|
ASCOLTA ARTICOLO
|
Articolo pubblicato su altalex.
Con il Provvedimento 17 maggio 2023, n. 193, l’Autorità amministrativa indipendente riconosceva sussistente la violazione della normativa in materia di protezione dei dati personali da parte del Ministero delle infrastrutture e dei trasporti (“MIT”), che ha reso disponibili online documenti di riconoscimento contenenti dati personali applicando la sanzione pecuniaria di € 24.000,00 e la sanzione accessoria della pubblicazione del presente provvedimento sul sito web del Garante
Premessa
Il Garante privacy ha ricevuto alcune segnalazioni, con le quali è stata lamentata una violazione della normativa in materia di protezione dei dati personali da parte del Ministero delle infrastrutture e dei trasporti (“MIT”), che ha reso disponibili online documenti di riconoscimento contenenti dati personali.
È emerso, nel corso della verifica preliminare che era effettivamente possibile rinvenire diversi documenti – contenenti dati e informazioni personali, fra cui anche copie di documenti di riconoscimento e tessere sanitarie – presenti su indirizzi web riferibili al dominio del Ministero delle Infrastrutture e della mobilità sostenibili.
Più in particolare è stato accertato che dal sito del MIT era accessibile e direttamente scaricabile il file con le informazioni riguardanti una società di ingegneria, che comprendeva anche il curriculum vitae dettagliato di due soggetti identificati in atti e la copia integrale a colori delle rispettive carte d’identità; il file relativo ad una nota del MIT con tutti i relativi allegati dove erano riportati dati e informazioni personali, compresa la copia integrale di due documenti d’identità e di una tessera sanitaria di due soggetti identificati in atti ed, infine, un documento protocollato del MIT contenente – fra l’altro – la copia integrale di due documenti di identità e di una tessera sanitaria di due soggetti identificati in atti.
Memorie difensive e audizione
Il MIT ha fornito riscontro alla richiesta di chiarimenti del Garante privacy rappresentando, in primo luogo, che e pubblicazioni contestate hanno riguardato solo lo 0,1 % del totale delle pubblicazioni sul sito, che al momento non risultano azioni legali intraprese da parte degli interessati nei confronti dei Ministero per impropria diffusione di dati online, che la presunta violazione risulta limitata nel tempo e, soprattutto, episodica e non sistematica.
Ha sottolineato, inoltre, come le violazioni contestate non sono ascrivibili a condotte dolose e non sarebbero riconducibili neanche a colpa, tenuto conto della scusabilità della condotta, che è stata indotta dalla incertezza del contesto normativo in materia di obblighi di pubblicazione per finalità di trasparenza, derivante dalla coesistenza di numerose fonti, anche di rango diverso, succedutesi nel tempo, dal timore dei dirigenti di incorrere in violazioni o sanzioni per mancato rispetto degli obblighi di pubblicazione oltre che dalla immediata attivazione del Ministero al fine di rimuovere tutti i dati erroneamente pubblicati, che sono, del resto, stati tutti immediatamente eliminati.
Alcune misure di sicurezza sono inoltre state adottate per evitare il ripetersi di simili accadimenti ed invitare alla massima attenzione le strutture periferiche e nella specie: sono stati infatti inviate numerose circolari del Gabinetto, del Responsabile per la trasparenza, del Direttore generale per la digitalizzazione, sistemi informatici e statistici, nonché del DPO a tutte le strutture dell’Amministrazione sulle cautele da adottare in fase di pubblicazione dei dati, sul richiamo all’osservanza della normativa vigente e sul principio di responsabilizzazione. È stata inoltre creato (in collaborazione con la Scuola Nazionale dell’Amministrazione) uno specifico percorso formativo sull’argomento ed istituita una Commissione di verifica e monitoraggio del rispetto della normativa in materia di trattamento di dati personali, effettuato per finalità di pubblicità e trasparenza sul sito web istituzionale del Ministero, con il compito di verificare il rispetto della normativa in materia di protezione dei dati personali, in relazione al trattamento effettuato per finalità di pubblicità e trasparenza sul sito web istituzionale del Ministero, nell’ambito delle attività legate all’adempimento degli obblighi di pubblicazione sanciti dalle norme sulla trasparenza e, in particolare, dal decreto legislativo 14 marzo 2013, n. 33».
Valutazioni del Garante ed esito dell’istruttoria relativa alle segnalazioni presentate
Il provvedimento in commento si inserisce in un filone, quello della trasparenza delle pubblicazioni sui siti istituzionali, che dimostra di essere sempre vigilato con speciale attenzione dal Garante privacy (cfr. “Pa: attenzione a quando si pubblicano dati online”).
Nel caso specifico, è stata contestata al MIT la pubblicazione online di diversi documenti – contenenti dati e informazioni personali, fra cui anche copie di documenti di riconoscimento e tessere sanitarie – presenti su indirizzi web riferibili al dominio del MIT (trasparenza.mit.gov.it).
Al riguardo, il Ministero, sia nelle memorie difensive che nel corso dell’audizione, ha confermato di avere tenuto la condotta accertata e contestata dall’Ufficio, descrivendo gli adempimenti effettuati per porre fine alle violazioni della normativa in materia di protezione dei dati personali contestate.
Nello specifico, è stato – fra l’altro rappresentato – che la condotta è stata dettata da un mero e involontario errore umano conseguente all’urgenza di pubblicare gli atti di gara per finalità di trasparenza che non ha consentito di selezionare con cura i documenti da pubblicare. L’errore sarebbe derivato anche dalla incertezza del contesto normativo in materia di obblighi di pubblicazione per finalità di trasparenza, derivante dalla coesistenza di numerose fonti, anche di rango diverso, succedutesi nel tempo e dal timore dei dirigenti di incorrere in violazioni o sanzioni per mancato rispetto degli obblighi di pubblicazione.
L’Ente ha inoltre dichiarato che a seguito della comunicazione del Garante si è in ogni caso prontamente attivato per effettuare tutte le verifiche e attività necessarie per eliminare le criticità riscontrate dal Garante, rimuovendo tutti i dati erroneamente pubblicati e intraprendendo tutte le azioni necessarie per scongiurare il rischio che episodi simili possano verificarsi nel futuro.
Tali circostanze e tutti gli elementi evidenziati negli scritti difensivi sopra riportati, esaminati nel loro complesso e sicuramente meritevoli di considerazione ai fini della valutazione della condotta (cfr. paragrafo successivo), non sono tuttavia risultati sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tale motivo – pur tenendo conto delle misure indicate dall’amministrazione per evitare il ripetersi nel futuro dei trattamenti di dati personali oggetto di contestazione – il Garante privacy ha confermato le valutazioni preliminari dell’Ufficio e rilevato la non conformità al RGPD della condotta tenuta dal Ministero delle infrastrutture e dei trasporti. Ciò in quanto i dati personali contenuti nei documenti di riconoscimento e nelle tessere sanitarie pubblicati online dal dominio del Ministero (trasparenza.mit.gov.it) – sono stati diffusi in assenza di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice, nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; b) senza rispettare i principi di “limitazione della finalità” e di “minimizzazione”, secondo i quali i dati personali devono essere necessari e proporzionati, in violazione dell’art. 5, par. 1, lett. b) e c), del RGPD e senza adottare, al momento della condotta, “misure tecniche e organizzative” adeguate “ad attuare in modo efficace i principi di protezione dei dati” fin dalla progettazione e per garantire che siano trattati per “impostazione predefinita” solo “i dati personali necessari per ogni specifica finalità del trattamento”, in violazione dell’art. 25, parr. 1 e 2, del RGPD.
Sono state considerate, tuttavia, parte delle circostanze portate all’attenzione del Garante e in particolare, che la condotta ha esaurito i suoi effetti – in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali oggetto di contestazione dagli url attenzionati e che il Ministero si è attivato anche per evitare l’indicizzazione sul motore di ricerca Google. Tanto premesso, fermo restando l’applicazione della sanzione amministrativa pecuniaria di € 24.000,00, il Garante privacy ha ritenuto che non ricorressero i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.