del compagno, accanto al nome convenzionale attribuito al feto e alla data dell’interruzione di gravidanza può consentire, mediante il raffronto, l’incrocio con altre fonti, o informazioni di contesto, l’identificazione della donna che ha effettuato l’interruzione di gravidanza. Inoltre, in base alla normativa di settore, l’indicazione di nome, cognome e data del decesso è necessaria per identificare esclusivamente i “defunti” e i “nati morti”.

Per rimediare alle violazioni contestate, l’amministrazione comunale – nel corso dell’istruttoria – ha adottato diverse misure correttive tra le quali la copertura delle targhette esistenti e l’uso di un sistema di codici per l’identificazione delle sepolture, la limitazione dei dati accessibili sul portale web e l’eliminazione della dicitura “feti e nati morti”, nonché l’implementazione di una documentazione più rigorosa per le richieste di sepoltura in forma singola dei feti da parte dei parenti.

Concorsi PA, dal Garante Privacy 50mila euro di sanzione a INPS

Il Garante Privacy ha sanzionato con 50mila euro l’INPS per aver pubblicato sul proprio sito web i dati personali di migliaia di partecipanti ad un concorso bandito dall’Istituto. Tra i dati oggetto della violazione oltre all’indicazione del nome e cognome dei candidati e alla data di nascita, il punteggio derivante dalla media dei voti conseguiti nelle prove scritte e orali, il punteggio dei titoli, l’indicazione dell’ammissione con riserva comprensiva anche delle causali relative alla salute, di oltre 5mila interessati tra vincitori e idonei.

L’istruttoria ha avuto origine dalle verifiche effettuate in occasione di un primo procedimento che il Garante aveva definito irrogando all’Istituto una sanzione di 20mila euro per aver diffuso gli atti intermedi del medesimo concorso, poi finiti anche sui social ad opera di terzi. Gli ulteriori accertamenti dell’Autorità hanno evidenziato che anche le graduatorie finali diffuse online contenevano numerose informazioni di dettaglio relative a vicende personali e familiari dei partecipanti, esponendo le persone a possibili danni sul piano reputazionale. A taluni nominativi era infatti associato il riferimento a giudizi pendenti, che seppur relativo al contenzioso con l’amministrazione, ingenerava l’equivoco della sussistenza di precedenti penali.

Come più volte evidenziato dal Garante la pubblicazione delle graduatorie deve avvenire nel rispetto delle norme di settore applicabili con riguardo ai soli dati dei vincitori necessari ad assicurare la pubblicità e la trasparenza. La pubblicazione online, a differenza delle tradizionali forme di pubblicità consente a chiunque, per effetto dei comuni motori di ricerca esterni ai siti, di reperire un insieme consistente di informazioni personali rese disponibili in rete, non sempre aggiornate e di natura differente. Una volta pubblicati e indicizzati i dati rischiano infatti di rimanere in rete per un tempo indefinito e possono essere utilizzati anche per fini ulteriori.

 

La redazione PERK SOLUTION

Responsabile protezione dati, il Garante sanziona 4 Comuni. Al via una nuova serie di controlli su una vasta platea di enti locali

Con l’adozione di quattro provvedimenti [doc. n. 9979112997912899791529979171] sanzionatori nei confronti di enti locali, il Garante Privacy ha concluso la prima fase dell’indagine avviata per verificare il rispetto dell’obbligo di comunicazione all’Autorità dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data protection officer, DPO).

Ed è già al via una nuova serie di controlli indirizzati ad una platea ancora più ampia di Comuni che non hanno comunicato all’Autorità i dati di contatto del RPD. Rilevata la violazione per la mancata comunicazione del RPD il Garante ha comminato a tre enti locali una sanzione di 2.000 euro ciascuno, mentre al quarto ha applicato una sanzione di 5.000 euro, maggiorata poiché l’inadempimento ha riguardato la nomina di due RPD.

In tutti i provvedimenti sanzionatori il Garante ha ricordato che, per essere in linea con il Regolamento Ue, se il titolare del trattamento dei dati personali è un soggetto pubblico, quali, ad esempio, amministrazioni dello Stato, Regioni, Province, Comuni, università, aziende del Servizio sanitario nazionale, è obbligato a designare un RPD e a comunicarne i dati di contatto al Garante privacy, attraverso l’apposita procedura messa a disposizione dall’Autorità sul suo sito.

L’obbligo della comunicazione, previsto nel Regolamento Ue, mira a garantire la possibilità per l’Autorità di garanzia di contattare in modo facile e diretto il RPD, figura che ha tra i suoi compiti anche quello di fungere da punto di riferimento fra il titolare (o responsabile) del trattamento e l’Autorità stessa.

 

La redazione PERK SOLUTION

Garante Privacy: Sanzioni a due Comuni per uso illecito delle registrazioni di un colloquio

Il Garante privacy ha sanzionato due Comuni per uso illecito delle registrazioni audio-video di un colloquio intercorso presso un Comando di Polizia Locale.

L’Autorità è intervenuta a seguito del reclamo di un dipendente di un Comune, all’epoca Vice Commissario di Polizia Locale che si era recato presso gli uffici del Comando di Polizia Locale di un altro Comune e lì aveva avuto un colloquio con un agente su questioni lavorative e condizioni di lavoro.

La Comandante della polizia locale del Comune presso cui lavorava il reclamante aveva chiesto ed ottenuto dall’altro Comune le registrazioni audio-video di tale colloquio, riprese dalla telecamera posta all’interno del Comando, facendo riferimento ad una non meglio precisata indagine di polizia giudiziaria.

Le registrazioni erano state usate per infliggere una sanzione al Vice Commissario che si era poi dimesso. In seguito, il dipendente era deceduto ma il Garante, considerata la gravità dell’accaduto, ha proseguito l’istruttoria d’ufficio. L’Autorità ha ribadito che il datore di lavoro può trattare i dati personali dei dipendenti solo se ciò è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti derivanti dalla disciplina di settore.

Il Garante ha quindi ritenuto illeciti la trasmissione e l’uso delle registrazioni utilizzate per infliggere la sanzione disciplinare, perché privi di una idonea base giuridica. In particolare, l’Autorità ha rilevato la sproporzione dell’acquisizione dell’audio tramite dispositivi di videosorveglianza, con il rischio di “carpire” informazioni sulle opinioni, relazioni o vicende private dei lavoratori o su fatti comunque non rilevanti nell’ambito del rapporto di lavoro.

Diverse le violazioni contestate, tra cui il mancato rispetto della disciplina di settore in materia di controlli a distanza dei lavoratori, la raccolta di dati non attinenti all’attività lavorativa, la mancanza di trasparenza nei confronti degli interessati, l’illecita comunicazione dei dati personali del reclamante da un Comune all’altro, la mancata valutazione di impatto in relazione al sistema di videosorveglianza, la violazione del principio di limitazione della conservazione dei dati. Entrambi i Comuni sono stati sanzionati tenendo conto della gravità degli illeciti, ma anche delle loro modeste dimensioni.

Il Comune che ha raccolto i dati mediante il sistema di videosorveglianza e poi ha trasmesso la registrazione audio video è stato sanzionato per 50.000 euro e a quello che l’ha richiesta e l’ha utilizzata per fini disciplinari è stata applicata una multa di 20.000 euro.

 

La redazione PERK SOLUTION

Whistleblowing: fissate le garanzie per il dipendente che si rivolge all’Anac

Alla possibilità di segnalare con specifiche garanzie di riservatezza un eventuale illecito presso la propria amministrazione o la propria azienda (“whistleblowing”), si aggiunge ora la possibilità di inviare una segnalazione direttamente all’Autorità Anticorruzione. Questa è una delle innovazioni introdotte dalla recente riforma della disciplina del whistleblowing, cui si riferiscono le Linee guida dell’Anac relative alla presentazione e gestione delle segnalazioni cosiddette “esterne”, sulle quali il Garante ha espresso parere favorevole.

Il testo recepisce le indicazioni fornite dall’Autorità nel corso delle interlocuzioni con Anac per garantire il rispetto della protezione dei dati delle persone coinvolte in tutto il processo di gestione della segnalazione, con particolare riguardo alla riservatezza dell’identità del segnalante e del contenuto della segnalazione stessa, anche mediante il ricorso alla crittografia. La segnalazione “esterna” può essere effettuata in caso di assenza o inefficacia dei canali di segnalazione interna degli enti pubblici o privati ove il lavoratore presta servizio oppure in caso di timore di ritorsione o rischi per l’interesse pubblico.

Le violazioni possono essere segnalate ad Anac in modalità digitale, tramite una specifica piattaforma online, o tramite i canali tradizionali (ad es. servizio telefonico, incontro in presenza) e devono riguardare illeciti circostanziati o che si ritiene potrebbero essere commessi sulla base di elementi concreti. Le Linee guida contengono anche chiarimenti utili sui principali aspetti del nuovo quadro normativo e forniscono indicazioni e princìpi che i datori di lavoro potranno tenere in considerazione nell’attivazione dei propri canali di segnalazione interna.

In continuità con gli orientamenti del Garante in materia, le Linee guida di Anac chiariscono, anche, l’ambito delle condotte segnalabili e ribadiscono la necessità di garantire – nel caso delle segnalazioni tramite piattaforma informatica – la non tracciabilità del segnalante per non vanificare le tutele di riservatezza previste dalla legge, ma di tracciare, a tutela della sicurezza del trattamento, le operazioni effettuate dal personale autorizzato a gestire le segnalazioni (Fonte Garante Privacy).

 

La redazione PERK SOLUTION

Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”. On line la nuova pubblicazione del Garante

In occasione dei cinque anni dalla piena applicazione del GDPR, il Garante privacy lancia una nuova edizione della “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali“. La Guida si propone come un utile strumento di consultazione per chi opera in ambito pubblico e privato, un manuale agile, in particolare per le piccole e medie imprese, e offre una panoramica sui principali aspetti che imprese e soggetti pubblici devono tenere presenti per dare piena attuazione al Regolamento: dai diritti dell’interessato ai doveri dei titolari; dalla trasparenza sull’uso dei dati personali alla liceità del loro trattamento.

Specifica attenzione viene rivolta ai contenuti, ai tempi e modalità con cui il titolare deve: fornire l’informativa all’interessato; valutare le circostanze in cui il titolare deve notificare al Garante privacy, ed eventualmente agli interessati, la violazione di dati personali; provvedere alla designazione del Responsabile della protezione dei dati. Proprio il RPD è una delle novità introdotte dal Regolamento, una figura indipendente, autorevole e con competenze manageriali, che offre consulenza e supporto al titolare e funge da punto di contatto con il Garante.

Nella Guida, il Garante ricorda che con il GDPR la privacy da obbligo avvertito solo in maniera formale diventa parte integrante delle attività di un’organizzazione, che è tenuta al rispetto del principio di responsabilizzazione (“accountability”), in base al quale il titolare deve adottare comportamenti proattivi e attività dimostrabili, finalizzati al rispetto della normativa.

Ma il Regolamento Ue ha introdotto anche nuovi diritti riconosciuti alle persone, come quello di poter trasferire i propri dati da un titolare del trattamento a un altro, compresi i social network (“diritto alla portabilità”), o come il diritto all’oblio, cioè il diritto di non veder riproposte informazioni personali quando non sono più necessarie rispetto alle finalità per le quali sono state raccolte.

 

La redazione PERK SOLUTION

Enti locali: indagine del Garante Privacy sui Responsabili protezione dati. Riscontrate diverse violazioni nella comunicazione dei dati di contatto

Il Garante privacy ha avviato un’indagine nei confronti di grandi enti locali per verificare il rispetto dell’obbligo di comunicazione dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data protection officer, DPO, nell’accezione inglese). Questa attività di controllo interessa enti di grandi dimensioni che effettuano trattamenti di dati personali rilevanti per qualità e quantità ed è volta all’adozione di specifici interventi.

Il Garante ha avviato, nei confronti di alcuni di questi enti inadempienti, appositi procedimenti volti all’adozione di provvedimenti correttivi e sanzionatori. In futuro le stesse verifiche potranno essere estese anche agli enti locali più piccoli e ad altri soggetti pubblici.

Per essere in linea con il Regolamento Ue, il Garante ricorda che quando il trattamento dei dati personali è effettuato da soggetti pubblici (ad es. amministrazioni dello Stato, Regioni, Province, Comuni, università, CCIAA, aziende del Servizio sanitario nazionale etc.), ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni, i titolari e i responsabili del trattamento sono obbligati a designare un RPD e a comunicarne i dati di contatto al Garante privacy, attraverso l’apposita procedura online messa a disposizione dall’Autorità al seguente link: https://servizi.gpdp.it/comunicazionerpd/s/

Questa disposizione mira a garantire che l’Autorità possa contattare il RPD in modo facile e diretto, dato che tra i suoi compiti c’è anche quello di fungere da punto di riferimento fra il soggetto pubblico e l’Autorità stessa.

 

La redazione PERK SOLUTION

Whistleblowing, parere favorevole del Garante della Privacy al recepimento della direttiva UE

Parere favorevole del Garante privacy sullo schema di decreto legislativo che dà attuazione alla direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, la cd. direttiva whistleblowing.

Lo schema di decreto riconduce ad un unico testo normativo la disciplina relativa alla tutela delle persone che segnalano violazioni di norme, tra le quali quelle in materia di protezione dati, di cui siano venute a conoscenza in ambito lavorativo, sia pubblico che privato. Dall’ambito di applicazione del decreto sono escluse contestazioni o rivendicazioni di carattere personale nei rapporti individuali di lavoro o di impiego pubblico e le segnalazioni di violazioni in materia di sicurezza nazionale o di appalti relativi ad aspetti di difesa o sicurezza nazionale.

Lo schema di decreto legislativo recepisce pressoché tutte le indicazioni fornite dall’Autorità al Governo nell’ambito dei lavori preliminari alla stesura del testo attuale, con particolare riguardo alla nozione di violazione, al perfezionamento degli obblighi di riservatezza, alla revisione del termine massimo di conservazione della documentazione.

Lo schema prescrive che il canale di segnalazione deve garantire la riservatezza assoluta del segnalante, delle persone coinvolte e del contenuto della segnalazione stessa (anche mediante il ricorso alla crittografia).

Le segnalazioni possono essere effettuate in forma scritta, anche con modalità informatiche, in forma orale, per telefono o attraverso sistemi di messagistica vocale, oppure infine mediante un incontro diretto. Le informazioni sulle modalità per effettuare il whistleblowing devono essere pubblicate nel sito internet del datore di lavoro in modo chiaro, visibile e accessibile. Con le stesse modalità e garanzie di riservatezza è inoltre prevista la possibilità di effettuare la segnalazione su di un canale esterno attivato presso l’ANAC in caso di assenza o inefficacia dei canali di segnalazione interna, di timore di ritorsione o pericolo per l’interesse pubblico.

Le segnalazioni possono essere conservate solo per il tempo necessario alla loro definizione e comunque per non più di cinque anni a decorrere dalla data di comunicazione dell’esito finale.