Gli Enti Pubblici, in qualità di titolari del trattamento dei dati personali, sono tenuti a rispettare, in materia di gestione dei sussidi pubblici, i principi di protezione dei dati fin dalla progettazione dei sistemi informatici e l’impostazione predefinita degli stessi.

Tanto ha ribadito il Garante per la Privacy nella sanzione comminata al Comune di Palermo del 15/04/2021, per non aver protetto adeguatamente i dati personali dei cittadini che richiedevano i sussidi alimentari.

Il caso riguardava il reclamo presentato al Garante da un cittadino che, a seguito della presentazione della domanda di buoni spesa per l’emergenza Covid, denunciava il libero accesso ai propri dati personali da parte dell’operatore di un’associazione di cui si avvaleva il Comune di Palermo.

Infatti il richiamato Comune, per assistere gli utenti nella compilazione delle richieste di sussidi, si era avvalso del supporto di soggetti esterni (Enti del Terzo Settore, Sindacati e Parrocchie, c.d. OpT- organizzazione partner territoriali) che aveva accreditato all’utilizzo della piattaforma informatica di gestione dei sussidi, accessibile dal sito comunale.

Il Comune aveva rilasciato un’unica utenza di accesso a ciascuna OpT, permettendo l’accesso indifferentemente a tutti gli addetti.

Dunque, qualsiasi operatore poteva accedere ai dati di tutte le domande, anche presentate presso altri OpT.

La funzione di ricerca dei beneficiari, prevedeva l’inserimento dei soli primi tre caratteri del codice fiscale, rendendo così facilmente accessibili per un numero elevato di posizioni, le informazioni relative alla condizione di fragilità dei richiedenti i sussidi.

Dunque l’Autorità ha accertato, sulla scorta della documentazione acquisita, che era possibile, per un operatore di qualsiasi organizzazione accreditata, consultare tutte le pratiche inserite nella piattaforma del Comune e visualizzare i dati anagrafici e la fascia economica Isee dei richiedenti, senza registrare le operazioni di consultazione effettuate, con conseguente impossibilità di identificare gli utenti che avevano effettuato le predette consultazioni.

La sanzione comminata dal Garante, pari ad € 40.000,00, pur tenendo in dovuta considerazione alcuni fattori quali: i) la necessità di fronteggiare con urgenza il disagio della pandemia; ii) l’attenzione assunta dal Comune di Palermo per adottare le necessarie misure al fine di rendere la piattaforma conforme ai principi in materia di privacy, non poteva non considerare la violazione in base al numero elevato di cittadini in stato di bisogno, circa 18.000, violazione protrattasi per circa due mesi.

I titolari del trattamento devono pertanto, anche in situazioni di necessità, prestare attenzione alla protezione dei dati personali degli interessati.