Sussidi Covid, sanzioni dal Garante Privacy per mancata protezione dei dati

lentepubblica.it • 17 Giugno 2021

Sussidi Covid, Garante della Privacy: i dati dei beneficiari vanno protetti. L’Autorità sanziona un Comune per inadempienza.

La condizione di fragilità economica si deve tutelare anche sul piano della riservatezza e il titolare del trattamento deve rispettare i principi in materia di protezione dei dati fin dalla progettazione dei sistemi e per impostazione predefinita.

Ecco quanto ha ribadito il Garante per la privacy nel sanzionare un Comune capoluogo per non aver protetto adeguatamente i dati personali dei cittadini che richiedevano sussidi alimentari.

Sussidi Covid, monito del Garante Privacy: protezione per i dati dei beneficiari

Nel reclamo presentato al Garante, un cittadino lamentava che un operatore di un’associazione aveva potuto accedere alla sua domanda di buoni spesa per l’emergenza Covid senza esserne autorizzato e visualizzare i suoi dati personali.

Per assistere gli utenti nella compilazione delle richieste di sussidi, il Comune si era avvalso del supporto di soggetti esterni (Enti del Terzo Settore, Sindacati e Parrocchie, c.d. OpT). Soggetti che aveva accreditato ad usare la piattaforma informatica di gestione dei sussidi, accessibile dal sito comunale.

In base alla documentazione acquisita, l’Autorità ha accertato che era possibile, per un operatore di qualsiasi organizzazione accreditata, consultare tutte le pratiche inserite nella piattaforma del Comune.

E così visualizzare i dati anagrafici e la fascia economica Isee dei richiedenti, senza registrare le operazioni di consultazione effettuate, con conseguente impossibilità di identificare gli utenti che avevano effettuato le predette consultazioni.

Il Comune aveva infatti rilasciato, di base, a ciascuna OpT un’unica utenza di accesso, che l’organizzazione faceva utilizzare a tutti i propri addetti. Qualunque operatore poteva così accedere ai dati di tutte le domande, anche presentate presso altri OpT e che avevano già completato l’iter previsto. La funzione di ricerca dei beneficiari, prevedeva l’inserimento dei soli primi tre caratteri del codice fiscale, rendendo così facilmente accessibili per un numero elevato di posizioni, le informazioni relative alla condizione di fragilità dei richiedenti i sussidi.

Nello stabilire l’entità della sanzione (40 mila euro) l’Autorità, pur considerando la necessità di fronteggiare con urgenza il disagio della pandemia, nonché gli sforzi fatti nel corso del tempo per adottare le necessarie misure per rendere la piattaforma conforme ai richiamati principi, ha tenuto conto del fatto che la violazione ha interessato un numero elevato di cittadini in stato di bisogno (circa 18.000) e protraendosi per circa due mesi.