Nel periodo di riferimento considerato (Gennaio 2016-Giugno 2016), non si registra l’approvazione di provvedimenti di carattere generale[1] da parte del Garante per la protezione dei dati personali (di seguito ‘Garante’). Nelle presenti note si darà, pertanto, conto di alcuni provvedimenti di divieto e prescrittivi[2] da cui è, comunque, possibile ricavare principi di carattere generale, interpretativi delle norme del d. lgs. n. 196 del 30/6/2006 («Codice in materia di protezione dei dati personali», di seguito ‘Codice privacy’) e applicativi di provvedimenti generali del Garante.
Al riguardo, si segnalano i provvedimenti adottati nelle seguenti macro-aree: 1) quattro provvedimenti in materia di illecita diffusione di dati idonei a rivelare lo stato di salute sul web da parte di soggetti pubblici[3]; 2) tre provvedimenti relativi alla ricezione di comunicazioni commerciali indesiderate e spam[4]; 3) un provvedimento in materia di giornalismo e diffusione dati di soggetti minori[5]; 4) un provvedimento in materia di biometria e rilevazione di impronte digitali di dipendenti di un Comune[6].
1) Con riferimento alla prima categoria di provvedimenti, il Garante è stato chiamato a intervenire in relazione al comportamento di due province che avevano pubblicato sul proprio sito web istituzionale diverse graduatorie, in cui si faceva espresso riferimento allo stato di disabilità dei centinaia di ‘soggetti interessati’[7], con indicazione dei relativi dati identificativi (nome, cognome, data di nascita). Le predette graduatorie, inoltre, risultavano facilmente ricercabili in Internet tramite la consultazione dei più diffusi motori di ricerca generalisti, come Google[8].
Analogamente, è stato valutato il comportamento di un’Azienda USL e di una ASL che sui rispettivi siti web istituzionali avevano pubblicato diversi provvedimenti relativi alla concessione di contributi economici oppure relativi al rimborso delle spese sostenute per l’acquisto di farmaci o per l’effettuazione di controlli post-operatori e di viaggi per eseguire la dialisi, afavore di pazienti affetti da patologie gravi di particolare specificità e rarità, oppure di soggetti assistiti in ricoveri in HOSPICE o in reparti SUAP (ossia di malati terminali o in stato vegetativo). Nei documenti pubblicati online erano indicati in chiaro i nominativi dei soggetti interessati e, a seconda dei casi, la data e il luogo di nascita, l’indirizzo di residenza o il codice fiscale[9].
In tutti i citati casi, è stata vietata l’ulteriore diffusione in Internet da parte dei predetti soggetti pubblici dei dati personali descritti, in quanto rientranti nella categoria di dati sensibili essendo idonei a rivelare lo stato di salute dei soggetti interessati. La condotta tenuta dalle province e dalle aziende sanitarie, infatti, ha violato l’art. 22, comma 8, del Codice privacy, interpretato anche alla luce del provvedimento del Garante n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati»[10], in cui è specificato che è «sempre vietata la diffusione di dati idonei a rivelare lo “stato di salute” (art. 22, comma 8, del Codice) […]» e che, pertanto, «è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici»[11].
2) Con riferimento agli decisioni adottate in materia di comunicazioni commerciali indesiderate e di spam, il Garante è intervenuto, facendo anche seguito alle indicazioni contenute nel provvedimento n. 330 del 4/7/2013 recante le «Linee guida in materia di attività promozionale e contrasto allo spam»[12] e nel provvedimento generale del 29/5/2003 intitolato «Spamming. Regole per un corretto invio delle e-mail pubblicitarie»[13].
Al riguardo, si segnalano i provvedimenti adottati in riscontro alle numerose segnalazioni ricevute, in cui è stata lamentata la ricezione di diversi messaggi di posta elettronica indesiderati a contenuto promozionale, per i quali i soggetti interessati avevano peraltro chiesto al «titolare» del trattamento[14] di rimuovere i propri dati personali[15].
Diverse volte, inoltre, è stato verificato che i soggetti interessati non erano stati messi in grado di «manifestare liberamente e specificamente […] in fase di registrazione, il consenso all’utilizzo dei dati personali a sé riferiti per finalità promozionali»[16].
In proposito, è stato, pertanto, ribadito «che non possono considerarsi legittimi i trattamenti dei dati personali quando, al momento della manifestazione del consenso, gli interessati non sono stati posti in condizione tale da poter esprimere consapevolmente e liberamente (come richiesto in termini generali dall’art. 23 del Codice) le proprie scelte e le proprie determinazioni in merito. Qualora il titolare abbia richiesto un unico consenso per una molteplicità di eterogenee finalità del trattamento ovvero qualora la fornitura di un servizio venga subordinata alla obbligatoria manifestazione del consenso al trattamento dei dati per fini promozionali, tale consenso non può infatti considerarsi liberamente e consapevolmente prestato»[17].
Pertanto, l’Autorità di protezione dei dati ha dichiarato illecito il trattamento dei dati personali effettuato per finalità promozionali e ha prescritto le misure necessarie e opportune al fine di rendere il trattamento conforme alla normativa in materia di protezione dei dati personali.
3) In materia di giornalismo si segnala il caso riguardante la pubblicazione da parte di alcune testate giornalistiche della notizia inerente alla «vicenda di una bimba affetta da una grave malattia che, per decisione dei genitori, [aveva] smesso di frequentare la scuola elementare in ragione dei maggiori rischi cui andava incontro considerato che alcuni suoi compagni non si erano sottoposti alle vaccinazioni volte a prevenire le malattie dell’infanzia». Nella specie, erano stati diffusi il nominativo e la foto della minore nonché, a seconda degli articoli, anche l’età, il luogo di residenza, l’identità della madre, il nome della scuola frequentata.
Il Garante, richiamando le fattispecie disciplinate nell’art. 137, comma 3, del Codice privacy e nell’art. 7 del Codice di deontologia dei giornalisti[18], ha ricordato che «in caso di diffusione di dati personali per finalità giornalistiche restano fermi i limiti del diritto di cronaca a tutela dei diritti di cui all’articolo 2 del medesimo Codice (dignità, riservatezza, identità personale e protezione dei dati personali) e, in particolare, il limite dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico»[19].
Inoltre, poiché la vicenda riguardava un soggetto minore, è stato ribadito che «il diritto del minore alla riservatezza deve essere sempre considerato come primario rispetto al diritto di cronaca» e che «al fine di tutelarne la personalità, il giornalista non [deve] pubblica[re] i nomi dei minori coinvolti in fatti di cronaca, né forni[r]e particolari in grado di condurre alla loro identificazione»[20].
Per un corretto trattamento dei dati, è necessario, altresì, che il «principio di essenzialità dell’informazione e la speciale tutela a favore del minore [siano] interpretati alla luce della particolare protezione accordata, anche nell’esercizio dell’attività giornalistica, alle informazioni idonee a rivelare lo stato di salute (art. 139 del Codice)».
Il Garante ha, quindi, precisato che «Con riguardo al caso di specie, e proprio in relazione a malattie gravi riferibili a una persona identificata e identificabile, il codice di deontologia prescrive al giornalista di rispettarne la dignità, la riservatezza e il decoro personale e di astenersi dal pubblicare dati analitici (art. 10)» e che «Anche la Carta di Treviso, richiamata dal citato art. 7 del codice di deontologia, stabilisce che, in caso di bambini malati, occorre porre “particolare attenzione e sensibilità nella diffusione delle immagini e delle vicende” che li riguardano al fine di evitare forme di sensazionalismo lesive della loro personalità»[21].
In tale quadro, è stato evidenziato che la vicenda riportata dai giornali coinvolgeva sicuramente «un tema di rilevante interesse pubblico (il dibattito in atto sul rapporto rischi/benefici delle vaccinazioni e la preoccupazione manifestata dalla comunità scientifica riguardo a campagne di informazione volte a contestare la validità di tali forme di prevenzione)». Nel caso di specie, inoltre, la diffusione dei dati personali della minore risultava «avvenuta con il consenso dei genitori».
Tuttavia tali elementi sono stati ritenuti non sufficienti a «legittimare simili forme di pubblicità», essendo necessario che in ogni modo il giornalista debba valutare il «carattere potenzialmente pregiudizievole del trattamento rispetto al minore, dovendo adottar[e] le cautele di volta in volta più opportune per tutelarlo senza per questo abdicare al ruolo fondamentale di denuncia e informazione della collettività circa notizie di interesse pubblico»[22].
Pertanto, considerando che le testate giornalistiche, a seguito delle segnalazioni ricevute, avevano già provveduto alla rimozione dei dati identificativi della minore, il Garante non ha ritenuto di dover adottare ulteriori provvedimenti di carattere inibitorio.
4) Nel periodo di riferimento, il Garante è intervenuto anche in materia di trattamento di dati biometrici effettuato da un Comune. In particolare, era stato segnalato che l’ente locale aveva predisposto un sistema di rilevazione delle presenze del personale dipendente, che utilizzava la rilevazione delle relative impronte digitali, peraltro senza chiedere il consenso e senza fornire un’idonea informativa[23].
Il Comune aveva giustificato la necessità del predetto sistema «per finalità di ordinaria gestione del rapporto di lavoro» e per la «sussistenza di “esigenze di sicurezza” e di certezza nell’attività di verifica della presenza in servizio dei dipendenti», facendo riferimento «a episodi di abusi [sebbene non circostanziati] – consistenti nello scambio di badge – avvenuti presso Comuni della medesima Regione di appartenenza»[24].
In proposito, il Garante ha richiamato il «Provvedimento generale prescrittivo in tema di biometria» n. 513 del 12/11/2014 e le allegate «Linee guida in materia di riconoscimento biometrico e firma grafometrica»[25], evidenziando che il caso di specie non rientrava in alcuna «delle ipotesi esimenti l’obbligo di richiesta di verifica preliminare», previste dal predetto provvedimento.
Nel caso esaminato, inoltre, sono state richiamate le indicazioni contenute nel provvedimento del Garante n. 23 del 14/7/2007 recante le «Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico»[26].
Nel merito, è risultato che il Comune pur avendo effettuato un trattamento di dati biometrici – attività che di per sé presenta «rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato» – non aveva provveduto agli adempimenti, previsti dal Codice privacy[27], in materia di notificazione o di richiesta di verifica preliminare al Garante, violando gli articoli 37 e 17 del Codice privacy.
In tale quadro, è stato vietato all’ente locale di trattare ulteriormente i dati biometrici dei dipendenti e di utilizzare le relative impronte digitali per verificare la presenza o meno del personale in servizio.
[1] Sulla portata giuridica di provvedimenti prescrittivi di carattere generale approvati dal Garante privacy, si rinvia alle considerazioni già svolte, e alla bibliografia ivi citata, in M. Viggiano, Osservatorio Garante per la protezione dei dati personali (fasc. 1/2014), in www.osservatoriosullefonti.it, Archivio rubriche 2014, Garante privacy (url: https://www.osservatoriosullefonti.it/archivio-rubriche-2014/agcm-agcom-avcp-garante-privacy/976-garante-per-la-protezione-dei-dati-personali-12014).
[2] Adottati ai sensi dell’art. 154, comma 1, lett. c) e d) del Codice privacy (cfr. anche art. 143, comma 1, lett. b e c).
[3] Provvedimenti n. 35 del 4/2/2016, in www.gpdp.it, doc. web n. 4727305; n. 35 del 4/2/2016, ivi, doc. web n. 4912481; n. 125 del 17/3/2016, ivi, doc. web n. 5045365; n. 106 del 10/3/2016, ivi, doc. web n. 4916900.
[4] Provvedimento n. 206 del 5/5/2016, in www.gpdp.it, doc. web n. 5185000; provvedimento n. 110 del 10/3/2016, ivi, doc. web n. 4988238; provvedimento n. 49 dell’11/2/2016, ivi, doc. web n. 4885578.
[7] Come noto, ai sensi del Codice privacy, per «soggetto interessato» si intende «la persona fisica cui si riferiscono i dati personali» (art. 4, comma 1, lett. i).
[10] In www.gpdp.it, doc. web n. 3134436.
[11] Vd. parte prima, parr. 2 e 9.e, e parte seconda par. 1; nonché provvedimenti citati in nota n. 49.
[12] In G.U. n. 174 del 26/7/2013 e in www.gpdp.it, doc. web n. 2542348.
[14] Come noto, «titolare» del trattamento è «la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza» (art. 4, comma 1, lett. f, del Codice privacy).
[17] Ivi. Nei testi sono ricordati i precedenti contenuti nei seguenti provvedimenti n. 291 del 13/5/2015, in www.gpdp.it, doc. web n. 4337465; n. 508 dell’1/10/2015, ivi, doc. web n. 4452896; n. 429 del 20/12/2012, ivi, doc. web n. 2223607; del 15/7/2010, ivi, doc. web n. 1741998.
[18] Allegato A.1. al d. lgs. n. 196/2003 «Codice in materia di protezione dei dati personali», recante il «Codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica» adottato con provvedimento del Garante del 29/7/1998, in G.U. n. 179 del 3/8/1998 e in www.gpdp.it, doc. web n. 1556386.
[22] In proposito, il Garante richiama quanto più volte affermato, rinviando al parere fornito al Comitato di applicazione del Codice di autoregolamentazione Tv e Minori del 6 giugno 2007; ai provvedimenti del 15/11/2001, in www.gpdp.it, docc. web nn. 30943 e 42212; del 27/11/2008, ivi, doc. web n. 1582436; del 16/9/2010, doc. web n. 1753383; alla Carta di Treviso approvata dal Consiglio nazionale dei giornalisti il 10/10/1990 (integrata dal Vademecum il 25 novembre 1995 e aggiornata con le osservazioni del Garante per la protezione dei dati personali il 30 marzo 2006), in http://www.odg.it/files/Carta%20di%20Treviso.pdf.