g-docweb-display Portlet

Provvedimento del 13 maggio 2021 [9685865]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9685865]

Provvedimento del 13 maggio 2021

Registro dei provvedimenti
n. 208 del 13 maggio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Il reclamo e l’attività istruttoria.

Nell’ottobre 2020, il Comune di Aramengo (AT) ha inviato una segnalazione al Garante con la quale è stata lamentata una presunta violazione della disciplina in materia di protezione dei dati personali riguardante le modalità con le quali l’Azienda Sanitaria Locale (di seguito, “ASL”) di Asti ha inviato al predetto Comune l’elenco delle persone risultate positive al virus Cov-Sars 2. In particolare, è stato segnalato che la ASL di Asti, in data 15/10/2020, ha inviato il predetto elenco all’indirizzo e-mail generico del Comune di Aramengo (info@comune.aramengo.at.it), consultabile da tutti coloro che prestano servizio presso lo stesso.

In relazione a quanto accertato, l’Ufficio ha richiesto informazioni alla ASL di Asti (nota del 3 novembre 2020, prot. n. 0041237), che ha riscontrato con la nota del 1° dicembre 2020 (ns. prot. n. 45785, loro rif. prot. n. 65005).

Nella richiamata nota, l’Asl di Asti ha rappresentato che:

“ln data 15 ottobre 2020 l'ASL Asti ha inviato all'indirizzo info@comume.aramengo.at.it un provvedimento recante "disposizione di misure di quarantena" relativo ad una persona residente in quel comune”;

“L'indirizzo è presente sul sito istituzionale del Comune di Aramengo ed è riportato tra i contatti su tutte le pagine del sito Internet”;

“La comunicazione è stata inviata allo scopo di osservare la direttiva dell'Unità di Crisi della Regione Piemonte del 10 marzo 2020. Tale direttiva impone alle ASL di adottare le ordinanze ad oggetto misure di profilassi e di isolamento ovvero l'applicazione a carico degli affetti da Covid-19 della misura di quarantena”;

“Per effetto della citata direttiva dell'Unità di Crisi della Regione Piemonte il potere di adottare l'ordinanza è stato delegato alle ASL, mentre rimane a carico delle amministrazioni comunali di residenza la notifica al destinatario dell'ordinanza”;

“L'indirizzo e-mail del Comune di Aramengo è stato individuato sulla base della sua indicazione tra i "contatti" disponibili sul sito Internet istituzionale nonché tra gli indirizzi e-mail pubblicati sull'Indice dei domicili digitali della Pubblica Amministrazione (indicepa.gov.it)”;

“gli indirizzi e-mail dei Comuni, utilizzati per l'invio delle ordinanze, sono stati recuperati dall'indirizzario a disposizione dell'ASL Asti per le comunicazioni' istituzionali; l'indirizzario per la spedizione dei provvedimenti SISP (Servizio Igiene e Sanità Pubblica) è stato integrato tenendo conto anche delle richieste dei sindaci stessi, i quali hanno fornito indirizzi supplementari per poter accedere ai dati ivi contenuti tempestivamente, in considerazione dell'emergenza in corso”;

“Si ritiene, poi, che sia a carico dell'ente pubblico destinatario delle comunicazioni e titolare della casella di posta elettronica istituzionale il compito di impartire istruzioni a coloro che hanno permessi di accesso alla casella e-mail, imponendo loro il rispetto dei doveri di segreto d'ufficio e di riservatezza”;

successivamente alla richiesta di informazione di questo Ufficio, “con lettera del 3/11/2020 la scrivente ASL ha inviato una lettera a tutti i Sindaci dei comuni compresi nell'ambito territoriale di competenza dell'azienda sanitaria, chiedendo di confermare con urgenza l'indirizzo di posta elettronica alla quale trasmettere le comunicazioni relative ai casi positivi”;

“dalla data del 03/11/2020, l'invio dei provvedimenti SISP avviene con trasmissione di file crittografati, la cui password è stata comunicata telefonicamente, esclusivamente, al Sindaco”.

In relazione a quanto emerso dalla documentazione in atti, l’Ufficio ha notificato alla ASL di Asti, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981) (nota del 24 dicembre 2020, prot. n. 0049332).

In particolare, l’Ufficio in tale atto ha ritenuto che l’Asl di Asti ha inviato un provvedimento recante "disposizione di misure di quarantena" relativo a una persona residente nel predetto Comune all'indirizzo “info@comume.aramengo.at.it”, in luogo di un indirizzo di posta relativo a uno specifico ufficio comunale o all’indirizzo di posta elettronica certificata del Comune, senza mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio di perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati sulla salute trasmessi (art. 32, del Regolamento).

Al riguardo, l’Ufficio ha rappresentato che sia sul sito istituzionale del predetto Comune, che nell’ “indicepa.gov.it” è comunque presente l’indicazione dell’indirizzo di posta elettronica certificata del predetto Comune (aramengo@cert.ruparpiemonte.it).

Nel predetto atto del 24 dicembre 2020, è stato inoltre evidenziato che, solo successivamente alla richiesta di informazioni dell’Ufficio, la predetta Asl ha adottato, nella trasmissione ai comuni dei provvedimenti di “quarantena”, misure tecniche e organizzative volte a scongiurare i predetti rischi di perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale ai dati trasmessi (nota ai Sindaci dei comuni compresi nell'ambito territoriale di competenza circa l’indicazione dell’'indirizzo di posta elettronica al quale trasmettere le comunicazioni relative ai casi positivi; invio dei provvedimenti di quarantena con trasmissione di file crittografati, la cui password è comunicata al Sindaco).

Con nota del 20 gennaio 2021 (prot. n. 4074), l’Asl di Asti, ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato che:

- “non ci sono descrizioni di condotte qualificabili come violazione dell’integrità dei dati”;

- “il Comune di Aramengo ha segnalato l’indirizzo info@comune.aramengo.at.it tra quelli utilizzabili per le comunicazioni istituzionali”;

- “che l’utilizzo di tale indirizzo non era, quindi, inibito dall’Amministrazione comunale, né vietato dalla legge”;

- “la casella di posta elettronica del destinatario (Comune di Aramengo) è inequivocabilmente una casella di posta istituzionale, espressamente indicata da questo stesso ente per i “contatti”. Ciò pone a carico del titolare della casella istituzionale dell’Ente la determinazione del regime di accesso alla predetta casella, nonché le prescrizioni afferenti l’utilizzo delle informazioni contenute nelle comunicazioni di posta elettronica”;

- “la pubblicazione di un indirizzo di posta elettronica tra quelli utilizzabili per comunicazioni istituzionali (…) allo stesso tempo ingenera la legittima aspettativa che tale casella di posta elettronica sia effettivamente dal titolare della stessa (destinatario delle comunicazioni) adeguatamente presidiata e con accesso ristretto al personale autorizzato, debitamente istruito”.

2. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dalla ASL di Asti nella documentazione in atti e nelle memorie difensive, si osserva che:

si considerano “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15 del Regolamento);

il Considerando n. 35 del Regolamento precisa che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”;

i dati personali devono essere “trattati in maniera da garantite un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento). Sulla base del principio di integrità e riservatezza, l’art. 32 del Regolamento prevede che il titolare del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, debba mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso, “la cifratura dei dati personali”;

in base al principio di “protezione dei dati fin dalla progettazione”, di cui all’art. 25, par. 1, del Regolamento, il titolare del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, deve mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati;

dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni dell’Ufficio, risulta accertato che l’Asl di Asti, in data 15 ottobre 2020, ha inviato un provvedimento recante "disposizione di misure di quarantena" relativo ad una persona residente nel predetto Comune all'indirizzo info@comume.aramengo.at.it, in luogo dell’indirizzo di posta elettronica certificata del Comune, senza mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio di perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati sulla salute trasmessi (art. 32, del Regolamento);

come già rappresentato nell’atto del 24 dicembre 2020, sul sito istituzionale del predetto Comune e nell’“indicepa.gov.it” citato, è presente l’indicazione dell’indirizzo di posta elettronica certificata del predetto Comune (aramengo@cert.ruparpiemonte.it);

solo successivamente alla richiesta di informazioni dell’Ufficio, la predetta Asl ha adottato, nella trasmissione ai comuni dei provvedimenti di “quarantena”, misure tecniche e organizzative volte a scongiurare i predetti rischi di perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale ai dati trasmessi (nota ai Sindaci dei comuni compresi nell'ambito territoriale di competenza circa l’indicazione dell’'indirizzo di posta elettronica alla quale trasmettere le comunicazioni relative ai casi positivi; invio dei provvedimenti di quarantena con trasmissione di file crittografati, la cui password è comunicata al Sindaco).

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive solo in parte consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, per la restante parte, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dalla Azienda Sanitaria Locale di Asti, consistente nell’invio tramite e-mail di un provvedimento recante "disposizione di misure di quarantena" relativo ad una persona residente nel predetto Comune senza mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio di perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale ai dati sulla salute trasmessi, in violazione dei principi di “integrità e riservatezza” del trattamento, in violazione dell’art. 5, par. 1, lett. f) del Regolamento ed in assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio presentato dal trattamento, in violazione dell’art. 32 del Regolamento.

Ciò premesso, tenuto conto che:

dalle risultanze degli atti, l’invio del predetto elenco a un indirizzo generico di posta elettronica del Comune destinatario della comunicazione risulta essere stato l’unico;

l’Autorità è venuta a conoscenza dell’evento a seguito di una segnalazione da parte dell’amministrazione destinataria dell’atto e non ha ricevuto reclami o segnalazioni da parte degli interessati;

l’Azienda ha, fin da subito, dimostrato un elevato grado di cooperazione adoperandosi al fine di introdurre, anche nella concomitanza del contesto emergenziale, misure idonee a superare i rilievi manifestati dall’Ufficio e in particolare misure tecniche e organizzative volte a scongiurare i predetti rischi di perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale ai dati trasmessi (nota ai Sindaci dei comuni compresi nell'ambito territoriale di competenza circa l’indicazione dell’'indirizzo di posta elettronica alla quale trasmettere le comunicazioni relative ai casi positivi; invio dei provvedimenti di quarantena con trasmissione di file crittografati, la cui password è comunicata al Sindaco);

i fatti oggetti della segnalazione sono avvenuti nell’ambito delle attività di sanità pubblica poste in essere dall’Azienda nel complesso contesto emergenziale;

i soggetti che hanno avuto accesso al predetto elenco, attraverso la casella di posta elettronica sopra indicata, sono comunque soggetti autorizzati al trattamento;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato previsioni del Regolamento contenute negli artt. 5, e 32 del Regolamento e che, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la ASL di Asti ha previsto misure tecniche e organizzative volte a scongiurare i predetti rischi di perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale ai dati trasmessi, non vi siano i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a) del Regolamento, dichiara l’illiceità del trattamento dei dati personali effettuato alla Azienda Sanitaria di Asti, con sede legale in via Conte Verde, 125 - 14100 ASTI, P.I. e Cod. Fisc. 01120620057, per la violazione dei principi di base del trattamento, di cui agli artt. 5, par. 2, lett. f) e 32 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Asl di Asti, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 2, lett. f) e 32 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 maggio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei