Garante per la protezione dei dati personali - Relazione 2017

Il Garante e le pubbliche amministrazioni

In relazione agli eventi sismici che hanno ripetutamente colpito il territorio delle Regioni Lazio, Marche, Umbria e Abruzzo nel 2016, su richiesta del Dipartimento della protezione civile, il Garante ha individuato, ai sensi dell’art. 13, comma 3, del Codice, le modalita' semplificate con le quali il Dipartimento della protezione civile, le regioni e i comuni interessati avrebbero potuto rendere l’informativa in qualita' di titolari o contitolari dei trattamenti dei dati personali raccolti nell’ambito della gestione dello stato di emergenza ed effettuati nel periodo successivo alla scadenza dello stato di emergenza.

Al riguardo, lo stato di emergenza per gli eventi sismici che hanno interessato l’Italia centrale, è stato dichiarato, ai sensi dell’art. 5, l. 24 febbraio 1992, n. 225, e prorogato fino al 20 agosto 2017, con le delibere del Consiglio dei ministri 25 agosto 2016 e 10 febbraio 2017. Il capo del Dipartimento della protezione civile, con ordinanza 28 agosto 2016, n. 389, al fine di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, anche sensibili e giudiziari, nei territori interessati, ha disposto una disciplina derogatoria ad alcune disposizioni del Codice, pur nel rispetto dei principi in esso sanciti, per consentire lo svolgimento degli adempimenti fissati dalla normativa di settore. Tenuto conto dei preminenti interessi salvaguardati con le operazioni di soccorso, in relazione ai trattamenti di dati personali effettuati dai soggetti istituzionali coinvolti, con la predetta ordinanza è stato differito l’adempimento degli obblighi di informativa fino al termine dello stato di emergenza. E' stato altresì previsto che, alla scadenza, la predetta informativa sarebbe stata resa secondo le modalita' semplificate individuate con provvedimento del Garante ai sensi dell’art. 13, comma 3, del Codice.

Con provvedimento 26 luglio 2017, n. 342 (doc. web n. 6820964), pertanto, la pubblicazione dell’informativa in apposita sezione dei siti web istituzionali del Dipartimento della protezione civile, delle regioni e dei comuni degli ambiti territoriali oggetto delle dichiarazioni dello stato di emergenza, è stata ritenuta adeguata ad assicurare la conoscenza necessaria per la tutela dei diritti previsti dalla normativa in materia di protezione dei dati personali.

Interpellato da numerose regioni, istituti scolastici e da singoli interessati, in relazione agli aspetti di protezione dei dati personali connessi ai nuovi obblighi vaccinali previsti dall’art. 1, d.l. n. 73/2017 per i minori di eta' compresa tra zero e sedici anni (come rappresentato nel par. 2.1.1), il Garante si è pronunciato al riguardo con il provv. 1° settembre 2017, n. 365 (doc. web n. 6765917), oggetto di più analitico esame al par. 5.2.1.

E' stata inoltre conclusa l’istruttoria relativa a un progetto sperimentale sulla fiscalita' dell’auto, sottoposto dalla Citta' metropolitana di Roma Capitale nel 2016. Il progetto prevedeva l’invio di una nota di cortesia agli automobilisti residenti nel territorio per segnalare l’assenza di copertura assicurativa obbligatoria e le possibili conseguenze (art. 193, d.lgs. n. 285/1992; art. 13, comma 3, l. n. 689/1981) ed era finalizzato a contrastare il fenomeno dell’evasione dell’obbligo assicurativo, anche in relazione al profilo di evasione dell’imposta provinciale sulle assicurazioni (art. 60, d.lgs. n. 446/1997; artt. 17, d.lgs. n. 68/2011), principale entrata tributaria delle Citta' metropolitane a seguito del subentro alle province (art. 1, comma 47, l. n. 56/2014).

Il Garante ha ritenuto che tale iniziativa, pur se meritoria, non rientrava tra le finalita' istituzionali dell’ente e che, pertanto, il relativo trattamento di dati personali non poteva considerarsi conforme alla disciplina del Codice (art. 18). Ha inoltre osservato che il fenomeno dell’evasione dell’obbligo assicurativo interessa unitariamente l’intero territorio nazionale, così come le conseguenze negative sulle vittime di sinistri stradali non sono necessariamente correlate al territorio di residenza del proprietario del veicolo. Per contrastare il fenomeno, infatti, il legislatore ha istituito la banca dati dei contrassegni assicurativi e ha demandato il risarcimento dei danni provocati da veicoli privi di assicurazione al Fondo di garanzia per le vittime della strada, in un sistema che vede coinvolti, a vario titolo, molteplici attori istituzionali (Ministeri delle infrastrutture e dei trasporti, dello sviluppo economico, Ivass, Consap, Ania, imprese assicurative).

A seguito delle osservazioni formulate dall’Ufficio, la Citta' metropolitana di Roma Capitale, ha accolto l’invito a coinvolgere nell’iniziativa gli altri attori istitu- zionali competenti. In particolare, riconoscendo al Ministero delle infrastrutture e dei trasporti un ruolo centrale nel contrasto al fenomeno dell’evasione dell’obbligo assicurativo per la responsabilita' civile, la Citta' metropolitana ha promosso l’iniziativa presso il predetto Ministero, proponendosi per una prima sperimentazione su base locale, da estendere all’ambito nazionale (nota 9 gennaio 2017).

Un comune ha segnalato alcune criticita' in merito all’applicazione della disciplina civilistica concernente la consegna di dispositivi elettronici al soggetto che li ha rinvenuti, integrate le condizioni previste dal codice civile (artt. 927-929 c.c.). In particolare, è stata evidenziata la potenziale grave compromissione della sfera privata derivante dalla materiale possibilita' di accedere ai dati registrati su tali dispositivi (fotografie, video, rubriche telefoniche, corrispondenza, etc.) anche nel caso in cui, prima della consegna al rinvenitore, si provveda, senza adottare cautele specifiche, alla loro cancellazione; ciò anche in relazione alla prassi in uso presso altri enti locali, consistente nella acquisizione della mera dichiarazione di non utilizzare tali dati resa dalla persona a cui l’oggetto viene consegnato.

Ritenendo condivisibili le preoccupazioni rappresentate dall’ente, l’Ufficio ha indicato al comune alcune misure tecniche da adottare prima della consegna al rinvenitore di tali dispositivi. Ipotizzando che nella maggior parte dei casi gli oggetti smarriti siano apparati di piccole dimensioni compresi nella categoria dei dispositivi portatili (cellulari, smartphone, tablet, computer portatili etc.), è stato suggerito di prevedere, prima della consegna del bene al ritrovatore, la rimozione delle schede eventualmente presenti nel dispositivo, di effettuare il cd. reset dello stesso, portandolo ad una installazione pari al nuovo, priva di dati e di qualsiasi impostazione riferibile all’utente precedente (ivi compresa la disabilitazione delle connessioni di rete eventualmente impostate e di ulteriori impostazioni personalizzate); qualora praticabile, la sovrascrittura irreversibile di tutte le memorie del dispositivo attraverso programmi software ad hoc che, anche in caso di supporti apparentemente privi di dati ed impostazioni personalizzate, renda irrecuperabili i dati e le informazioni di qualsiasi tipo riferibili al precedente proprietario; la rimozione delle schede Sim eventualmente presenti nel dispositivo. Infine, nel caso in cui, per qualsiasi ragione, debba disporsi la distruzione di dispositivi elettronici o, comunque, di supporti contenenti dati personali, al fine di evitare qualsiasi rilevamento ed utilizzo dei dati in essi contenuti, sono state richiamate le prescrizioni contenute nel provvedimento 13 ottobre 2008 (doc. web n. 1571514) (nota 14 febbraio 2017).

In materia di notificazione degli atti giudiziari ai soggetti interessati, è stato segnalato che in risposta a un’istanza in autotutela presentata in relazione alla comunicazione tardiva di un atto, un comune, ritenendo infondata la richiesta, aveva trasmesso al segnalante l’elenco dei soggetti cui erano stati inviati gli atti, tra i quali figurava quello dell’interessato e di altre 67 persone, unitamente agli indirizzi di notifica. Al riguardo l’Ufficio ha evidenziato che il trattamento dei dati personali da parte dei soggetti pubblici è consentito soltanto “per lo svolgimento delle funzioni istituzionali” e che la comunicazione di dati personali a privati è ammessa unicamente quando è prevista da una norma di legge o di regolamento, nel rispetto dei principi di pertinenza e non eccedenza rispetto alle finalita' perseguite (artt. 11, comma 1, lett. d ), 18 e 19, comma 3, del Codice). Nel caso di specie, trasmettendo integralmente il prospetto contenente l’elenco degli avvisi di accertamento notificati a mezzo posta dal comune, senza provvedere ad oscurare i dati personali (nome, cognome e indirizzo) relativi ai soggetti diversi dal segnalante, il comune ha effettuato una comunicazione a privati di dati personali non sorretta da idonea base normativa e non necessaria in relazione alla dichiarata predetta finalita' di dimostrare all’interessato l’avvenuta notifica dell’atto, in violazione degli artt. 19, comma 3, e 11, comma 1, lett. d ), del Codice, per la quale è stato avviato il relativo procedimento sanzionatorio (nota 7 luglio 2017).

In un altro caso, il Garante è intervenuto, dichiarando illecito il trattamento effettuato da un comune a seguito di una segnalazione concernente la diffusione, durante la seduta di un consiglio comunale, di informazioni, anche sensibili, relative a una dipendente. Nella fattispecie esaminata, oltre alla lettura di alcuni stralci di una nota nella quale erano riportati, tra l’altro, dati relativi alla diagnosi e alla prognosi di un accertamento del pronto soccorso e, a periodi di assenza per malattia e infortunio, era stato anche pubblicato il verbale della seduta sul sito istituzionale del comune. Al riguardo, è stato evidenziato che in relazione al trattamento dei dati personali effettuato da soggetti pubblici, specifiche disposizioni prevedono che i “dati idonei a rivelare lo stato di salute non possono essere diffusi”, con la conseguenza che risulta vietata la diffusione di qualsiasi dato da cui possa desumersi lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidita', disabilita' o handicap fisici e/o psichici (art. 22, comma 8, nonchè art. 65, comma 5, del Codice; provv. 15 maggio 2014, n. 243, doc. web n. 3134436). Pertanto, pur prendendo atto del fatto che il verbale non era più rinvenibile sul sito del comune nonchè della circostanza che la vicenda trattata durante il consiglio comunale aveva avuto una certa risonanza mediatica sulla stampa e sui social network, anche prima della seduta consiliare, l’Ufficio ha ritenuto il trattamento in parola non conforme all’art. 22, comma 8, del Codice, e ha avviato il relativo procedimento sanzionatorio (nota 18 maggio 2017).