Avevo sperato che fosse stata la prima ed ultima volta in cui all’Albo Pretorio del Comune venissero pubblicate le generalità complete di un minore, in aperta violazione della più elementare norma che regola la privacy. Invece, purtroppo, la diabolica perseveranza di chi non legge le carte prima di darle in pasto al mondo intero, ha colpito ancora!
Era già capitato il 26 febbraio scorso, quando, con la determina numero 343, per ben 15 giorni, tutti poterono leggere nome, cognome, scuola elementare frequentata e patologia di un alunno disabile bisognoso di un banco speciale per seguire le lezioni in classe.
Grazie alla mia segnalazione agli uffici comunali e al contestuale immediato intervento dell’assessore alle politiche sociali Teresa Stellato, quella determina fu prima cancellata dal sito istituzionale e poi ripubblicata eliminando i “dati sensibili” vietati per legge.
A sette mesi di distanza, ci risiamo!
Un’altra determina dirigenziale approvata pochissimi giorni fa (non ne pubblico gli estremi per evitare di perpetrare il reato…) riporta, fin dall’intestazione (e poi anche al suo interno) nome, cognome, codice fiscale e indirizzo di un 12enne il cui papà ha chiesto un risarcimento danni al Municipio per la caduta del ragazzino in una buca sul lungomare di via Napoli, con tanto di indicazione della diagnosi stilata dai medici dell’ospedale in cui fu trasportato il bimbo dopo l’infortunio.
Errare è umano, ma perseverare è diabolico: o, quantomeno, indice di grande superficialità nell’adempiere a compiti che dovrebbero essere svolti con estrema attenzione.
Specie quando, dopo il primo incidente del genere, il 21 marzo scorso, il segretario generale dell’Ente, Matteo Sperandeo indirizzò (ai dirigenti, ai responsabili dell’Albo Pretorio on line, al sindaco e agli assessori) una “circolare esplicativa” sulle “modalità operative per il trattamento dei dati personali nelle attività connesse alla pubblicazione e alla diffusione di atti, provvedimenti e documenti dell’Ente” secondo il Codice della Privacy e due delibere del Garante per la protezione dei dati personali, la numero 17 del 19 aprile 2007 e la numero 88 del 2 marzo 2011.
Vale la pena di ripubblicare integralmente il contenuto di quella nota, in modo che tutti sappiano di cosa sto parlando e che qualcuno si “rinfreschi” la memoria.
LA CIRCOLARE SULLA PRIVACY
“Con il decreto legislativo 30 giugno 2003 numero 196 è stato approvato il “Codice della Privacy”, successivamente integrato e modificato con il decreto legislativo 28 maggio 2012, numero 69, che detta le norme che disciplinano la materia in ordine al diritto alla riservatezza e con riferimento alla tutela dei diritti e delle libertà fondamentali dell’individuo rispetto all’uso e alla gestione di informazioni e dati che riguardano lo status e le condizioni personali dello stesso. Tralasciando, per evidenti ragioni di economia espositiva, la disamina dell’intera struttura normativa del Codice, si richiama l’attenzione su quanto accaduto in questo Ente nei giorni scorsi a proposito della pubblicazione all’Albo Pretorio on line della determinazione numero 343/2013, della Direzione 6, Servizio Pubblica Istruzione, che ha visto l’esposizione di dati cosiddetti “super-sensibili” senza la necessaria e dovuta accortezza e limitazione. La vicenda assume anche contorni antipatici per l’eco che ha assunto all’esterno in considerazione della rilevanza data dalla stessa dai media locali. Il Garante, fin dal 2007 è intervenuto sull’argomento allorchè si è trattato di chiarire, anche a seguito delle diverse e molteplici richieste pervenute da parte degli enti locali, alcuni aspetti critici in ordine alle modalità con le quali gli enti locali danno pubblicità alla propria attività istituzionale. L’Autorità indipendente, in tale occasione, ha elaborato un documento, successivamente aggiornato e integrato con la deliberazione numero 88 del 2 marzo 2011, con cui ha dettato le linee guida per il trattamento dei dati personali in occasione della pubblicazione e diffusione di atti e documenti degli enti locali. In detto documento, è stata sottolineata la necessità di garantire un elevato livello di tutela dei diritti e delle libertà fondamentali degli individui ed è stato affermato che detta esigenza non ostacola e non contrasta affatto quella della piena trasparenza dell’attività amministrativa. Il Garante ha precisato che la presenza di taluni dati personali o di determinate forme di diffusione dei documenti e degli atti della Pubblica Amministrazione, obbligano l’ente a individuare specifiche soluzioni e modalità, operative e tecniche, che garantiscano la tutela dell’interessato e attuino la trasparenza in modo ponderato e secondo correttezza. I princìpi generali che presiedono alla disciplina dell’attività di diffusione del dato e alla gestione dello stesso, allorchè contenuto in atti o documenti della Pubblica Amministrazione, sono sempre quelli della “necessità” (articolo 3 del Codice) e della “proporzionalità” (articolo 11, comma 1, lettera d, del Codice). Proprio con riferimento alla pubblicità delle deliberazioni (e, quindi, anche delle determinazioni e di ogni altro atto amministrativo che contenga determinate tipologie di dati personali) attraverso l’affissione all’Albo Pretorio (anche on line), l’Autorità garante ha precisato (delibera numero 17/2007, punto 6) che, riguardo alla diretta indicazione dei dati personali nelle deliberazioni da pubblicare, va rispettato il principio di “pertinenza e non eccedenza” rispetto alle finalità perseguite dai singoli atti. L’esigenza di assicurare la tutela dei dati dell’interessato diventa oltremodo stringente allorchè si tratta di informazioni attinenti allo stato di salute o alle condizioni psico/fisiche dello stesso (cosiddetti “dati super-sensibili”, articolo 22 comma 8, articolo 65 comma 5 e articolo 68 comma 3 del Codice). In questi casi è necessario operare secondo modalità che, facendo salva l’esigenza di pubblicità dell’atto amministrativo, possano evitare una diffusione indifferenziata di specifiche informazioni e dettagli relativi allo status personale dell’interessato e, in modo particolare, al suo stato di salute. Come è stato più volte ribadito, anche nel recente passato, da parte del sottoscritto in diverse occasioni, è necessario che gli uffici, dopo un’attenta e completa analisi degli atti (deliberazioni, determinazioni eccetera) e dei documenti (allegati o altro), adottino, caso per caso, gli accorgimenti tecnici per evitare la diffusione indifferenziata dei dati. Ciò è possibile farlo: con l’oscuramento dei dati anagrafici o di altri dati identificativi dell’interessato (ad esempio, il numero di codice fiscale), con l’omissione, in caso di pubblicazione, degli allegati tecnici e/o descrittivi, con la sostituzione (dato criptato) dei caratteri della scrittura ovvero con qualsiasi altro sistema idoneo allo scopo. E’ ovvio che l’elencazione dei diversi sistemi di “copertura” del dato non ha la pretesa di essere esaustiva, ma individua alcune modalità operative che sono idonee a realizzare l’obiettivo. L’occasione è altresì utile per sottolineare come la legge prevede forme di tutela dell’interessato, dinanzi al Garante, oltre che giurisdizionale, e forme di risarcimento del danno, oltre all’applicazione delle sanzioni di cui agli articoli 161 e seguenti del Codice. Alla luce di quanto esposto, si invita ad organizzare l’attività amministrativa delle strutture organizzative di rispettiva competenza in modo da assicurare il corretto e legittimo uso delle informazioni personali degli interessati, contenute in atti e documenti dell’amministrazione, nel rispetto delle norme del Codice e secondo le indicazioni operative fornite dal Garante per la protezione dei dati personali mediante le citate deliberazioni numero 17 del 19 aprile 2007 e numero 88 del 2 marzo 2011, alle quali si fa espresso rinvio. L’Ufficio Gestione Albo on-line (Direzione 1- Servizi di Amministrazione Generale) avrà cura di svolgere una verifica attenta e puntuale degli atti e dei documenti amministrativi da pubblicare evitando, per quanto possibile, una diffusione indifferenziata delle informazioni personali rinviando i medesimi agli uffici di provenienza così che possano essere adottati, prima della pubblicazione, i necessari accorgimenti”.
Vale la pena di ricordare anche cosa ha dichiarato nei mesi scorsi Antonello Soro, presidente dell’autorità a garanzia della protezione dei dati personali.
E cioè che “la sacrosanta esigenza di trasparenza della Pubblica Amministrazione non può trasformarsi in una grave lesione per la dignità dei cittadini interessati. Prima di mettere on line sui propri siti dati delicatissimi come quelli sulla salute, le pubbliche amministrazioni, a partire da quelle più vicine ai cittadini, come i Comuni, devono riflettere e domandarsi se stanno rispettando le norme poste a tutela della privacy. E devono evitare sempre di recare ingiustificato pregiudizio ai cittadini che amministrano. Oltretutto, errori gravi e scarsa attenzione alle norme comportano come conseguenza che il Garante debba poi applicare pesanti sanzioni”.
Mi domando: qualcuno dovrà chiedere ed ottenere un maxirisarcimento danni dal Comune di Pozzuoli affinchè illegalità del genere non si ripetano mai più?
E, se accadesse una cosa del genere, si pagherà con i soldi della collettività o con quelli di chi ha materialmente commesso l’errore?