Il Garante interviene nel caso della pubblicazione, sulla pagina Facebook e sul sito web istituzionale di un comune, di dati e informazioni personali di persone sottoposte a tampone, o risultate positive al test Covid-19, oppure poste in quarantena
Con provvedimento del 14 ottobre 2021, il Garante per la Privacy ha 'ammonito' un comune per aver diffuso sulla pagina Facebook e sul sito web istituzionale dell'amministrazione alcuni dati e informazioni personali di persone sottoposte a tampone, o risultate positive al test Covid-19, oppure poste in quarantena.
La particolarità, qui, è data dal fatto che il comune ha «chiesto, a tutti gli interessati, l’autorizzazione alla pubblicazione dei loro dati personali, autorizzazione regolarmente ricevuta in forma orale (considerando 32); inoltre alcuni degli interessati hanno contatto direttamente il Comune chiedendo la pubblicazione dei loro dati».
Secondo il Garante, le giustificazioni avanzate dall’Ente non possono essere integralmente accolte in quanto in ogni caso i soggetti pubblici (come il Comune) possono trattare dati personali quando «è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento», oppure quando «il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e, del RGPD). Al fine di adempiere i predetti «obblighi legali» o «compiti di interesse o connessi all’esercizio di poteri pubblici», i soggetti pubblici non devono chiedere alcun consenso (o autorizzazione) agli interessati per il trattamento dei loro dati personali, in quanto in tali casi, anche il consenso, tendenzialmente, non può costituire «un valido presupposto per il trattamento dei dati personali», considerando che «quando il titolare del trattamento è un’autorità pubblica», esiste un’«evidente squilibrio tra l’interessato e il titolare del trattamento» (considerando n. 43 del RGPD).
Inoltre, la disciplina in materia di protezione dei dati personali vieta espressamente la diffusione (come la pubblicazione online) di dati relativi alla salute (art. 2-septies, comma 8, del Codice; cfr. anche artt. 4, par. 1, n. 15; 9, parr. 1, 2, 4, del RGPD).
In definitiva, si rileva l’illiceità del trattamento di dati personali effettuato dal comune, in quanto sono stati diffusi i dati personali sopra descritti:
- in assenza di idonei presupposti normativi, non esistendo alcuna norma di legge o di regolamento che ne preveda la pubblicazione, in violazione dell’art. 2-ter, commi 1 e 3, del Codice e dell’art. 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;
- in violazione del divieto di diffusione dei dati sulla salute previsto dall’art. 2-septies, comma 8, del Codice e dell’art. 9, del RGPD, con particolare riferimento ai dati dei soggetti risultati positivi al test Covid-19.
Data la particolarità della situazione, anziché infliggere una sanzione pecuniaria, il Garante ha solamente ammonito il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del RGPD (cfr. anche considerando 148 del RGPD).