Il regime di pubblicità non può comportare una deroga ai principi in materia di protezione dei dati personali

Anche in presenza di una norma di legge che preveda l’obbligo di pubblicare determinati atti e documenti, si applicano tutti i limiti previsti dai principi della protezione dei dati con riguardo alla liceità e alla minimizzazione dei dati. Questo quanto ribadito dall’Autorità Garante della Protezione dei Dati Personali con l’ordinanza di ingiunzione n. 404 del 1 dicembre 2022 emessa nei confronti di un’Azienda Ospedaliera.

Il caso. Il dipendente di un’azienda ospedaliera presentava reclamo dinanzi all’Autorità Garante della Protezione dei Dati Personali lamentando la pubblicazione sul sito web istituzionale dell’Azienda e l’ indicizzazione sui motori di ricerca di due provvedimenti contenenti i propri dati personali, anche relativi alla salute. L’Azienda ospedaliera faceva presente come che la pubblicazione del secondo provvedimento, avveniva a rettifica della prima alla luce di un errore nel conteggio del periodo di servizio del dipendente e che la pubblicazione avveniva in esecuzione del compito di interesse pubblico ex art. 32 l. n. 69/2009. L’Azienda inoltre, escludendo il dolo nella violazione, appena appreso dalla notifica del Garante che il provvedimento risultava ancora indicizzato su internet tramite motori di ricerca generalisti, per il tramite del proprio DPO informava il responsabile della società che gestisce i documenti allegati il quale accertava la presenza di un bug della piattaforma . Successivamente alla richiesta, si è immediatamente provveduto alla disattivazione dell’indicizzazione degli allegati da parte dei motori di ricerca. La normativa applicabile sotto la lente del Garante. L’Autorità Garante ha sottolineato ancora una volta l’importanza del rispetto dei principi di liceità, correttezza e trasparenza e di minimizzazione dei dati , in base ai quali i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato e devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati ex art. 5, par. 1, lett. a e c , del GDPR. In relazione al caso specifico, ha inoltre ribadito come i dati relativi alla salute , ossia quelli attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute, in ragione della loro particolare delicatezza, non possono essere diffusi . Tutela dei dati e regime di pubblicità. Come già espresso da ultimo nel provv. n. 299 del 15 settembre 2022, l’Autorità Garante ha chiarito che anche la presenza di uno specifico regime di pubblicità - che in ogni caso deve essere rispettato anche con riguardo all’arco temporale di pubblicazione da questo stabilito - non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali. Questo è confermato, prosegue il Garante, anche dal sistema di protezione dei dati personali contenuto nel GDPR, alla luce del quale è previsto che il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento e deve essere in grado di dimostrare alla luce del principio di responsabilizzazione di averlo fatto. In conclusione. Il Garante ha ribadito che anche in presenza di una norma di legge che preveda l’obbligo di pubblicare determinati atti e documenti ad esempio, come nel caso di specie, quelle da effettuarsi sull’Albo Pretorio online si applicano tutti i limiti previsti dai principi della protezione dei dati con riguardo alla liceità e alla minimizzazione dei dati. Alla luce delle considerazioni emerse in sede di attività istruttoria e stante la definizione di dato personale e di dato relativo alla salute, l’Autorità ha ritenuto che la pubblicazione sul sito web istituzionale dei provvedimenti oggetto della contestazione ha determinato la diffusione di dati personali riferiti al reclamante in assenza di un idoneo presupposto normativo e, considerato che tra questi vi erano anche dati relativi alla condizione di invalidità , in violazione del generale divieto alla diffusione dei dati relativi alla salute.

Garante Privacy, ordinanza di ingiunzione 1 dicembre 2022, n. 404