Reclamo al Garante per la protezione dei dati personali – comunicazione da parte del Comune dello spostamento del turno di effettuazione di una prova preselettiva mediante l’invio di una Pec cumulativa a tutti i partecipanti al concorso che avevano formulato analoga richiesta – diffusione degli indirizzi Pec degli altri partecipanti al concorso.
Commento a Garante per la protezione dei dati personali: provvedimento n. 419 del 15-12-2022
1. Il fatto
Due partecipanti ad un concorso pubblico indetto da un Comune, avevano presentato reclamo al Garante per la protezione dei dati personali, lamentando che lo stesso Comune aveva risposto ad una loro richiesta di spostamento del turno di effettuazione di una prova preselettiva, mediante l’invio di una Pec cumulativa a tutti i partecipanti al concorso che avevano formulato analoga richiesta e che, in tal modo, l’Ente avesse rivelato a ciascun candidato tutti gli indirizzi Pec degli altri partecipanti al concorso.
Lamentavano, altresì, l’assenza dei dati di contatto del Responsabile della protezione dei dati sul sito internet del Comune.
Esaminato il reclamo, il Garante formulava al Comune una richiesta di informazioni, alla quale l’Ente rispondeva sostenendo che il fatto lamentato dai due partecipanti al concorso era frutto di un mero errore materiale, certamente non dovuto ad una mancanza di conoscenza in materia di trattamento dei dati personali, su cui la persona che aveva fornito risposta via Pec aveva seguito corsi di formazione. Ma piuttosto, secondo il Comune, si trattava di un errore determinato da uno stato di stanchezza della persona che aveva materialmente risposto alla PEC, a causa del carico di lavoro a cui era stata sottoposta, essendo ella contemporaneamente responsabile della procedura concorsuale e membro della commissione. Tale errore materiale, secondo il Comune, consisteva solo nell’aver inserito i singoli destinatari in copia conoscenza, anziché in copia conoscenza nascosta, in quanto tutti i soggetti indicati nella Pec di riscontro avevano a loro volta avanzato la stessa istanza formulata dalle due ricorrenti, e pertanto tutti avrebbero dovuto ricevere la medesima risposta.
Sul punto dell’assenza sul sito internet dei contatti del Responsabile del trattamento dei dati personali, il Comune aveva specificato di aver pubblicato copia del file .pdf scaricabile del decreto sindacale di nomina del Responsabile del trattamento dei dati, e di aver inserito i dati di contatto dello stesso nella sezione privacy del sito web istituzionale ed in ogni informativa utilizzata dall’Ente compresa quella della procedura concorsuale.
Ricevute le informazioni richieste, il Garante avviava il procedimento per l’adozione dei provvedimenti sanzionatori nei confronti del Comune, invitando l’Ente a inviare le proprie memorie difensive.
Il Comune, in linea a quanto già riferito nelle note inviate al Garante, si difendeva sostenendo che il fatto contestato era stato causato da un comportamento colposo da parte dell’impiegata, e non certo dalla volontà di arrecare danno ai partecipanti del concorso o da una mancata conoscenza della materia. Il Comune, anche in questa occasione, ribadiva che l’errata modalità di invio della Pec con l’inserimento degli indirizzi dei candidati in copia conoscenza, anziché in copia conoscenza nascosta, era addebitabile alla stanchezza dell’impiegata, che a causa dell’eccessivo carico di lavoro in periodo pandemico e della mancanza di organico era stata sottoposta ad un eccessivo stress.
Inoltre, il Comune poneva l’accento sulle conseguenze lievi che tale errore ha avuto, avendo coinvolto solo un numero esiguo di interessati e non essendo stati condivisi categorie di dati particolari o giudiziari.
Sempre sul tema dell’assenza dei contatti del Responsabile del trattamento, il Comune ribadiva che gli stessi erano presenti nella sezione privacy del sito web istituzionale, accessibile dalla home page, e, dunque, conoscibili dalle ricorrenti, che ben avrebbero potuto utilizzarli.
2. Le valutazioni del Garante
Preliminarmente, il Garante, con riguardo alle modalità di gestione di informazioni dei privati cittadini da parte di un ente pubblico, ha ricordato che i soggetti pubblici possono lecitamente compiere trattamenti di dati personali soltanto quando è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio dipubblici poteri di cui è investito il titolare del trattamento.
Inoltre, detti soggetti possono comunicare dati personali solo se tale operazione è prevista da norma di legge o Regolamento, a condizione che siano comunque rispettati i principi dettati in materia di trattamento e diffusione dei dati personali, tra cui il principio di liceità, correttezza e trasparenza, e di minimizzazione, il quale impone che il trattamento sia limitato ai soli dati ritenuti indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono stati raccolti e trattati.
Dall’istruttoria svolta, il Garante ha quindi accertato che, ricevuta per mezzo pec da parte di n. 9 partecipanti al concorso la medesima richiesta formulata dalle due reclamanti, la responsabile della procedura concorsuale indetta dal Comune ha fornito a tutti i n. 9 suddetti richiedenti risposta via Pec, inserendo in chiaro gli indirizzi di posta elettronica di tutti e 9 i richiedenti, rivelando così alle due reclamanti gli indirizzi di posta elettronica degli altri n. 7 partecipanti al concorso, e a quest’ultimi gli indirizzi delle due reclamanti.
Secondo il Garante l’invio del messaggio di posta elettronica con l’inserimento in chiaro degli indirizzi Pec di tutti i partecipanti al concorso, che avevano formulato al Comune un’analoga richiesta, ha comportato una comunicazione dei dati personali non in maniera non conforme ai principi di liceità, correttezza e trasparenza nonché in assenza di una idonea base giuridica.
In riferimento, invece, alla contestazione relativa all’assenza dei dati di contatto del Responsabile del trattamento dei dati, il Garante, escludendo che tra i dati oggetto di pubblicazione vi deve essere necessariamente il nominativo del Responsabile del trattamento, si è espresso ritenendo esaustiva la prova data dal Comune sulla disponibilità dei dati di contatto del Responsabile del trattamento all’interno del sito web istituzionale, decidendo per l’archiviazione della contestazione.
3. La decisione del Garante
In considerazione di quanto sopra, il Garante ha ritenuto che la condotta posta in essere dal Comune sostanzi una violazione della normativa in materia di protezione dei dati personali per aver comunicatoa terzi dati personali delle reclamanti e degli altri partecipanti alla procedura concorsuale, e conseguentemente ha deciso di comminare una sanzione amministrativa pecuniaria a carico dell’Ente.
Per quanto concerne la quantificazione di detta sanzione pecuniaria, il Garante ha tenuto in considerazione, da un lato, che la condotta è stata causata da un mero errore umano – commesso dalla dipendente del Comune, correttamente formata in materia privacy, che si è occupata dell’invio della Pec – dall’altro lato, che il trattamento non ha riguardato né dati anagrafici dei partecipanti al concorso né ha rivelato le ragioni per le quali si chiedeva il rinvio della prova pre selettiva.
Per quanto sopra, considerando la condotta contestata come violazione minore, il Garante ha ritenuto sufficiente ammonire il titolare del trattamento, non ricorrendo i presupposti per l’adozione di ulteriori misure correttive o sanzionatorie.
>>>Per approfondire<<<
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete.
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento