Garante - Relazione 2016

Nel 2016 sono continuate a pervenire numerose segnalazioni da parte di cittadini e di associazioni di consumatori sul trattamento dei dati personali connesso alle modalita' di controllo delle procedure di raccolta differenziata dei rifiuti urbani prescelte dai comuni. Cio' ha riguardato soprattutto le ispezioni, effettuate da operatori ambientali, del contenuto dei sacchetti dei rifiuti, al fine di identificare presunti trasgressori delle prescrizioni relative alla raccolta differenziata dei rifiuti urbani.

In tali occasioni e' stato ribadito, come gia' evidenziato negli anni precedenti, che agli organi addetti al controllo e' riconosciuta la possibilita' di procedere a ispezioni di cose e luoghi diversi dalla privata dimora per accertare le violazioni di rispettiva competenza (art. 13, l. 24 novembre 1981, n. 689), ma tale facolta' deve essere esercitata selettivamente, nei soli casi in cui il soggetto, che abbia conferito i rifiuti con modalita' difformi da quelle consentite, non sia in altro modo identificabile. Risulterebbe, quindi, invasiva la pratica di ispezioni generalizzate, da parte del personale incaricato (quali agenti di polizia municipale e dipendenti di aziende municipalizzate), del contenuto dei sacchetti al fine di trovare elementi informativi in grado di identificare, presuntivamente, il conferente (cfr. punto 4. d), provv. 14 luglio 2005, doc. web n. 1149822; note 10 e 26 ottobre 2016).

La Citta' metropolitana di Roma capitale ha sottoposto all’Autorita' un progetto sperimentale sulla fiscalita' dell’auto finalizzato a contrastare il fenomeno della mancata copertura assicurativa contro la responsabilita' civile e le sue conseguenze, non solo economiche e sociali (difficolta' di risarcimento alle vittime della strada, costi a carico della collettivita'), ma anche di evasione fiscale dell’imposta provinciale “sulle assicurazioni contro la responsabilita' civile derivante dalla circolazione dei veicoli a motore [...] dove hanno sede i pubblici registri automobilistici nei quali i veicoli sono iscritti” (art. 60, d.lgs. n. 446/1997; art. 17, d.lgs. n. 68/2011), principale entrata tributaria delle citt' metropolitane a seguito del subentro alle province (art 1, comma 47, l. n. 56/2014). Il progetto e' finalizzato all’invio di una nota di cortesia per segnalare ai soggetti residenti nel proprio territorio, l’assenza della copertura assicurativa obbligatoria e le possibili conseguenze, sia sanzionatorie e di sequestro del veicolo (art. 193, d.lgs. n. 285/1992; art. 13, comma 3, l. 689/1981), sia economico sociali. La base di dati che si intende utilizzare per la selezione dei destinatari e' costituita dal sistema informativo della motorizzazione civile, tramite collegamento informativo in dotazione alla Polizia locale della Citta' metropolitana, dalla quale e' possibile estrarre le targhe dei veicoli privi di copertura assicurativa e dei relativi proprietari (artt. 225 e 226, d.lgs. n. 285/1992; artt. 3 e 8, d.P.R. n. 634/1994). Tali dati sarebbero stati poi verificati − in base ad un accordo di collaborazione con Automobile club d’Italia (Aci-Pra) − applicando una serie di criteri per individuare, con ragionevole ed elevata probabilita', tra i veicoli non assicurati, quelli circolanti.

L’istruttoria, non ancora conclusa, ha tenuto conto delle caratteristiche del fenomeno che, per rilevanza e diffusione, riguarda unitariamente l’intero territorio nazionale, nonche' delle competenze assegnate alle citta' Metropolitane (subentrate alle province), del ruolo assegnato dalla legge a numerosi soggetti pubblici e privati per contrastare l’evasione dell’obbligo assicurativo. Si fa riferimento, in particolare, al processo di dematerializzazione dei contrassegni assicurativi e della loro sostituzione con sistemi elettronici e telematici, che vede coinvolti i Ministeri dello sviluppo economico, delle infrastrutture e dei trasporti, l’Ivass e l’Ania con l’istituzione della banca dati dei contrassegni assicurativi (cfr. decreto Ministero delle infrastrutture e dei trasporti 09.08.2013, n. 110; d.l. 24.1.2012, n. 1, convertito in l. 24 marzo 2012, n. 27; d.l. n. 179/2012, convertito in l. n. 221/2012) e relativamente al risarcimento delle vittime, il Fondo di garanzia per le vittime della strada amministrato dalla Consap sotto la vigilanza del Ministero dello sviluppo economico, e finanziato con i contributi annuali delle imprese di assicurazione, commisurato ai premi incassati (cfr. artt. 285 e ss., d.lgs. n. 209/2005, codice delle assicurazioni private).

La Regione Lombardia ha effettuato una comunicazione al Garante, ai sensi degli artt. 19, comma 2, e 39, del Codice, volta a consentire l’acquisizione dalle Aziende ospedaliere della Regione dei dati relativi ai bambini nati come secondogeniti, terzogeniti e oltre, al fine di realizzare un’iniziativa di “informazione diretta ai soggetti interessati” concernente alcune misure di sostegno alla maternita' e alla natalita' introdotte con la delibera della Giunta regionale n. 4152, dell’8 ottobre 2015, e in particolare di un contributo economico una tantum a favore dei neonati, escluso il primogenito, residenti nel territorio lombardo. I dati da acquisire − generalita' e residenza della madre, nome ed ordine di nascita del neonato − rientrano tra quelli contenuti nelle dichiarazioni di nascita rese dai genitori alla “direzione sanitaria dell’ospedale o della casa di cura in cui e' avvenuta la nascita” (art. 30, comma 4, d.P.R. n. 396/2000). L’Autorita' ha al riguardo ammesso l’attivazione del flusso dei dati necessari alla realizzazione dell’iniziativa − quelli acquisiti dalle dichiarazioni di nascita rese dai genitori ai cd. punti nascita − a condizione che tale comunicazione avvenga nel rispetto della normativa dettata a tutela dei minori nonche' di quanto previsto dall’art. 30, comma 1, d.P.R. n. 396/2000, relativamente ai dati personali della madre che abbia dichiarato di non voler essere nominata (provv. 27 gennaio 2016, n. 22, doc. web n. 4806818).

E' stato sottoposto alla valutazione dell’Ufficio il comportamento di un assessore alle politiche sociali di un comune che, in occasione di un’intervista, avrebbe rilasciato alcune informazioni su soggetti beneficiari di provvidenze economiche; cio', con riferimento al contenuto di un articolo, pubblicato su una quotidiano locale, concernente la concessione di contributi economici a favore di soggetti che si impegnavano a rendere servizi utili alla comunita'. L’articolo in questione relativo ad una delle famiglie beneficiarie, pur non riportando alcun dato identificativo degli interessati, indicava la nazionalita', la composizione della famiglia e la circostanza che un membro della stessa si era impegnato a svolgere un servizio di sorveglianza all’uscita della scuola. In merito, e' stato ricordato che la normativa statale di settore in materia di trasparenza stabilisce l’obbligo di pubblicazione degli atti di concessione «delle sovvenzioni, contributi, sussidi ed ausili finanziari alle imprese, e comunque di vantaggi economici di qualunque genere a persone ed enti pubblici e privati», per i quali, tuttavia, «E' esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative»: «allo stato di salute» o «alla situazione di disagio economico-sociale degli interessati» (art. 26, commi 2 e 4, d.lgs. n. 33/2013). Per le ulteriori indicazioni e cautele da adottare in tale ambito, e' stato fatto riferimento alle linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalita' di pubblicita' e trasparenza sul web da soggetti pubblici e da altri enti obbligati del 15 maggio 2014 (doc. web n. 3134436) (nota 23 maggio 2016).

La Regione autonoma della Sardegna ha formulato un quesito in merito alla possibilita' di consentire all’Associazione nazionale per la protezione degli animali che ne aveva fatto richiesta, l’accesso diretto alla banca dati regionale dell’anagrafe canina. Al riguardo, e' stato preliminarmente richiamato il quadro normativo previsto per le comunicazioni di dati personali a soggetti privati − “anche mediante la loro messa a disposizione o consultazione” (artt. 3 e 11, comma 1, lett. b) e d), 19, comma 3 del Codice). Nel caso specifico, la l.r. n. 21, 18 maggio 1994, oltre a prevedere la tipologia di informazioni che devono essere registrate nell’anagrafe canina (art. 4), precisa che tali dati “sono comunicati alle associazioni protezionistiche che ne facciano richiesta” (art. 5, comma 5). Inoltre, in sede di attuazione della normativa nazionale e regionale, adottata con d.P.G.r. Sardegna 4 marzo 1999, n. 1 (regolamento di attua- zione della l. 14 agosto 1991, n. 281 e della l.r. 18 maggio 1994, n. 21 e della l.r. 1 agosto 1996, n. 35 sulla prevenzione del randagismo) e' stato ulteriormente specificato che “i registri dell’anagrafe canina devono essere tenuti nelle Asl di appartenenza e copia relativa deve essere fornita, con i conseguenti aggiornamenti, all’Assessorato dell’igiene, sanita' e assistenza sociale e ad ogni comune interessato. Le associazioni di volontariato possono richiedere copia degli stessi” (art. 14, comma 4). Pertanto, come in ogni altra ipotesi in cui una disposizione normativa preveda puntualmente la comunicazione di dati personali, l’Amministrazione e' chiamata ad applicare la norma che rende ammissibile tale operazione (per es., con riferimento ai presupposti, ai limiti, soggettivi o temporali, alle finalita' ed alle modalita' previste) nel rispetto dei princiÌ€pi di pertinenza e di non eccedenza (artt. 11 e 19, comma 3, del Codice), valutando, nel caso specifico, se l’Associazione richiedente rientra tra i soggetti legittimati. In tal caso, e' possibile prevedere forme di interrogazione o di accesso alla banca dati, in conformita' a quanto previsto dal d.lgs. 7 marzo 2005, n. 82 (Cad), in merito alla disponibilita' dei dati delle pubbliche amministrazioni (art. 50, del Cad), nel rispetto delle prescrizioni contenute nel provvedimento di questa Autorita' del 2 luglio 2015 (doc. web n. 4129029) (nota 25 novembre 2016).

Un altro caso ha riguardato un comune ove, al termine del mandato, alcuni Consiglieri e il Sindaco hanno presentato un reclamo in merito al trattamento dei dati personali connessi alla gestione degli account di posta elettronica istituzionale loro assegnati dall’ente. Gli interessati avevano chiesto all’amministrazione comunale di poter accedere ai propri account e di estrarre una copia di tutti i file di posta elettronica contenuti nelle loro mailbox. La nuova giunta aveva stabilito, con delibera, che l’utilizzo delle caselle di posta assegnate, dichiarate risorse dell’amministrazione, cessa con il cessare della carica, disponendo la disattivazione delle password di accesso dei consiglieri uscenti e l’archiviazione del contenuto delle mailbox istituzionali del sindaco, assessore e consiglieri delle passate amministrazioni in un apposito database dedicato e protetto, anche per tenerli a disposizione dell’autorita' giudiziaria per esigenze investigative connesse a una vicenda giudiziaria pendente presso la locale Procura della Repubblica. Nel caso di specie e' stato rilevato che il comune non aveva reso ai reclamanti alcuna specifica informativa ai sensi dell’art. 13 del Codice in relazione al trattamento dei dati personali connessi alla gestione della posta elettronica ne' risultava adottato un disciplinare interno che regolasse l’uso delle risorse elettroniche dell’ente includendovi le informazioni obbligatorie indicate dall’art. 13 del Codice, cosi' come previsto dal provvedimento in relazione al trattamento dei dati personali connessi alla gestione della posta elettronica (provv. 1 marzo 2007, n. 13, doc. web. 1387522) e ha invitato il comune ad adottare un disciplinare interno che regoli l’uso delle risorse elettroniche dell’ente, includendovi le informazioni obbligatorie indicate dall’art. 13 del Codice (nota 19 febbraio 2016).

In relazione alla segnalazione di un trattamento dei dati personali dei cittadini nell’ambito di una indagine conoscitiva, realizzata online utilizzando il servizio Google forms, erogato in modalita' cloud, da parte di un comune, volto a rilevare le preferenze sulla chiusura o meno al traffico veicolare di una piazza, e' stato rilevato che i dati raccolti (nome e cognome, eta' e indirizzo e-mail) erano stati conservati dal comune, nonostante il sondaggio fosse stato concluso e i tempi che ne giustificavano la conservazione ampiamente scaduti e che l’informativa, resa nell’ambito del sondaggio, non era conforme all’art. 13 del Codice. L’ente, a seguito dell’istruttoria, ha provveduto a cancellare i dati e, per i profili relativi all’informativa, e' stato avviato un procedimento sanzionatorio (nota 19 febbraio 2016).

Nel corso dell’anno, l’Autorita' e' stata investita anche delle problematiche legate ai trattamenti di dati personali necessari al monitoraggio dei flussi di manodopera impiegata nella ricostruzione post-sisma in Abruzzo. In questo quadro, e' stato innanzitutto consentito all’Inps di avvalersi del particolare regime previsto dagli artt. 19 e 39 del Codice per permettere all’Osservatorio per il monitoraggio dei flussi di manodopera, istituito presso la Prefettura de L’Aquila, di fruire di alcuni dati personali necessari allo svolgimento delle attivita' di prevenzione e controllo della manodopera irregolare (cfr. art. 180, comma 2, d.lgs. 12 aprile 2006, n. 163; art. 16, 4 comma 2, d.l. 28 aprile 2009, n. 39 convertito con modificazioni dalla l. 24 giugno 2009, n. 77; d.m. 14 marzo 2003; linee guida del Ministero dell’interno - Comitato di coordinamento per l’alta sorveglianza delle grandi opere del 30 ottobre 2014).

In particolare, non sono stati ravvisati ostacoli per la comunicazione alla Prefettura, da parte dell’Inps, di alcune informazioni estrapolate dalla banca dati Uniemens dell’Istituto riferite alle sole aziende, preventivamente individuate dalla stessa Prefettura, che operano in settori di attivita' collegati agli appalti, nonche' ai relativi collaboratori e lavoratori. Cio', in considerazione della natura dei dati personali oggetto di trasmissione, che non comprendono informazioni sensibili e giudiziarie, nonche' della prospettata limitazione dell’ambito delle aziende interessate dal predetto flusso di informazioni, rispetto a quanto inizialmente rappresentato. Tali informazioni saranno quindi utilizzate dall’Osservatorio per ricavare “indicatori di incongruenze” relative alla disponibilita' di manodopera tra le aziende coinvolte nella ricostruzione, consentendo cosi' alla Prefettura di prevenire possibili flussi irregolari di manodopera e di indirizzare i necessari controlli sui cantieri, anche mediante la segnalazione di eventuali anomalie ai competenti organi di vigilanza. Al riguardo, l’Ufficio ha sottolineato il doveroso rispetto dell’obbligo di rendere l’informativa agli interessati “all’atto della registrazione dei dati o, quando e' prevista la loro comunicazione, non oltre la prima comunicazione” ai sensi dell’art. 13, comma 4, del Codice (nota 23 giugno 2016).