La privacy non concede deroghe alla pubblicità

IL GARANTE per la Privacy, con propria ordinanza di ingiunzione (n.404  del 1 dicembre 2022)  emesso verso un’Azienda Ospedaliera, ha affermato che, seppur in costanza di una disposizione di legge che obblighi la pubblicazione di atti e documenti, si debba comunque tener conto della protezione dei dati soprattutto in merito alla liceità del trattamento e alla minimizzazione degli stessi.

IL CASO

Il Garante della Protezione dei Dati Personali ha ricevuto un reclamo da un dipendente di un’azienda ospedaliera, recriminando la pubblicazione sul sito web istituzionale dell’Azienda e l’indicizzazione sui motori di ricerca di due provvedimenti comprendenti dati personali compresi quelli relativi  alla salute. In propria difesa, l’Azienda dichiarava che il fatto era dovuto in esecuzione del “compito di interesse pubblico ex art. 32 l. n.69/2009” (Eliminazione degli sprechi relativi al mantenimento di documenti in forma cartacea).

Sempre l’Azienda garantiva di non aver commesso dolo nella violazione, in quanto, a seguito della notifica dell’Autorità circa la persistente indicizzazione della pubblicazione sul web l’Azienda aveva immediatamente informato dell’accaduto la società gestrice dei documenti che rilevava l’esistenza di un bug della piattaforma. Successivamente la rimozione dei documenti era stata immediata.

LA “RATIO” DEL PROVVEDIMENTO DEL GARANTE

Il Garante ha ribadito nuovamente la centralità di principi quali “liceità, correttezza e trasparenza” e di “minimizzazione dei dati” che devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere in base a quanto disposto dall’art. 5, par. 1, lett. a) e c), del GDPR. “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. I dati relativi alla salute o alla salute in qualche modo legati sono dati che proprio per la loro specificità non possono essere diffusi.

Riguardo al regime di pubblicità, il Garante richiamava quanto già espresso nel provvedimento n. 299 del 15 settembre 2022, nel quale si affermava che la circostanza che vi fosse un determinato sistema di pubblicità  “non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali”.

Il Garante aggiungeva che, proprio basandosi sulle norme richiamate dal GDPR , il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto.

CONCLUSIONI

Con questo provvedimento il Garante ha puntualizzato quanto i principi relativi alla protezione dei dati personali siano centrali anche rispetto all’onere di pubblicazione di determinati atti e documenti, fossero essi obbligatori come nel caso dell’Albo pretorio online.

Nel caso specifico, infatti, si è considerato che la pubblicazione sul sito web istituzionale dei provvedimenti oggetto della contestazione era stato operato in assenza di un idoneo presupposto normativo stante soprattutto la presenza di dati relativi alla condizione di invalidità, in contrasto col divieto di diffusione dei dati relativi alla salute dell’interessato.