giovedì 14 febbraio 2013

Diffondere i dati sensibili via web è reato

Leggendo alcune notizie, non si può che rimanere basiti e rischiare di diventare dei qualunquisti; si, ma quali notizie?
Beh, qualcosa è intuibile dal titolo dell’articolo; comunque la notizia che ci sono degli enti pubblici di significative dimensioni che diffondono i dati sensibili via internet, con leggerezza e forse anche con leggiadria, non può che far sobbalzare sulla sedia ed obbligare a domandarsi se il responsabile privacy operante presso tali enti pubblici sia cosciente che oltre ai danni arrecati ai cittadini di cui sono stati diffusi, il suo comportamento comporterà il possibile sanzionamento dell’ente e che lui stesso potrebbe venire condannato a rifondere personalmente il danno erariale causato.
La risposta a tale domanda retorica trova purtroppo risposta nella pratica di nominare responsabile privacy una persona non adeguatamente formata sulla normativa, ma che in genere si è occupata solo di ICT; infatti per parecchi anni i titolari di trattamenti hanno inteso la privacy come una rottura di scatole che riguardava soprattutto la redazione del DPS e quindi se ne poteva occupare l’incolpevole (a volte) “responsabile dei computer” (e nel riferirsi a costui, spesso il supposto manager faceva dei gesti come a dire che è intendeva riferirsi a “quello li” di cui non mi ricordo il nome, ma che smanetta sempre coi computer, scordandosi che spesso da “quello li” dipendono le sorti di tutte le realtà lavorative e che lo smanettone magari è un ingegnere informatico molto valido).
È invece evidente a una persona dotata di un minimo di raziocinio o almeno attenta a prevenire eventuali danni, che la privacy in alcune organizzazione devi essere seguita o da un ICT manager che sia stato formato anche sulle tematiche normative afferenti alla riservatezza, o dal Responsabile affari legali, affiancato dal referente informatico, o che bisogna riferirsi ad un soggetto esterno.
I fatti da cui prende spunto questo scritto sono riportati nell’ultima newsletter del Garante dove si riporta che l’Autorità è intervenuta nei confronti del Comune di Siderno, che aveva diffuso l’elenco degli abitanti inabili o non autosufficienti e soprattutto nei confronti dell’ASL Napoli 2 Nord che nell’albo pretorio aveva pubblicato le determinazioni aventi ad oggetto la liquidazione degli indennizzi per patologie contratte per causa di servizio.
Ora, è evidente che in questi due casi il responsabile interno privacy probabilmente è incolpevole, perché soprattutto nel caso del comune di Siderno, l’elenco era stato pubblicato come allegato del Piano di protezione civile e magari chi ha pubblicato tale piano non aveva rilevato nessuna pericolosità di riservatezza, e magari non aveva interagito con il responsabile privacy; così come nel caso dell’Asl di Napoli potrebbe anche essere che il privacy officer non fosse stato interessato della questione.
Il Garante ha vietato ad entrambi gli enti, ovviamente, “l'ulteriore diffusione in Internet, in qualsiasi area del loro sito istituzionale, dei dati sulla salute rispettivamente di cittadini disabili e di persone che hanno beneficiato di rimborsi per spese sanitarie”, prescrivendo loro – altrettanto ovviamente – “di conformare la pubblicazione on line di atti e documenti alle disposizioni contenute nel Codice privacy e nelle Linee guida del 2 marzo 2011, rispettando, in particolare, il divieto di diffusione di dati sulla salute.”.
Adesso l’Asl di Napoli, se non ottempera a quanto richiesto dal Garante, potrebbe anche venire sanzionata dal Garante così come avvenuto in passato nel caso della Regione Puglia, alla quale nel 2010 era stata elevata una sanzione di €. 40.000 per non aver pienamente ottemperato al provvedimento dell’Autorità.

Antonio Recca e Alessandro Radrizzani (da diritto.it del 14.2.2013)