Indice
>>>Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 196 del 26 maggio 2022<<<
1. I fatti
Il Garante per la protezione dei dati personali aveva ricevuto un reclamo da parte di un soggetto che lamentava la indebita pubblicazione dei propri dati personali sul sito web di un Ente svolgente attività di interesse pubblico.
In particolare, detto Ente aveva dato incarico ad uno studio legale di introdurre un’azione giudiziaria nei confronti del reclamante, per il recupero delle differenze retributive che quest’ultimo aveva percepito nello svolgimento della funzione di commissario straordinario dell’Ente, e quindi aveva pubblicato sul proprio sito web la suddetta delibera, la quale era tra l’altro indicizzata anche sui motori di ricerca on line.
L’oggetto della suddetta delibera conteneva, oltre al riferimento ad un incarico legale per introdurre un giudizio, l’indicazione del nome e del cognome del soggetto (cioè il reclamante) nei cui confronti l’Ente aveva dato incarico al legale di introdurre la causa.
Ritenendo che tale pubblicazione potesse configurare una violazione della normativa in materia di privacy, il Garante ha dato avvio al procedimento sanzionatorio nei confronti dell’Ente, invitando quest’ultimo a presentare le proprie memorie.
L’Ente si è difeso sostenendo di essere un soggetto istituito con legge dello Stato per svolgere funzioni amministrative nei settori agricolo e zootecnico relative all’assetto del territorio e allo sviluppo economico, ma di non essere un soggetto pubblico, bensì ormai un soggetto di diritto privato e quindi non svolgente attività di monitoraggio degli interessati su larga scale né trattamenti di categorie particolari di dati personali. In secondo luogo, l’Ente ha rilevato che, in considerazione delle finalità di interesse pubblico dal medesimo perseguite, è soggetto alla normativa in materia di vigilanza e controllo della Corte dei Conti nonché al rispetto del principio di trasparenza. In considerazione di ciò, da un lato, l’Ente era stato costretto ad introdurre il giudizio nei confronti del reclamante per recuperare quando da questi indebitamente percepito e, dall’altro lato, era stata costretta a pubblicare sul proprio sito internet la delibera con cui aveva incaricato lo studio legale di introdurre detto giudizio e ad indicare l’oggetto del giudizio (al fine di giustificare l’importo del compenso professionale stanziato a favore del legale).
Potrebbero interessare anche:
- Nuovo algoritmo anti-evasione fiscale: approvazione del garante privacy
- Garante privacy, ok alla nuova piattaforma per il contrassegno disabili
- Il Garante privacy sanziona INAIL a causa della visualizzazione da parte di terzi di pratiche di infortunio di altri utenti
2. La decisione del Garante
Preliminarmente il Garante ha rilevato che nonostante l’Ente oggetto del procedimento non sia un’autorità pubblica, né un organismo pubblico, ma un soggetto di diritto privato, la normativa in materia di protezione dei dati personali prevede lo stesso regime sia per i soggetti pubblici che per quelli privati. Ciò in quanto la differente disciplina in ordine al trattamento non riguarda la soggettività giuridica del titolare del trattamento (o del responsabile), bensì della funzione per cui viene svolto il trattamento. Ebbene, sostiene il Garante, in considerazione del perseguimento di un interesse pubblico da parte dell’Ente in questione, i relativi trattamenti di dati personali possono considerarsi leciti se necessari per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.
Il Garante ha, quindi, precisato che i soggetti pubblici o che svolgono compiti di interesse pubblico possono diffondere dati personali solo quando ciò è previsto da una norma di legge o, nei casi previsti dalla legge, di regolamento, ma il titolare del trattamento deve comunque rispettare i principi di liceità, correttezza, trasparenza e minimizzazione dei dati diffusi.
All’esito dell’istruttoria è emerso che il trattamento dati effettuato dall’Ente non era conforme alla disciplina in materia di privacy, per il fatto che la deliberazione pubblicata sul sito internet, seppure non conteneva dati appartenenti a categorie particolari, indentificava comunque il reclamante, in quanto all’interno del campo “oggetto” erano indicati il nome e il cognome di quest’ultimo. Pertanto, la delibera conteneva comunque dei dati personali del reclamante.
Il fatto che l’Ente, in quanto sottoposto al rispetto del principio di trasparenza di cui all’art. 15 del D. lgs. 33/2013, fosse costretto a pubblicare la delibera con cui era stato dato l’incarico allo studio legale, non permetteva all’Ente di indicare i dati personali del reclamante nella delibera. Infatti, secondo il Garante, anche in tale caso, l’ente avrebbe dovuto rispettare i principi di protezione dei dati personali (in particolare, quello di minimizzazione), soprattutto in considerazione del fatto che le finalità di trasparenza avrebbero potuto essere comunque raggiunte mediante l’impiego di dati anonimi o di altre modalità che permettevano di identificare l’interessato solo in caso di necessità.
In altri termini, l’Ente avrebbe potuto pubblicare la delibera di affidamento dell’incarico allo studio legale eliminando ogni riferimento al nome e al cognome del reclamante, senza che ciò avrebbe impedito di adempiere correttamente all’obbligo di trasparenza gravante sull’ente medesimo (ciò, anche in considerazione del fatto che la versione integrale della delibera di nomina sarebbe stata, comunque, agli atti dell’Ente e accessibile a qualunque soggetto che, per legge, avrebbe avuto il diritto di accedervi).
In considerazione di quanto sopra, il Garante ha ritenuto illecito il trattamento dei dati effettuato dall’Ente e poiché quest’ultimo non ha dimostrato di aver effettivamente oscurato i dati personali del reclamante, ha conseguentemente disposto la limitazione dei trattamenti in corso, vietando all’Ente ogni ulteriore diffusione dei dati personali del reclamante e ordinandole di comunicare allo stesso Garante le iniziative intraprese per attuare l’ordine di cui sopra.
Infine, il Garante ha deciso di applicare un’ordinanza ingiunzione nei confronti dell’Ente, con cui gli ha comminato una sanzione pecuniaria amministrativa che è stata quantificata – tenendo conto, da un lato, che i dati sono stati oggetto di diffusione sin dal 2019 e, dall’altro lato, che si è trattato di dati comuni riferiti ad un solo interessato – nella misura di €. 4.000.
Volume consigliato
GDPR: ISPEZIONI E SANZIONI DEL GARANTE
L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.
Stefano Comellini | 2020 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento