NEWS

Gli ultimi provvedimenti del Garante per la Privacy: pubblica amministrazione e sanità bacchettate dall'Autorità

Non tutto si può pubblicare. Nemmeno da parte della pubblica amministrazione. E il parere del Responsabile della protezione dei dati (Dpo) non basta. Così una regione non può pubblicare sul proprio sito un documento riguardante l'esecuzione di una sentenza civile relativa a un debito maturato dall'ente (provvedimento del Garante n. 120 del 2 luglio 2020). Un comune e una unione comunale non possono pubblicare sui rispettivi siti web, nella sezione amministrazione trasparente o nell'albo online, atti amministrativi contenenti dati personali relativi a condanne penali e a reati (newsletter del Garante n. 467 del 27 luglio 2020).

Il garante per la protezione dei dati personali

E ancora, un comune non può mandare per posta elettronica ad alcune testate giornalistiche locali, un «decreto di citazione» con i dati, riferibili anche a vicende penali e a misure di sicurezza e prevenzione, di cinque persone, tra cui tre testimoni citati a comparire (provvedimento 116 del 2 luglio).

Quanto sopra potrebbe essere letto come un corto circuito tra trasparenza e privacy, ma in realtà le direttrici ci sono, anche se appaiono ancora di difficile applicazione, vista la numerosità degli interventi del Garante, che sanziona sì, ma si tratta di importi relativamente bassi (nei casi sopra elencati la sanzione più alta è stata di 6 mila euro).

Quali sono i principi? Per pubblicare un atto ci vuole una legge che lo preveda. Anche in questo caso non tutti i dati contenuti nell'atto possono essere diffusi tramite la pubblicazione. Così la pubblicazione di atti e provvedimenti può essere prevista dalla normativa sulla trasparenza e sulla pubblicità legale degli atti, ma bisogna andare a controllare se dette normative consentono la diffusione di quei dati personali, o di particolari tipi di dati come quelli relativi a condanne penali e reati. In ogni caso, la p.a. è tenuta a rispettare di liceità, correttezza e trasparenza nonché di minimizzazione, in base al quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Il provvedimento contro comune e unione di comuni è interessante anche per altri due motivi. Il primo è che si specifica che non basta mettere il numero di matricola o le iniziali del cognome e del nome di una persona, se questa può facilmente essere identificato dai colleghi, da conoscenti e da altri soggetti in ambito locale. Il secondo motivo riguarda la posizione del Responsabile per la protezione dei dati (Rpd/Dpo) dell'ente: l'avallo del Dpo non esime dalle sanziFacile prevedere che l'ente inizierà una rivalsa nei confronti del Dpo, che è impegnato contrattualmente nei confronti del suo committente.

Passando all'ambito sanitario, il garante ha avuto la mano leggera nei confronti di una asl, che ha consegnato a un paziente una copia della cartella clinica di un altro malato (provvedimento 123 del 2 luglio 2020) e a un policlinico che ha inserito nel Fascicolo sanitario elettronico (Fse) di una persona un referto relativo a un'altra (provvedimento 141 del 9 luglio 2020).

Fonte: Italia Oggi del 28 luglio 2020 - di Antonio Ciccia Messina

Note Autore

FederPrivacy FederPrivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Prev Anticipo Tfr statali, sicurezza e privacy a rischio
Next Va cancellata dai registri di stato civile la sentenza di ripudio della moglie

Cyber e Privacy Forum 2023, il trailer dell'evento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy