Provvedimenti sanzionatori da parte del Garante per la Privacy – Illecita diffusione di dati personali

“Gli enti locali devono valutare con particolare attenzione se, in base alla normativa, possono rendere pubblici i dati personali, spesso anche particolarmente riservati, contenuti in delibere e in altri documenti”.

Questo è quanto ha affermato il Garante per la protezione dei dati personali in alcuni provvedimenti sanzionatori adottati nei mesi scorsi e, precisamente, in data 02/07/2020, nei confronti di una Regione, di due Comuni e di un’Unione di Comuni.

La volontarietà da parte del Garante di legiferare in merito, è derivata sulla base di quanto statuito dal GDPR all’articolo 6, par.1, lett. c), rubricato “liceità del trattamento”, il quale dispone che “il trattamento è lecito solo se e nella misura in cui […] il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” […] “oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. Da quanto appena esposto, si intuisce la possibilità per gli enti locali di procedere alla diffusione di dati personali, nonché alla pubblicazione su internet, solo ove ciò sia previsto dal Regolamento europeo o a norma di legge e, comunque, pur sempre nel rispetto dei principi di liceità, correttezza, trasparenza e minimizzazione dei dati.

Il primo provvedimento ora attenzionato ha come destinatario una Regione che aveva pubblicato sul proprio sito istituzionale un documento concernente l’esecuzione di una sentenza civile inerente un debito maturato dall’ente. A fronte di svariate denunce da parte dei segnalanti, l’amministrazione aveva risposto giustificando la pubblicazione online sulla base di alcune disposizioni di natura contabile. Nel caso specifico, però, il Garante ha ricordato che sebbene i dati personali indicati in quei documenti potessero essere utilizzati per controlli della magistratura contabile sui debiti fuori bilancio, le norme citate non prevedevano la diffusione di quei dati. Tenuto conto dell’impegno dell’ente, messo in atto al fine di realizzare verifiche in merito a misure tecniche e organizzative adottate dal personale per il rispetto della privacy, il Garante ha deciso di comminare alla Regione una sanzione pecuniaria di 4.000 euro.

Mediante il secondo provvedimento, il Garante ha accolto il reclamo nei confronti di due enti locali, specificatamente l’Unione comunale e un comune appartenente alla medesima, rispettivamente sanzionati per 6.000 e 4.000 euro. Gli stessi avevano pubblicato sui rispettivi siti web atti amministrativi riferibili al reclamante, diffondendo altresì dati personali relativi a condanne penale e a reati.  Nella fattispecie, nei confronti dell’interessato, era stata pronunciata una sentenza penale in esito alla quale l’ente-datore di lavoro ha avviato il procedimento per il licenziamento disciplinare senza preavviso ai sensi della legge “Madia”. Tale licenziamento era stato impugnato dall’interessato avanti al Giudice del lavoro così che vi era, per l’Ente, la necessità di costituirsi per difendere il proprio operato. Tuttavia, al momento di affidare l’incarico legale per la difesa dell’Ente, erano state pubblicate nell’oggetto dell’atto di affidamento dell’incarico, poi confluito negli atti oggetto di pubblicazione, le iniziali dell’interessato e la circostanza che il licenziamento era conseguente ad un reato. Nel corso dell’istruttoria, le due Amministrazioni hanno sostenuto che la pubblicazione fosse obbligatoria ai sensi della normativa sulla trasparenza e sulla pubblicità legale degli atti e che, in ogni caso, la persona interessata fosse difficilmente identificabile, in quanto negli atti amministrativi oggetto di pubblicazione erano riportati solo il numero di matricola o le iniziali del cognome e del nome. Il Garante ha però rilevato che le normative citate non consentivano la diffusione di quei dati personali, tra cui quelli relativi a condanne penali e reati. Da non sottovalutare fu poi anche il fatto che l’interessato poteva facilmente essere identificato dai colleghi, da conoscenti e da numerosi altri soggetti in ambito locale.

Il terzo e ultimo provvedimento riguarda, invece, un Comune che aveva inviato un decreto di citazione per posta elettronica ad alcune testate locali con i dati, riferibili anche a vicende penali e a misure di sicurezza e prevenzione, di cinque persone (tra cui tre citati a comparire in qualità di testimoni).  L’Ente Locale aveva apposto come argomentazione che l’invio alle testate giornalistiche si fosse reso necessario al fine di tutelare la propria immagine ed esercitare il legittimo diritto di critica nei confronti di alcuni attacchi pubblicati sulla stampa. Anche in questo caso il Garante, come nel primo provvedimento sanzionatorio, ha rilevato che la comunicazione di tali dati non fosse giustificata dalla presunta “esecuzione di un compito connesso all’esercizio di pubblici poteri” o da un’altra base normativa, come quella sulla trasparenza. Motivo per il quale l’ente è stato assoggettato ad una sanzione di 2.000 euro.

Di Alessandra Totaro