Telefono: +39 0125 1899500 | E-mail: info@isimply.it

Anche i dati personali dei beneficiari di "sussidi Covid" devono essere adeguatamente protetti
Fonte: Garante per la protezione dei dati personali

Il Garante per la protezione dei dati personali sanziona ancora una volta una pubblica amministrazione locale (ordinanza 140/2021), in questo caso per alcune falle organizzative e operative rilevate nell'ambito del servizio di erogazione dei buoni spesa per fronteggiare le situazioni di difficoltà economica generate dall'emergenza Covid.

In particolare, il caso in esame porta nuovamente all'attenzione il principio della privacy by design e by default, e cioè l'obbligo di avviare qualsiasi progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali.

La vicenda prende avvio dal reclamo presentato da un beneficiario dei buoni spesa erogati dal Comune di Palermo attraverso il supporto di soggetti esterni (Enti del Terzo Settore, Sindacati e Parrocchie, denominati OpT), che aveva accreditato ad usare la piattaforma informatica per la gestione dei sussidi.

Durante l'attività di istruttoria, il Garante ha rilevato innanzi tutto che il Comune aveva assegnato a tutti i soggetti accreditati la medesima utenza d'accesso alla piattaforma, con la conseguente impossibilità di identificare gli operatori degli OpT che avevano consultato le pratiche inserite nella piattaforma, contenenti i dati anagrafici e la fascia economica Isee dei richiedenti.

Inoltre l'accesso alle pratiche personali poteva avvenire mediante l'introduzione a sistema delle sole prime tre lettere del codice fiscale, rendendo così facilmente accessibili le informazioni relative alla condizione di fragilità di un numero elevato di cittadini.

Nello stabilire l’entità della sanzione, quantificata in 40.000 euro, il Garante ha tenuto conto che la violazione ha interessato un numero elevato di cittadini in stato di bisogno (circa 18.000) e si è protratta per due mesi, pur prendendo atto  della necessità di fronteggiare con urgenza il disagio della pandemia e degli sforzi fatti dall'Ente per adottare misure necessarie per rendere la piattaforma conforme ai richiamati principi di privacy by design e by default.

 

Ordinanza di ingiunzione