Graduatoria per sostegni economici: no dati personali in mostra
indeks
I fatti
La valutazione del Garante
La decisione del Garante
>>>Leggi l’Ordinanza ingiunzione n. 197 del 26 maggio 2022<<<
1. I fatti
A seguito di una segnalazione ricevuta, il Garante per la protezione dei dati personali accertava che in una pagina web riconducibile alla Regione Toscana era possibile visualizzare e scaricare dei documenti relativi al “Bando Filiera Turismo”, avente ad oggetto degli aiuti economici finalizzati a contenere e contrastare l’emergenza sanitaria Covid-19, i quali contenevano anche dei dati e delle informazioni personali.
posebno, da detta pagina web era possibile visualizzare e scaricare dei files in formato .pdf che riportavano l’elenco delle domande di partecipazione al suddetto bando, sia quelle ammesse che quelle non ammesse, che erano state presentate dai richiedenti anche persone fisiche (quali professionisti e ditte individuali), le quali contenevano anche l’indicazione dell’importo ricevuto e della residenza o domicilio dell’interessato.
Ritenendo che detta pubblicazione potesse configurare una violazione della normativa in materia di protezione dei dati personali, il Garante invitava la Regione Toscana a inviare le proprie memorie difensive.
La regione sosteneva che i documenti di cui sopra erano degli allegati agli atti amministrativi con cui erano stati concessi i sostegni economici in accoglimento delle domande di partecipazione al “Bando Filiera Turismo” e che la loro pubblicazione era imposta dalla legge regionale toscana, secondo cui nelle procedure valutative con graduatoria (come nel caso dei bandi) l’attività istruttoria finalizzata a valutare le domande presentate si conclude con la predisposizione di una graduatoria delle domande presentate, sia quelle ammesse che quelle non ammesse, in base ai punteggi che sono stati attribuiti all’esito della valutazione.
In secondo luogo, la Regione sosteneva che la normativa in materia di trasparenza della PA, in caso di assegnazione di contributi economici nell’ambito di un bando, impone la pubblicazione di alcuni dati relativi ai soggetti beneficiari della convenzione, quali il nome e i dati fiscali, l’importo del vantaggio economico corrisposto e il link al progetto selezionato e al curriculum del soggetto.
stoga, secondo la Regione, se è pur vero che la medesima normativa esclude la pubblicazione dei dati identificativi delle persone fisiche destinatarie di detti contributi economici qualora da tali dati sia possibile ricavare informazioni relative alla situazione di disagio economico degli interessati, tale valutazione spetta alla pubblica amministrazione che eroga il contributo (koji, soltanto in caso di valutazione positiva, dovrà anonimizzare i dati identificativi dei beneficiari che potrebbero rivelare la condizione di disagio economico di questi ultimi).
Međutim, nel caso di specie, la Regione si difendeva sostenendo che non aveva ritenuto configurarsi una situazione di disagio economico degli interessati, in quanto la richiesta di partecipazione al bando di cui sopra non comportava alcuna indicazione sull’ammontare del reddito del richiedente e il requisito della riduzione del fatturato era previsto solo in termini percentuali e non indicato in valori assoluti (cioè, nella domanda si doveva dichiarare di aver subito una riduzione del fatturato pari ad almeno due terzi rispetto all’anno 2019, ma non si doveva indicare a quanto ammontava il fatturato nell’anno di riferimento).
također, la Regione sosteneva che i dati personali (quali indirizzi e codice fiscale) degli interessati, che erano stati pubblicati nei documenti di cui sopra, erano dati pubblici, ricavabili facilmente e senza limitazioni dal Registro delle imprese o dagli Albi di appartenenza dei professionisti.
Infine, la Regione evidenziava come, dopo l’avvio della procedura da parte del Garante, la stessa aveva rivalutato i dati pubblicati e aveva provveduto a eliminare alcune informazioni che erano oggettivamente non necessarie nella pubblicazione della graduatoria soprattutto delle imprese individuali.
Potrebbero interessarti anche:
Dati personali sull’incarico ad un avvocato: il Garante interviene
Ok del Garante privacy a Regolamento per l’uso dell’intelligenza artificiale per la gestione degli esposti
Il Garante privacy ha negato l’accesso civico ai dati personali di soggetti liquidati dal Comune per sinistri
2. La valutazione del Garante
Preliminarmente, il Garante ha analizzato la normativa in materia di trasparenza, secondo cui gli obblighi di pubblicazione degli atti con cui si attribuiscono contributi economici a persone fisiche ed enti pubblici e privati, sono esclusi in due casi: 1) quando l’importo complessivo erogato è inferiore a mille euro nel corso dell’anno solare; 2) quando dai dati pubblicati è possibile ricavare informazioni relative alla situazione di disagio economico-sociale dell’interessato.
Ciò premesso, il Garante ha ritenuto che, nel caso di specie, la pubblicazione dei dati di cui sopra da parte della Regione configurasse una violazione della normativa in materia di privacy e che non potessero essere accolte le tesi difensive dalla Regione.
In primo luogo, i beneficiari dei contributi economici di cui al citato bando dovevano necessariamente essere soggetti “particolarmente danneggiati” a causa della epidemia da Covid-19 (requisito previsto dal bando) ed in particolare dovevano essere soggetti che si trovavano nella condizione economica per cui l’ammontare del fatturato dal maggio ad agosto 2020 era inferiore ai due terzi dell’ammontare del fatturato dello stesso periodo del 2019.
Dobro, secondo il Garante, il divieto di pubblicare i dati da cui è possibile ricavare la condizione di disagio economico-sociale dell’interessato, sancita dalla normativa in materia di trasparenza della PA, è previsto per tutelare la dignità, i diritti e le libertà fondamentali dell’interessato e per evitare che i soggetti che si trovano in condizioni economico-sociali disagiate soffrano l’imbarazzo della diffusione di tali informazioni e comunque possano essere sottoposti a conseguenze indesiderate a causa della conoscenza da parte di terzi di detta situazione personale.
Dobro, la valutazione che è stata fatta dalla Regione Toscana, all’esito della quale ha ritenuto che i dati di cui si discute non fossero idonei a rilevare una condizione di disagio economico-sociale dei richiedenti il sussidio, non è aderente alla suddetta ratio della disposizione normativa.
In secondo luogo, la pubblicazione di tali dati è sproporzionata e viola il principio di minimizzazione dei dati.
U tom pogledu, infatti, secondo il Garante, è stata la stessa Regione ad aver ammesso di aver rivalutato i dati pubblicati e provveduto alla rimozione di alcuni di essi che erano oggettivamente non necessari.
Infine, con riferimento al fatto che alcuni dati pubblicati fossero pubblici, in quanto ricavabili dal Registro delle imprese, il Garante ha ritenuto che ciò non rileva ai fini della valutazione della illeicità della diffusione di detti dati da parte della Regione. Infatti, anche la presenza di uno specifico regime di pubblicità, non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga al principio di minimizzazione dei dati.
Dobro, nel caso di specie, la diffusione del codice fiscale e dell’indirizzo di residenza, unitamente al nominativo del soggetto interessato e alle altre informazioni economiche di cui sopra, è sproporzionata rispetto alla finalità di trasparenza connessa alla pubblicazione della graduatoria del bando.
3. La decisione del Garante
In base alle valutazioni di cui sopra, il Garante per la protezione dei dati personali ha quindi ritenuto che il trattamento dei dati è stato effettuato in violazione dei principi di liceità, correttezza, trasparenza e minimizzazione dei dati ed ha comminato alla Regione una sanzione pecuniaria amministrativa dell’importo di €. 16.000.
volumen preporučeno
GDPR: ISPEZIONI E SANZIONI DEL GARANTE
Stefano ComelliniAvvocato in Bologna e patrocinante in Cassazione, si occupa prevalentemente di Diritto Industriale, di Diritto dell’Informatica e delle Telecomunicazioni e di Diritto della Privacy. Svolge, altresì, l’attività di Data Protection Officer. Relatore in convegni, è autore dei testi “Il Responsabile della Protezione dei Dati (Podaci Službenik za zaštitu – DPO)”, “Il Regolamento generale sulla Protezione dei Dati personali e la nomina del DPO nella Pubblica Amministrazione”, “La moneta elettronica. Altri sistemi di pagamento elettronici e valute virtuali (Criptovalute)” e “Blockchain, Criptovalute, I.C.O. e Smart Contract”, pubblicati da Maggioli Editore.
Stefano Comellini, 2020, Maggs Izdavač
12.90 €
10.97 €
kupiti
Diventa autore di Diritto.it
Scopri di più!
Ti potrebbe interessare anche
L’Invio involontario a soggetti terzi del referto di una consulenza genetica costituisce un trattamento illecito dei dati personali
di Muia’ Pier Paolo
29 ožujak 2021
Cookie e altri strumenti di tracciamento: guida pratica per un banner a prova di GDPR
di Luisa Di Giacomo
22 listopad 2021
Il Garante privacy torna a esprimere il proprio parere sulla regolamentazione della medicina di iniziativa da parte della Provincia autonoma di Trento
di Muia’ Pier Paolo
18 studeni 2020
Il parere del Garante privacy sul decreto per l’attuazione del processo amministrativo telematico
di Muia’ Pier Paolo
3 kolovoz 2020
The post Graduatoria per sostegni economici: no dati personali in mostra appeared first on Diritto.it.
Izvor: Diritto.it
