Le p.a. non possono pubblicare sui propri siti istituzionali le graduatorie contenenti i dati identificativi dei soggetti aventi diritto a benefici economici, da cui è possibile ricavare informazioni relative allo stato di salute e alla situazione di disagio economico-sociale.
Questo quanto ribadito dal Garante per la protezione dei dati personali con il provvedimento
n. 213 del 12 aprile 2018, con il quale è stato vietato ad un comune l’ulteriore diffusione sul sito web istituzionale delle graduatorie di persone invalide o in stato di disagio e che hanno usufruito di esenzioni o riduzioni della tassa sui rifiuti 2015.
L’Autorità, intervenuta a seguito di una segnalazione, ha accertato che due graduatorie, consultabili e scaricabili liberamente da alcuni link presenti sul sito del Comune, riportavano in chiaro dati e informazioni personali di 3447 persone, ordinati in base alla situazione e economica.
In particolare, nel primo elenco erano indicati il nome e cognome, la data di nascita, il codice fiscale, il numero dei componenti del nucleo familiare di 3269 persone con reddito Isee familiare fino a 8mila euro, nel secondo elenco, erano riportati gli stessi dati personali di altre 178 persone invalide al cento per cento e con Isee fino a 10mila euro.
In base al Codice privacy e alla normativa sulla trasparenza, gli enti devono adottare ogni cautela per evitare, in particolare, la diffusione di informazioni, tanto più online, relative allo stato di salute (art. 22, comma 8, del Codice) e alla situazione di disagio economico-sociale (art. 26, comma 4, del d. lgs. n. 33/2013 e art. 19, comma 3, del Codice).
Oltre al provvedimento di divieto, il Garante ha prescritto al Comune di adottare in futuro opportuni accorgimenti nella pubblicazione degli atti e dei documenti on line, allo scopo di rispettare il divieto stabilito dalla normativa di diffondere questo tipo di dati.
L’Autorità, inoltre, si è riservata di valutare, con separato provvedimento, gli estremi per contestare alle p.a. la violazione amministrativa prevista per l’illecita diffusione di dati.