Vietato alle Aziende sanitarie locali spiattellare sul web delle pubbliche amministrazioni i dati sanitari.
Il garante della privacy ha bloccato la diffusione di dati di disabili sui siti istituzionali di una regione e di una azienda sanitaria e ha preannunciato pesanti sanzioni amministrative con il provvedimento n. 489 del 24 settembre 2015.
Sul banco degli imputati si è trovato il portale internet dell’assessorato alla sanità di una regione.
Questo portale offre numerosi servizi per l’utenza e ospita i siti istituzionali delle aziende ospedaliere, ospedali, dipartimenti, distretti socio sanitari, poliambulatori e consultori.
In particolare sul sito web istituzionale di una azienda sanitaria sono state pubblicate graduatorie ed elenchi riferite a selezioni pubbliche riservate a soggetti disabili.
Le graduatorie riportavano nome, cognome, punteggio attribuito e, in alcuni casi, la data di nascita di persone disabili, i nomi dei partecipanti non ammessi prova attitudinale, i nomi degli invalidi che non hanno superato la prova attitudinale, i nominativi delle persone appartenenti alle categorie protette.
Tra l’altro le graduatorie non schermavano i dati identificativi degli interessati ed erano immediatamente visibili in rete tramite i più diffusi motori di ricerca generalisti.
Secondo il garante la pubblicazione sul web degli elenchi ha causato un’indebita diffusione di dati idonei a rivelare lo stato di salute degli interessati, in violazione dell’articolo 22, comma 8, del codice della privacy: le graduatorie riportavano, infatti, sia la disabilità sia il nome per esteso degli interessati.
Inoltre l’indicizzabilità da parte dei motori di ricerca dei dati amplifica il danno alla dignità e alla riservatezza delle persone.
Di conseguenza il garante ha vietato l’ulteriore diffusione in internet dei dati sanitari contenuti negli elenchi e ha prescritto di conformare per il futuro la pubblicazione di atti e documenti in rete alle disposizioni contenute nel codice della privacy e nel provvedimento n. 243 del 15 maggio 2014 (Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati).
Il garante si è riservato di contestare la violazione amministrativa prevista dall’articolo 162, comma 2-bis, del codice della privacy, con la possibilità di applicare la sanzione del pagamento di una somma da 10 mila a 120 mila euro.
Dalla pronuncia in esame, l’ultima di una serie di analogo tenore, è scaturita una lettera del presidente del garante, Antonello Soro, a Sergio Chiamparino, presidente della Conferenza delle regioni e delle province autonome, per richiamare l’attenzione della Conferenza sulla preoccupante prassi di pubblicare sui siti web degli enti pubblici atti e documenti contenenti dati personali non indispensabili di cittadini e dipendenti, spesso estremamente delicati come quelli riferiti alla salute, in particolare alla disabilità.
Il Garante ha chiesto, dunque, alla Conferenza di assumere specifiche iniziative per impedire ulteriori violazioni.
© Riproduzione riservata