No allo spam elettorale nelle mail dei dipendenti comunali

Concept of sending e-mails from your computerUn candidato non può usare a fini di propaganda elettorale  i dati personali in suo possesso per ragioni istituzionali. È quanto ha ribadito il Garante privacy in un provvedimento con cui ha vietato ad un ex assessore di utilizzare gli indirizzi mail dei dipendenti comunali  nella sua disponibilità ai tempi del suo mandato.

La vicenda risale alle amministrative dello scorso anno, quando una dipendente comunale, aprendo la mail di lavoro,  scopre che l’ex assessore al personale si candida alle elezioni regionali e chiede il suo voto.

La scena si ripete più volte –  probabilmente la stessa mail è stata spedita a tutto il personale comunale – e alcuni dipendenti, che si ritengono lesi nei loro diritti, si rivolgono al Garante per la protezione dei dati personali. I dipendenti segnalano all’Autorità che gli indirizzi mail sono stati acquisiti da un indirizzario di posta elettronica che non è pubblico, essendo ad esclusivo uso interno dell’amministrazione e nella disponibilità dell’ex assessore al personale  in virtù dell’incarico precedentemente ricoperto.

Per questo motivo ritengono che i loro dati personali siano stati trattati in modo non corretto e  in violazione delle regole dettate dal Garante privacy in materia di propaganda elettorale.

Tesi condivisa dall’Autorità che, nell’emettere il provvedimento di divieto, ha ritenuto l’operato dell’ex assessore illecito sotto diversi profili.

  • In primo luogo, perché il trattamento dei dati è avvenuto in violazione del principio di finalità: gli indirizzi mail comunali, infatti, il cui scopo è quello di consentire il contatto per l’assolvimento delle funzioni istituzionali, non possono essere utilizzati per il perseguimento di altre finalità (non compatibili con quelle che ne hanno giustificato la raccolta originaria),  come appunto la propaganda elettorale. Così come non possono essere utilizzati liberamente da chi ricopre incarichi pubblici e detiene  questi dati solo per lo svolgimento dei propri compiti istituzionali.
  • In secondo luogo perché, come affermato dal Garante in più occasioni, i partiti, le liste o i singoli candidati non possono utilizzare indirizzi di posta elettronica senza il consenso specifico e informato dei destinatari. Consenso che, nel caso in esame,  non risulta acquisito, come non risulta che i destinatari siano stati informati sull’uso che veniva fatto dei loro dati.

Con un autonomo procedimento l’Autorità provvederà a verificare i presupposti per l’applicazione della sanzione amministrativa prevista per l’omessa informativa e la  mancata acquisizione del consenso.

Annunci

Regioni: diritto di accesso dei consiglieri nel rispetto della privacy

privacy-475x3161I consiglieri regionali possono accedere ad atti e documenti contenenti dati personali dei cittadini solo per finalità legate al loro mandato.

Lo ha chiarito il Garante per la protezione dei dati personali nel parere favorevole [doc. web n. 2576905] reso sulla versione aggiornata dello schema tipo di regolamento, predisposto dalla Conferenza dei presidenti delle assemblee legislative delle regioni e delle province autonome, sul trattamento di dati personali sensibili e giudiziari presso i consigli, rispetto al quale ha tuttavia chiesto alcune integrazioni.

L’Autorità ha chiesto, in particolare, di specificare che le richieste di accesso ai documenti, da parte dei consiglieri, possono essere accolte solo se riconducibili alle “esclusive” finalità di rilevante interesse pubblico “direttamente connesse all’espletamento di un mandato elettivo”.

Nel rendere il suo parere, il Garante ha chiesto, inoltre, ai consigli di adottare modalità tali da assicurare che l’accesso dei consiglieri comporti il minor pregiudizio possibile alla vita privata delle persone cui si riferiscono i dati oggetto dell’istanza di accesso.

Speciali cautele sono state definite anche per le informazioni sulla vita sessuale dei reclusi, che potrebbero essere trattate dai Garanti regionali per i diritti dei detenuti.

La richiesta di parere da parte della Conferenza sul nuovo schema tipo si è resa necessaria a causa del mutato quadro normativo che regola le attività istituzionali dei consigli.

Va ricordato a tale proposito che il Codice privacy prevede, infatti, che per poter raccogliere, utilizzare, elaborare, conservare, comunicare dati sensibili e giudiziari indispensabili allo svolgimento delle loro attività istituzionali, le regioni e le province autonome, come altri soggetti pubblici, debbano adottare specifici regolamenti.

Questi regolamenti individuano e rendono noti ai cittadini quali dati vengono usati e per quali fini.

 

Pa: gestione del rapporto di lavoro e dati sulla salute

universita-tagliViola le norme sulla protezione dei dati personali la Pubblica amministrazione che comunica indebitamente informazioni sullo stato di salute di un proprio dipendente a terzi.

Lo ha affermato il Garante privacy [doc. web n. 2576686] il quale, intervenuto a seguito della segnalazione di una professoressa universitaria, ha ritenuto illecita la comunicazione ad altri docenti di un decreto rettorale contenente informazioni sensibili che la riguardavano e ha prescritto all’amministrazione di conformare la gestione del trattamento dei dati personali alla disciplina del Codice privacy.

In particolare, la segnalante lamentava il fatto che

  • copia integrale del decreto rettorale che la collocava in “interdizione dal lavoro” e quindi in “congedo per maternità” fosse stata inviata a un docente in servizio presso un’altra Facoltà, diffondendo informazioni molto delicate sulla sua salute.
  • tale documento, inoltre, eveniva allegato dalla segreteria amministrativa al modulo di richiesta di affidamento dell’insegnamento che si sarebbe reso vacante, rendendo note le condizioni di salute della professoressa anche a tutti i docenti membri del Consiglio di Facoltà tenuti a deliberare sull’assegnazione della cattedra.

alert-icon-redIlliceità del trattamento

Nel dichiarare illecito il trattamento, il Garante ha rilevato la presenza di dati sensibili nel decreto rettorale, poiché le informazioni relative alla “interdizione dal lavoro” ai sensi della legge 151/2001, espressamente richiamata nel decreto, fanno riferimento a “gravi complicanze della gravidanza o a persistenti forme morbose che si presume possano essere aggravate dalla gravidanza”, in base alle quali la Direzione provinciale del Lavoro e la Asl dispongono l’interdizione.

Il Garante ha ribadito inoltre che, nel caso di specie, gli stessi dati sensibili potevano essere trattati soltanto dagli organismi espressamente indicati nel regolamento di Ateneo per le finalità di gestione del rapporto di lavoro, mentre non dovevano essere comunicati a terzi.

L’inclusione di dati sensibili nel decreto, infine, è avvenuta anche in violazione del principio di necessità, poiché non era indispensabile, ai fini dell’assegnazione dell’incarico resosi vacante, mettere a conoscenza i docenti dei motivi dell’assenza della professoressa.

 

Ztl: sui contrassegni niente nominativi per le ditte individuali

ZTLIl contrassegno per il transito e la sosta nelle zone a traffico limitato (Ztl) non può contenere, nella parte visibile a tutti, i dati che  identificano direttamente l’interessato, anche nel caso di intestazione a ditte individuali.

Lo ha precisato il Garante [doc. web n. 2439150a seguito della segnalazione di un cittadino che lamentava come sui contrassegni forniti agli agenti di commercio per l’accesso e la sosta nella Ztl della sua città venisse apposto, oltre ad un ologramma per la lettura ottica e alla targa dell’autovettura, anche il nome e cognome dell’interessato.

Interpellato dal Garante, il servizio competente del Comune di Bologna aveva spiegato che effettivamente per i titolari di aziende di commercio e servizi era stata prevista l’apposizione sui  contrassegni della ragione sociale dell’azienda che, qualora venisse esercitata in forma di impresa individuale, doveva contenere almeno la sigla o il cognome dell’imprenditore.

Il trattamento è pero risultato illecito. Come ha spiegato l’Autorità, l’apposizione sui contrassegni della ragione sociale dell’azienda individuale, essendo in questo caso idonea a identificare direttamente l’interessato, configura un trattamento di dati riguardanti le persone fisiche. Questi dati, in base al Codice privacy, non possono essere indicati sulla parte visibile dei contrassegni rilasciati per la circolazione o la sosta dei veicoli nelle Ztl, i quali devono contenere invece solo informazioni indispensabili a individuare l’autorizzazione rilasciata.

Judge_HammerGarante Dixit

L’Autorità ha dunque prescritto al Comune di Bologna di:

  • non apporre in futuro sulla parte dei contrassegni che devono essere esposti sui veicoli, il nome e cognome dell’interessato eventualmente contenuti nella ragione sociale dell’azienda esercitata in forma di impresa individuale,
  • indicare solo i dati riguardanti l’autorizzazione.

Il Comune ha sei mesi di tempo per adempiere.

Il Garante, infine, si è riservato con autonomo provvedimento, di verificare i presupposti per contestare al comune la violazione amministrativa concernente la diffusione di dati personali in mancanza di idonei presupposti normativi.

 

L’imbarazzante inettitudine dei Comuni italiani

asinoNo a dati sulla salute dei cittadini sui siti web dei Comuni: il Garante fa rimuovere i dati personali dalle ordinanze di dieci Comuni. E sono in arrivo sanzioni

Sì alla trasparenza on line nella Pa, ma rispettando la dignità delle persone. Sui siti dei Comuni non possono essere pubblicati atti e documenti contenenti dati sullo stato di salute dei cittadini.

Il Garante per la privacy ha fatto oscurare dai siti web di dieci Comuni italiani, di piccola e media grandezza, i dati personali contenuti in alcune ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini. Nuovi provvedimenti sono in arrivo per altri Comuni.

Nelle ordinanze, con le quali i sindaci disponevano il ricovero immediato di diversi cittadini, erano infatti indicati “in chiaro” non solo i dati anagrafici (nome, cognome, luogo e data di nascita) e la residenza, ma anche:

  • la patologia della quale soffriva la persona (ad es. “infermo mentale”),
  • o altri dettagli davvero eccessivi, quali ad esempio l’indicazione di “persona  affetta da manifestazioni di ripetuti tentativi di suicidio”.

Il trattamento dei dati effettuato dai Comuni è risultato dunque illecito: come ha ricordato l’Autorità, le disposizioni del Codice della privacy, richiamate anche dalle Linee guida sulla trasparenza on line della Pa emanate dallo stesso Garante nel 2011, vietano espressamente la diffusione di dati idonei a rivelare lo stato di salute delle persone.

Le ordinanze, per giunta, oltre ad essere visibili e liberamente consultabili sui siti istituzionali dei Comuni, attraverso link che rimandavano all’archivio degli atti dell’ente, erano nella maggioranza dei casi facilmente reperibili anche sui più usati motori di ricerca, come Google: bastava digitare il nome e cognome delle persone.

Hand_Do_NotL’intervento del Garante

Nel disporre il divieto di ulteriore diffusione dei dati, l’Autorità per la privacy ha prescritto alle amministrazioni comunali:

  • non solo di oscurare i dati personali, presenti nei provvedimenti, da qualsiasi area del sito, ma anche di
  • attivarsi presso i responsabili dei principali motori di ricerca per fare in modo che vengano rimosse le copie web delle ordinanze e di tutti gli altri atti aventi ad oggetto il ricovero per trattamento sanitario obbligatorio dagli indici e dalla cache.

I Comuni, inoltre, per il futuro dovranno far sì che la pubblicazione di atti e documenti in Internet avvenga nel rispetto della normativa privacy e delle Linee guida in materia di trasparenza on line della Pa.

“La sacrosanta esigenza di trasparenza della Pubblica amministrazione – ha commentato Antonello Soro, Presidente dell’Autorità – non può trasformarsi in una grave lesione per la dignità dei cittadini interessati. Prima di mettere on line sui propri siti dati delicatissimi come quelli sulla salute, le pubbliche amministrazioni, a partire da quelle più vicine ai cittadini, come i Comuni,  devono riflettere e domandarsi se stanno rispettando le norme poste a tutela della privacy. E devono evitare sempre di recare ingiustificato pregiudizio ai cittadini che amministrano. Oltretutto, errori gravi e scarsa attenzione alle norme comportano come conseguenza che il Garante debba poi applicare pesanti sanzioni” .

L’Autorità procederà, infatti, ad avviare nei confronti dei Comuni interessati le previste procedure sanzionatorie per trattamento illecito di dati personali.

 

Tutele rafforzate per le informazioni sulle adozioni

Le attestazioni di stato civile non devono riportare indicazioni sulla maternità e la paternità del minore adottato

AdoptionQualunque attestazione di stato civile  riferita ad una persona adottata deve essere rilasciata con la sola indicazione del nuovo cognome e senza l’annotazione della sentenza di adozione. Le notizie sullo stato di adozione di una persona possono essere fornite da un ufficiale pubblico solo su espressa autorizzazione dell’autorità giudiziaria.

Lo ha chiarito il Garante intervenendo su un caso sottoposto da un uomo che contestava al Comune di aver rilasciato ai parenti dell’interessato la copia integrale del suo atto di nascita con incluse le informazioni sul provvedimento giudiziario riguardante la sua adozione. I funzionari comunali ritenevano che la consegna del documento recante le informazioni sull’adozione fosse giustificata dalla necessità degli eventuali eredi di poter difendere i propri diritti in sede giudiziaria.

L’Autorità, interpellata dal Difensore Civico a cui  aveva chiesto aiuto l’interessato, ha però spiegato che la normativa vigente prevede una particolare protezione dei dati sulle adozioni: qualunque attestazione di stato civile riferita all’adottato può essere rilasciata solo con l’indicazione del nuovo cognome e con l’esclusione di qualsiasi riferimento alla paternità e alla maternità del minore. La legge prevede, infatti, che le indicazioni sul rapporto di adozione possano essere fornite solo su espressa autorizzazione dell’autorità giudiziaria. L’ufficiale di stato civile del Comune avrebbe quindi commesso una illecita comunicazione di dati personali a soggetti diversi dal diretto interessato.

 

Judge_HammerLa decisione del Garante

Il Garante ha quindi:

  • vietato ai parenti dell’uomo l’ulteriore utilizzo delle informazioni sull’adozione contenute nella copia dell’atto di nascita;
  • prescritto al Comune di fornire al proprio personale di stato civile adeguate istruzioni per evitare che si commettano ulteriori violazioni sui dati relativi alle persone adottate.

Il provvedimento è stato inoltre trasmesso all’autorità giudiziaria che potrà valutare gli eventuali illeciti penali commessi.