Indice
>>>Leggi il Provvedimento n. 299 del 15 settembre 2022<<<
1. I fatti
Il Garante per la protezione dei dati personali aveva ricevuto un reclamo con cui si comunicava che un Comune aveva pubblicato sull’albo pretorio on line una determinazione con cui detto ente prendeva atto del licenziamento di un dipendente a seguito di un procedimento disciplinare nei suoi confronti, indicando il suo numero di matricola all’interno della pubblicazione, nonché aveva pubblicato un comunicato stampa relativo alla vicenda del licenziamento del reclamante.
Il Garante formulava al Comune la richiesta di chiarimenti in merito al reclamo e non soddisfatto delle informazioni rese dall’Ente pubblico, avviava il procedimento, invitando il Comune a inviare scritti difensivi.
Il Comune, in particolare, sosteneva che i dati del reclamante erano stati trattati, mediante la pubblicazione sull’albo pretorio del provvedimento con cui l’Ente pubblico prendeva atto del licenziamento del reclamante, in virtù della base giuridica data dall’art. 124 del TUEL, cioè per portare tali informazioni a conoscenza della generalità dei cittadini.
Inoltre, il Comune evidenziava di aver utilizzato un sistema di cifratura, nel pubblicare i dati del dipendente licenziato, che rendeva anonimi detti dati e non identificabile l’interessato. Infatti, l’Ente aveva identificato il reclamante soltanto attraverso il numero di matricola evitando di inserire altri elementi che potessero consentire di risalire allo stesso anche indirettamente. Il Comune aveva ritenuto che tale forma di cifratura fosse sufficiente per pseudonominizzare il dato dell’interessato, in quanto si trattava di un codice alfanumerico che, seppure non generato appositamente per la pubblicazione, comunque era stato creato in modo causale e soltanto i dipendenti dell’ufficio del personale del Comune potevano associare detto codice al nominativo e ai dati del reclamante. Secondo il Comune, quindi, nessun’altra persona interna all’amministrazione o esterna avrebbe potuto correlare il numero di matricola al nominativo del reclamante e quindi non avrebbe potuto risalire ai dati personali del reclamante.
Inoltre, il Comune evidenziava che la pubblicazione del provvedimento sull’albo pretorio era stata limitata temporalmente al periodo previsto dalla legge (e successivamente cancellata) e che durante il periodo di pubblicazione il dato del reclamante non era indicizzabile e quindi non poteva essere rintracciato mediante i motori di ricerca generalisti.
Infine, il Comune evidenziava che il comunicato stampa, relativo alla notizia del licenziamento, era stato diffuso in maniera totalmente anonima e per la sola finalità di prevenire la diffusione di informazioni distorte e/o incomplete con riferimento alla vicenda del licenziamento del dipendente. Pertanto, detto comunicato non comportava alcun trattamento di dati personali.
Potrebbero interessarti anche
- Il Garante privacy sanziona Uber per il non corretto rilascio dell’informativa privacy e la mancata acquisizione del consenso degli interessati
- Invio di mail con informazioni su iniziativa legale altrui: interviene il Garante
- Pubblicazione piano ferie con indicazione 104: problemi di privacy
2. Le valutazioni del garante
Preliminarmente, il Garante ha ribadito che la disciplina in materia di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri. Il trattamento è, inoltre, lecito quando sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
Pertanto, l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento.
Anche qualora vi sia una base giuridica che legittima il trattamento, il titolare è a rispettare i principi in materia di protezione dei dati, fra i quali quello di liceità, correttezza e trasparenza nonché di minimizzazione dei dati, in base ai quali i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato e devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Passando al merito della vicenda, il Garante ha accertato che il Comune ha pubblicato sul sito web istituzionale l’informazione relativa al licenziamento del reclamante, identificato mediante il suo numero di matricola.
Secondo il Garante, l’interessato era pertanto identificabile proprio attraverso il numero di matricola, anche se non era stato indicato il nome e il cognome di quest’ultimo e le informazioni contenute nel provvedimento erano da inquadrarsi come dati personali.
Infatti, il dato personale è qualsiasi informazione che riguarda una persona fisica che sia identificata o identificabile, cioè che può essere identificata direttamente o indirettamente anche attraverso un numero identificativo.
Ebbene, il numero di matricola – secondo il Garante – è univocamente associato al reclamante, pertanto deve considerarsi come idoneo a consentire di risalire all’identità dell’interessato sia dal personale autorizzato dal Comune, sia da eventuali terzi con cui l’interessato possa aver – nel tempo – condiviso detto numero (come, ad esempio, i colleghi di lavoro oppure i familiari).
In altri termini, la tecnica di pseudonimizzazione adottata dal Comune per oscurare il dato dell’interessato, consistente nell’utilizzare il suo numero di matricola, è una misura che permette comunque ai terzi di risalire all’identità dell’interessato anche se in modo indiretto utilizzato informazioni aggiuntive (in possesso dei terzi).
D’altra parte, prosegue il Garante, lo stesso Comune ha ammesso che il numero di matricola usato nel provvedimento pubblicato sull’albo pretorio non era stato appositamente generato solo per indicare il reclamante nel suddetto provvedimento, bensì era l’identificativo che quest’ultimo aveva sempre utilizzato nell’ambito del proprio rapporto di lavoro con l’Ente.
In conclusione, il Garante ha quindi precisato che il Comune non avrebbe dovuto riportare alcun dato dell’interessato nel provvedimento pubblicato sull’albo pretorio (pertanto neanche il numero di matricola), ma avrebbe dovuto ricorrere alla tecnica degli “omissis” oppure ad altre misure di anonimizzazione dei dati.
3. La decisione del Garante
In considerazione di quanto sopra, il Garante ha ritenuto che la pubblicazione da parte del Comune, all’interno dell’albo pretorio sul sito web istituzionale, del provvedimento contenente l’informazione sul licenziamento disciplinare di quest’ultimo senza oscurare il numero di matricola dell’interessato sostanzia una violazione della normativa in materia di protezione dei dati personali e pertanto ha comminato nei confronti dell’Ente pubblico una sanzione amministrativa pecuniaria quantificata in €.3.000.
Volume consigliato
Il nuovo codice della privacy
Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina. Agile e completa, quest’opera fornisce a tutti gli operatori, pubblici e privati, gli strumenti per comprendere in modo chiaro e semplice le novitàintrodotte dal decreto attuativo, attraverso una lettura integrata con i relativi riferimenti alle disposizioni del GDPR, per consentire al Professionista di adempiere ai vari obblighi relativi alla protezione dei dati personali.Con un linguaggio semplice e chiaro, l’autore analizza i singoli articoli del decreto attuativo corredati da un primo commento esplicativo in combinato con l’esame delle disposizioni del codice privacy ancora in vigore, attraverso i necessari richiami alle disposizioni del GDPR che la nuova disciplina va ad attuare.PIER PAOLO MUIÀ Dopo aver conseguito la maturità classica, si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di diritto di internet, pri- vacy e IP, nonché responsabilità medica. È autore di diverse monografie sulle materie di sua competenza nonché di numerose pubblicazioni sulle principali riviste giuridiche nazionali ed è referente di dette materie per il portale telematico giuridico Diritto.it. È stato relatore in diversi convegni.
Pier Paolo Muià | 2019 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento