23/09/2019 - Diffusione di dati sensibili e responsabilità risarcitoria
tratto da dirittodeiservizipubblici.it
Diffusione di dati sensibili e responsabilità risarcitoria
Maurizio Lucca
La Corte dei conti, sez. giurisdizionale per il Lazio, con la sentenza n. 246 del 28 maggio 2019 n. 246, interviene nel sanzionare (c.d. danno indiretto) un dirigente (scolastico) a seguito dell’applicazione di una sanzione alla P.A. del Garante della privacy per la pubblicazione (trattamento, ex art. 4, comma 1, punto 2 del Regolamento UE 679/2016, c.d. RGPD) via web (ergo diffusione) di una circolare interna contenente dati sui minori e lo stato di disabilità.
È noto che il comma 1, dell’art. 9 del GDPR vieta trattare dati personali relativi alla salute salvo che il trattamento non sia giustificato da ragioni normativamente prestabilite (idem art. 2 sexies del D.Lgs. n. 196/2003)[1], rilevando che la salute di un minore costituisce «dato personale e sensibile» e come tale tutelabile tanto in relazione al minore stesso, quanto, sussistendone i presupposti, in relazione ad altri familiari allo stesso minore legati da vincoli di comunanza di vita familiare o domestica[2].
Donde, l’informazione trasmessa (con ogni mezzo) sulle particolari condizioni di salute del minore è fonte risarcitoria avanzata in relazione all’illecita diffusione che risulta - in ogni caso - tutelabile, soprattutto nel caso di minore in situazione affetto da invalidità, esprimendo una condizione di debolezza o di disagio sociale, di per sè potenzialmente idonea ad esporre la persona a condizionamenti o discriminazioni assimilabili a quelle “tipicamente” individuate dal legislatore a fondamento della protezione dei dati personali[3].
Giova ribadire come ogni dato che consenta l’identificazione, in capo a un soggetto, di una situazione di debolezza, di disagio, ovvero di una situazione che l’esperienza storica ha dimostrato possa dar luogo a situazioni discriminatorie, ovvero lesive dei diritti del titolare del dato stesso, sia prudenzialmente protetto in termini più incisivi rispetto a qualunque altro dato che attenga alla generica riservatezza della persona, esistendo particolari disagi (o pericoli di particolari disagi) nei confronti dei quali il legislatore ha voluto che il dato personale che ne consente il disvelamento sia particolarmente vigilato, in ragione, appunto, della strutturale ed ontologica pericolosità del disvelamento.
L’approdo comporta che la pubblicazione dello stato di salute di un minore è, come tale, potenzialmente idoneo a tradursi in un dato informativo che immediatamente inerisce la sfera personale (e familiare) pervaso dalla intrinseca delicatezza che fa individuare un disagio, e una conseguente necessità di riservatezza, analoghi a quelli che si riferiscono all’ammalato nel momento in cui egli espone a un terzo, ovvero ad una Pubblica Amministrazione, la propria malattia: il carattere “sensibile” delle informazioni deve ritenersi tale, non tanto perchè attinenti alla fisicità della persona, quanto perchè la cultura, nel tempo, ha sollecitato a riconoscere, nella condizione di disagio per motivi di salute, ragioni sufficienti a giustificare una particolare protezione, a fronte della maturata consapevolezza sociale dell’esistenza di un peso meritevole di sostegno e di aiuto[4].
Appare evidente che la pubblicazione on line, anche accidentale e non voluta, di informazioni sulle condizioni fisiche della persona (il minore), ancorché destinata ad una cerchia limitata di soggetti (gli insegnanti), integra l’esigenza (prevista dalla legge) di assicurare accurate misure di tutela, preclusive di una indiscriminata e illecita diffusione, anche a opera di terzi (i destinatari della comunicazione).
Un dovere di condotta (la gestione dell’accountability) che comporta una prescrizione chiara di divieto di pubblicazione della medesima circolare:
·ovvero, approntare una tutela della privacy per progettazione e impostazioni predefinite;
·privacy by design in fase di determinazione dei mezzi di trattamento che nel corso del trattamento;
·by default in fase di determinazione di misure tecniche/organizzative/procedurali che consentano il trattamento di dati personali necessari per ogni specifica finalità del trattamento, con un controllo puntuale su quanto possa o meno essere pubblicato sul sito web della P.A. (onere, pare giusto rammentare, a carico del «Responsabile del procedimento di pubblicazione e aggiornamento del sito web»)[5].
Il primato della tutela del dato personale rispetto ad una paventata e morbosa “trasparenza” ha trovato negli anni diversi interventi del Garante privacy che, pur affermando la necessità di garantire la trasparenza on line nella P.A., ha posto l’attenzione sul rispetto della dignità delle persone, rilevando che «sui siti dei Comuni non possono essere pubblicati atti e documenti contenenti dati sullo stato di salute dei cittadini», imponendo l’oscuramento dai siti web dei dati personali contenuti in alcune ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini: tali atti, oltre ad essere «visibili e liberamente consultabili sui siti istituzionali dei Comuni, attraverso link che rimandavano all’archivio degli atti dell’ente, erano nella maggioranza dei casi facilmente reperibili anche sui più usati motori di ricerca, come Google: bastava digitare il nome e cognome delle persone».
Infatti, in spregio alle più elementari regole di riservatezza venivano pubblicate ordinanze con «indicati “in chiaro” non solo i dati anagrafici (nome, cognome, luogo e data di nascita) e la residenza, ma anche la patologia della quale soffriva la persona (ad es. “infermo mentale”), o altri dettagli davvero eccessivi, quali ad esempio l’indicazione di “persona affetta da manifestazioni di ripetuti tentativi di suicidio”».
Appare più che evidente che un siffatto trattamento dei dati effettuato dai Comuni è risultato illecito, dove già dal D.Lgs. 30 giugno 2003, n. 196 si vietava espressamente la diffusione di dati idonei a rivelare lo stato di salute delle persone: «La sacrosanta esigenza di trasparenza della Pubblica amministrazione non può trasformarsi in una grave lesione per la dignità dei cittadini interessati. Prima di mettere on line sui propri siti dati delicatissimi come quelli sulla salute, le pubbliche amministrazioni, a partire da quelle più vicine ai cittadini, come i Comuni, devono riflettere e domandarsi se stanno rispettando le norme poste a tutela della privacy. E devono evitare sempre di recare ingiustificato pregiudizio ai cittadini che amministrano. Oltretutto, errori gravi e scarsa attenzione alle norme comportano come conseguenza che il Garante debba poi applicare pesanti sanzioni»[6].
Ciò premesso, la Corte dei Conti, dopo la descrizione del fatto, ovvero la condanna della P.A. al risarcimento del danno indiretto assertivamente cagionato «a seguito del pagamento di una sanzione amministrativa irrogata dal Garante per la Protezione dei dati Personali, in conseguenza dell’avvenuta pubblicazione sulla rete internet di una circolare d’Istituto contente dati idonei a rivelare lo stato di salute di scolari minori di età ed affetti da disabilità, quantificandone l’importo nella somma di € 20.000,00 pari alla sanzione pagata, oltre rivalutazione monetaria, interessi, e spese di giudizio».
Nel concreto:
·avere sottoscritto una circolare interna avente per oggetto la “Convocazione GHL (Gruppo di Lavoro per l’Handicap operativo)”, contenente un elenco nominativo di studenti minori disabili, senza sostituire i nominativi degli alunni con le semplici iniziali (o codici)[7], dovendo rammentare che ai dati c.d. sensibili la P.A è tenuta a conformare il trattamento secondo modalità volte a prevenire violazioni di diritti, delle libertà fondamentali e della dignità dell’interessato mediante tecniche di cifratura o mediante codici identificativi che li rendano temporaneamente inintellegibili a chi è autorizzato ad accedervi[8];
·avere omesso di prescrivere il divieto di pubblicazione della medesima circolare;
·avere omesso di controllare che la circolare non venisse pubblicata sul sito web dell’Istituto (un obbligo di vigilanza);
·aver omesso l’indicazione sul regime di pubblicità nell’invio della circolare ad altri soggetti (insegnanti);
·(a carico del responsabile del sito web della scuola) la pubblicazione della circolare senza verificarne l’effettivo contenuto.
In definitiva, diversi soggetti sono stati ritenuti responsabili «per avere omesso di considerare il profilo della riservatezza relativamente a dati personali idonei a rivelare lo stato di salute, per di più di soggetti portatori di handicap (reso palese dalla sigla “GLH”)», con conseguente sanzione dell’Autorità Garante per la Protezione dei dati Personali (pagata dell’Istituto scolastico), adita dal genitore di un alunno disabile il cui nominativo era stato divulgato in rete, in violazione dell’art. 22, comma 8, del D.Lgs. 30 giugno 2013, n. 196 (Codice in materia di protezione dei dati Personali)[9].
Passando al merito, la Corte, nel definire la colpa dei convenuti indica le condotte censurabili sotto il profilo della negligenza grave:
·la circolare doveva essere destinata ad essere comunicata solamente alle famiglie degli studenti in forma riservata, sia in ragione della particolare situazione di salute degli alunni interessati, sia in quanto trattavasi di una comunicazione ad uso interno, contenendo un calendario di riunioni dei consigli delle classi con presenza di alunni con handicap (GLH);
·già nella sigla “GLH” (acronimo di gruppi di lavoro per l’handicap) della convocazione si violava una regola generale di divieto di identificazione - in chiaro - della presenza di determinate patologie (di riflesso si deve evidenziare che la stesura degli atti, anche a valore interno, non devono contenere profili attinenti alla condizione fisica dei soggetti, rectius dati idonei a rivelare lo stato di salute degli studenti minori);
·è stata consentita la divulgazione nella rete internet della circolare in forma integrale, non avendo prescritto alcun divieto di pubblicazione, né è stato attuato alcun controllo, a differenza di quelle adottate di consueto, affinché non venisse pubblicata sul sito web dell’Istituto (con violazione della disposizione contenuta nell’art. 22, comma 8, del Codice della privacy).
Il quadro fattuale delinea che è stata violata la disciplina contenuta c.d. Codice della privacy, nel testo previgente le novelle introdotte con il D.Lgs. n. 101/2018, di recepimento del GDPR:
·l’art. 20, al primo comma, consentiva ai soggetti pubblici di trattare i dati sensibili, previa idonea informativa agli interessati, solo se autorizzati da espressa disposizione di legge, nella quale siano specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le finalità di interesse pubblico perseguite. In caso di assenza, anche di una sola di tali condizioni legittimanti, la citata normativa prevedeva espressamente in quali modi alternativi supplire alle carenze del caso concreto (ex art. 20, commi 2 e 3);
·il trattamento dei dati sensibili ad opera dei soggetti pubblici doveva conformarsi «secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell’interessato» (ex art. 22), e svolgersi secondo alcuni principi espressamente indicati, dovendo affermare che si tratta di prescrizioni di natura inderogabile le quali non possono essere violate neanche ove non se ne ravvisi in concreto l’utilità o la necessità, essendo il sistema legislativo integrato di protezione dei dati sensibili ispirato al principio della massima limitazione possibile della circolazione e diffusione degli stessi senza il consenso degli interessati[10];
·il comma 8 dell’art. 22 cit., impone che «I dati idonei a rivelare lo stato di salute non possono essere diffusi», pena l’irrogazione di una sanzione pecuniaria del pagamento di € 20.000,00, a cura del Garante privacy.
Anche la disciplina sulla “trasparenza” (ex D.Lgs. n. 33 del 14 marzo 2013, «Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazione da parte delle pubbliche amministrazioni», c.d. modello FOIA), conferma l’importanza per l’ordinamento del bene giuridico leso (la riservatezza, ossia la tutela massima del dato sulla salute), confermando che la trasparenza trova dei limiti alla diffusione e all’accesso delle informazioni di cui alla Legge 7 agosto 1990 n. 241 «relativi alla diffusione dei dati idonei a rivelare lo stato di salute» (ex art. 4, comma 6).
Stesse considerazioni sono state cristallizzate nelle «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», adottate dal Garante Privacy, con Provvedimento n. 243 del 15 maggio 2014, parte prima, par. 2, ribadite al par. 9. e) «Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici e dell’elenco dei soggetti beneficiari (artt. 26 e 27 del d.lgs. n. 33/2013)»: «in particolare, con riferimento ai dati idonei a rivelare lo stato di salute degli interessati, è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia, o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità, o handicap fisici e/o psichici».
Allora si può lecitamente affermare che la pubblicazione, ovvero l’ostensione del dato sensibile relativo allo stato di salute di un minore potenzialmente potrebbe creare dei rischi di discriminazione o condizionamento anche sociale, sia nei confronti del minore che dei genitori e i familiari legati da vincoli di comunanza di vita.
In ambito scolastico, il legislatore ha tentato di arginare i rischi di marginalità con la previsione di interventi di integrazione ed inclusione scolastica degli alunni con “Bisogni Educativi Speciali” (in special modo i portatori di handicap o con particolari difficoltà di apprendimento): il manifestare in una circolare resa pubblica (on line) la presenza di gruppi di lavoro per l’handicap o citarne l’acronimo costituisce una violazione alle disposizioni sul trattamento dei dati, consentendo l’identificazione da una parte, di coloro che frequentano il gruppo (i minori), dall’altro, la presenza di un dato sensibile sulla salute di cui dovrebbe essere escluso il trattamento.
La responsabilità di tale condotta omissiva (in violazione al principio di “responsabilizzazione” dei titolari e dei responsabili) è fonte di responsabilità dirigenziale (in tema di organizzazione e gestione delle risorse) ed erariale (per la sanzione applicata) in capo al dirigente scolastico, escludendone ogni solidarietà (corresponsabilità) con coloro che hanno redatto, trasmesso e pubblicato il testo della circolare: la condotta del dirigente «ha leso il diritto alla tutela della riservatezza del minore, causando per sua esclusiva colpa (personale ed in vigilando) l’irrogazione della sanzione, così da creare un danno, indiretto, alle casse dell’Istituto scolastico, in quanto il pagamento di somme con denaro pubblico a causa dell’inosservanza di obblighi imposti normativamente costituisce un aggravio di spesa e sottrae le relative somme all’attuazione degli scopi istituzionali».
Si può desumere che il corretto trattamento (operazione o complesso di operazioni che abbiano ad oggetto dati personali) dei dati personali costituisce oggetto di un vero e proprio diritto soggettivo, con la conseguenza che la pubblicazione - al di fuori dei limiti stabiliti dalla legge - lede un diritto soggettivo in quanto costituisce un illecito trattamento dei dati personali[11], onde sussiste in materia la giurisdizione del giudice ordinario (regime di responsabilità civile, ex art. 2050 c.c.)[12], dovendo specificare che in materia sanzionatoria il Garante privacy interviene per le pubblicazioni illecite e la Corte dei Conti per il pagamento della sanzione amministrativa applicata (dal Garante).
La conclusione assunta armonizza un ulteriore principio cogente che la tutela del dato sensibile prevale su una generica esigenza di “trasparenza amministrativa”:
·sia sotto il profilo costituzionalmente rilevante della valutazione degli interessi generali;
·sia sotto quello della sostanziale elusione della normativa sulla protezione dei dati personali, accentuata nel caso dei dati sensibili, ove si dovesse far prevalere una generica esigenza di trasparenza amministrativa.
Nella nozione di trattamento dei dati sono compresi l’estrazione dei dati ed il successivo utilizzo, compresa la pubblicazione che deve essere supportata da una fonte primaria, precedute da idonea informativa sul trattamento dei dati personali e dalla acquisizione del consenso del titolare[13], la cui violazione integra una serie articolata di illeciti amministrativi[14]: il principio di diritto impone che i dati sensibili - idonei a rilevare lo stato di salute - possono essere trattati dai soggetti pubblici soltanto mediante modalità organizzative che rendano non identificabile l’interessato, sicuramente la pubblicazione di una circolare con i nominativi degli alunni iscritti a determinati corsi di sostegno viola in modo non apparente tale precetto giuridico.
[1] Articolo inserito dall’art. 2, comma 1, lett. f), del D.Lgs. 10 agosto 2018, n. 101.
[2] I dati sensibili comprendono tra l’altro quelli idonei a rivelare lo stato di salute e la vita sessuale dell’interessato, dovendo ammettere che il trattamento è consentito solo se autorizzato da un’espressa disposizione di legge, in cui devono essere specificati i tipi di dati che possono essere trattati ed i tipi di operazioni eseguibili, nonché le finalità di rilevante interesse pubblico perseguite, Cass. Civ., sez. I, 7 ottobre 2014, n. 21107. Tale genere di dati appartengono alla categoria dei dati c.d. supersensibili, i quali investono la parte più intima della persona, nella sua corporeità e nelle sue convinzioni psicologiche più riservate, esige, in ragione dei valori costituzionali posti a loro presidio (ex artt. 2 e 3 Cost.), una protezione rafforzata, la quale trova espressione anche nelle garanzie previste per il trattamento effettuato dai soggetti pubblici, che può, quindi, aver luogo soltanto nel rispetto del modulo procedimentale previsto dalla legge, Cass. Civ., sez. I, 8 luglio 2005, n. 14390.
[3] In effetti, anche la circostanza della pubblicazione integrale delle pronunce con i nominativi, per esteso, delle parti e dei terzi coinvolti a qualunque titolo in un procedimento ha mosso il Garante nel sollecitare un intervento «in ordine alla garanzia del diritto alla protezione dei dati personali (spesso anche sensibili e giudiziari) degli interessati. Questa preoccupazione si fonda, in particolare, sui rischi di indicizzazione, decontestualizzazione, finanche alterazione dei dati stessi, inevitabilmente connessi alla loro indiscriminata accessibilità via web», rilevando che la «promozione della conoscenza, da parte dei cittadini, degli orientamenti giurisprudenziali espressi dalla Corte di cassazione non siano egualmente realizzabili con modalità maggiormente idonee a tutelare il diritto alla riservatezza degli interessati», Garante Privacy, Pubblicazione integrale sul web delle sentenze pronunciate dalla Corte di Cassazione e protezione dei dati personali, Roma, 6 ottobre 2014.
[4] Cass. Civ., sez. III, 26 giugno 2018, n. 16816.
[5] Cfr. F.P. Direttiva n. 8/2009 relativa alla riduzione dei siti web delle P.A. e per il miglioramento della qualità dei servizi e delle informazioni on line al cittadino, figura diversa dal Responsabile della Protezione dei Dati (Data Protection Officer), ex art. 37 del RGPD, con compiti principalmente di garanzia e di cura dei rapporti con gli interessati e l’interlocuzione con l’Autorità di controllo.
[6] Garante per la protezione dei dati personali, No a dati sulla salute dei cittadini sui siti web dei Comuni, Roma, Newsletter n. 372 del 19 aprile 2013.
[7] In proposito la pubblicazione delle inziali dei nomi può costituire in relazione alla dimensione territoriale dell’area di intervento una violazione ai principi di “anonimizzazione”, ex Considerando 26 del GDPR, dal momento che colui che compie operazioni di trattamento di tali informazioni può ricavare dal loro accostamento, comparazione, esame, analisi, congiunzione, rapporto od incrocio ulteriori informazioni, e, quindi, un «valore aggiunto informativo», non estraibile dai dati isolatamente considerati, potenzialmente lesivo della dignità dell’interessato, valore sommo (tutelato dall’art. 3, primo comma, prima parte, e dell’art. 2 Cost.) a cui si ispira la legislazione in materia di trattamento dei dati personali, Cass. Civ., sez. I, 8 agosto 2013, n. 18981 e 25 giugno 2004, n. 11864.
[8] Cass. Civ., sez. I, 19 maggio 2014, n. 10974.
[9] Articolo abrogato dall’art. 27, comma 1, lett. a), n. 2), del D.Lgs. 10 agosto 2018, n. 101, che ha abrogato l’intero Titolo III. L’art. 22, comma 6, del cit. decreto, prevede che «dalla data di entrata in vigore del presente decreto, i rinvii alle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, abrogate dal presente decreto, contenuti in norme di legge e di regolamento, si intendono riferiti alle corrispondenti disposizioni del Regolamento (UE) 2016/679 e a quelle introdotte o modificate dal presente decreto, in quanto compatibili».
[10] Cass. Civ., SS.UU., 27 dicembre 2017, n. 30981.
[11] Violazione che si distingue dalla violazione della sicurezza (data brache notification), intesa come, accidentalmente o in modo illecito, distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trasmessi, conservati o comunque trattati, con obbligo di notifica al Garante privacy, ex art. 33, par. 3 del Regolamento (UE) 2016/679 e Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951).
[12] Cfr. Cass. Civ., sez. I, 25 gennaio 2017, n. 1931 e T.A.R. Lombardia, Milano, sez. III, 3 marzo 2015, n. 615.
[13] È stato perfino affermato che la circostanza che i dati personali siano stati resi noti alla stampa direttamente dagli interessati, in una pregressa occasione, non ha valore di consenso tacito al trattamento e alla loro diffusione anche in contesti diversi dalla loro originaria pubblicazione, Cass. Civ., sez. III, 25 novembre 2014, n. 24986.