La pubblicazione on-line da parte di un Comune di una determina contenente le iniziali di una persona viola i principi in materia di privacy se attraverso dette iniziali un soggetto terzo possa potenzialmente identificare la persona interessata.

Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 118 del 2 luglio 2020

 

Il fatto

Nel provvedimento oggetto di commento, il Garante per la protezione dei dati personali ha emesso un’ordinanza ingiunzione nei confronti della Comune di Greve in Chianti a seguito della pubblicazione sul sito Web dell’albo pretorio, di alcuni dati personali di una dipendente licenziata che aveva fatto ricorso al TAR avverso il provvedimento irrogato dall’Ente pubblico.

In particolare, il Comune di Greve in Chinati aveva assunto qualche anno prima la dipendente in questione, a seguito di un concorso di mobilità esterna relativo alla copertura di un solo specifico posto all’interno del Comune, e l’aveva poi dirottata in un ufficio dell’Unione di Comuni di cui fa parte l’Ente pubblico in questione. Dopo alcuni anni, però, era emerso che la dipendente, durante lo svolgimento del bando con cui era stata assunta, era sottoposta ad un’indagine penale e precedentemente aveva anche riportato una condanna penale non definitiva per un reato commesso. In ragione di ciò, il Comune aveva irrogato il provvedimento di licenziamento della dipendente, per violazione di un requisito necessario previsto dal bando pubblico con cui era stata assunta, cioè che il candidato non avesse riportato sentenze penali di condanna, né fosse sottoposto ad indagini penali al momento della domanda.

L’ex dipendente aveva, quindi, provveduto ad impugnare il licenziamento presso il competente TAR e conseguentemente il Comune aveva affidato la difesa tecnica nel suddetto giudizio promosso dalla ex dipendente ad un legale di fiducia, pubblicando sul sito web dell’albo pretorio comunale la determina del dirigente con cui era stato conferito l’incarico al legale e all’interno della quale erano riportate le iniziali della ricorrente (cioè l’ex dipendente) e il fatto che la stessa avesse proposto ricorso al TAR contro il provvedimento di revoca dell’assunzione a suo tempo disposta a seguito della “vittoria” del bando che presentava come requisito necessario che il candidato non avesse procedimenti penali in corso.

In considerazione di ciò, la ex dipendente ha proposto ricorso al Garante per la protezione dei dati personali, sostenendo che la pubblicazione di cui sopra da parte del Comune sostanziava un trattamento illecito di dati personali e anche di dati particolari relativi alla situazione giudiziaria nella misura in cui dalla determina si poteva intuire che la ricorrente non avesse rispettato il requisito “di non aver procedimenti penali in corso” previsto dal bando.

Il Garante ha quindi avviato l’istruttoria nei confronti del Comune e, ritenendo che quest’ultimo avesse effettuato un trattamento di dati personali non rispettoso della normativa in materia di privacy, ha notificato allo stesso l’avvio del procedimento sanzionatorio.

Il Comune di Greve in Chianti si è difeso nel procedimento dinanzi all’Autorità sostenendo – per quanto qui di interesse – che:

  • in primo luogo, la sentenza penale per la quale era stato introdotto il procedimento disciplinare sfociato nel licenziamento non era coperta da riservatezza, in quanto il tribunale ne aveva autorizzato la pubblicazione su due quotidiani (e quindi era noto anche il nominativo della ricorrente);
  • la stessa vicenda penale che era stata poi decisa dalla sentenza penale era stata diffusa da diverse testate giornalistiche locali che, secondo il Comune, ne avevano appreso i contorni poiché presumibilmente comunicati dalla stessa interessata (e pertanto così facendo la ricorrente aveva rinunciato alla riservatezza dei propri dati);
  • l’oggetto della determina pubblicata sul sito internet era completamente anonimizzato e all’interno della determina erano rinvenibili soltanto una volta le sole iniziali dell’interessata;
  • la determina era stata pubblicata soltanto per adempiere agli obblighi di trasparenza e di controllo della spesa pubblica gravanti sull’ente, rendendo visibile l’incarico di assistenza e difesa giudiziale affidato al legale esterno.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

La decisione del Garante

Il Garante per la protezione dei dati personali ha rigettato tutte le argomentazioni difensive svolte dal Comune di Greve in Chianti e conseguentemente, avendo ritenuto che il trattamento in questione violasse i principi di base del trattamento di dati personali nonché il principio di minimizzazione, ha condannato l’ente pubblico al pagamento di una sanzione pecuniaria di euro 4.000 e ha disposto la pubblicazione dell’ordinanza sul sito Internet istituzionale del Garante per la protezione dei dati personali.

Preliminarmente, l’autorità ha ribadito quali principi vigenti nel nostro ordinamento in materia di protezione dei dati personali, siano stati violati dal Comune di Greve in Chianti con la condotta incriminata. In particolare, il Regolamento europeo (GDPR) prevede che gli enti pubblici, fra i quali rientrano anche i Comuni, possano trattare in maniera lecita dati personali soltanto se tale trattamento è necessario per adempiere a un obbligo legale cui è soggetto l’Ente oppure per eseguire compiti di interesse pubblico o connessi all’esercizio di pubblici poteri di cui è investito l’Ente.

Inoltre, anche nei casi in cui la pubblicazione dei dati sia ammessa, l’ente pubblico deve comunque rispettare tutti i principi in materia di protezione dei dati personali come quello di liceità, correttezza e trasparenza del trattamento nonché quello di minimizzazione dei dati, secondo cui i dati che vengono pubblicati devono essere comunque leciti, corretti e trasparenti nonché devono essere pertinenti e limitati al minimo necessario, rispetto alle finalità che si vogliono raggiungere con la loro pubblicazione.

Dopodiché il garante ha analizzato le singole argomentazioni difensive del Comune, respingendole tutte.

In primo luogo, ha evidenziato come, ai fini del rispetto dei suddetti principi, non rileva il fatto che l’interessato sia identificato, ma è sufficiente che lo stesso sia identificabile (cioè che un soggetto terzo sia potenzialmente in grado di creare una correlazione, una deduzione, fra i dati pubblicati e il soggetto, in modo da poterlo individuare). Nel caso di specie, l’indicazione delle iniziali del nome e del cognome della ricorrente avrebbero permesso l’identificazione di quest’ultima quanto meno ai suoi familiari o conoscenti oppure agli altri colleghi dipendenti comunali. Infatti, in considerazione della ridotta popolazione del comune e del limitato numero di dipendenti nell’organico dell’amministrazione pubblica nonché che la determina in questione richiamava la precedente determina dell’assunzione che riguardava quello specifico posto di lavoro occupato dalla ricorrente, i soggetti terzi di cui sopra avrebbero potuto ragionevolmente identificare l’interessata.

A tal proposito, il Garante ha ricordato di aver già in precedenza evidenziato che la prassi di molte amministrazione pubbliche di pubblicare i propri atti con l’indicazione delle iniziali di nome e cognome dell’interessato non è conforme ai principi in materia di privacy, perché non è sufficiente a rendere effettivamente anonimi gli interessati, soprattutto quanto nel documento pubblicato sono presenti altri elementi che possono permettere ai terzi – tramite correlazioni e deduzioni – di individuare il soggetto. Invece, evidenzia il Garante la effettiva anonimizzazione si può raggiungere con l’oscuramento totale di nome e cognome dell’interessato.

In secondo luogo, il Garante ha ritenuto che il fatto che la ricorrente avesse ella stessa diffuso ai giornali i propri dati personali relativamente alla vicenda penale in oggetto (circostanza che comunque non era stata provata dal Comune) e il fatto che la sentenza penale contenente i dati personali dell’interessata disponesse la pubblicazione della stessa sui giornali non hanno rilievo al fine di rendere legittimo il trattamento posto in essere dal comune con la pubblicazione on line dei dati personali della ricorrente. Infatti, i soggetti pubblici possono diffondere i dati personali soltanto se una specifica norma di legge li autorizza, altrimenti il trattamento si configura illecito anche se gli stessi dati sono stati divulgati dall’interessato per differenti finalità.

Infine, il Garante ha precisato che, anche nel caso in cui una pubblica amministrazione abbia un obbligo normativo di pubblicare dei dati sul proprio sito web, ella deve sempre selezionare i dati da pubblicare e verificare se sussistono i presupposti per oscurare alcuni o parte di essi (per impedire l’individuazione dell’interessato) nel caso in cui le finalità del trattamento possono essere raggiunte anche senza pubblicare i dati personali dell’interessato (ciò in applicazione del principio di minimizzazione). Ebbene, nel caso di specie, il Garante ha confermato che la pubblicazione della versione integrale di documenti contabili o a carattere finanziario per finalità di trasparenza e controllo della spesa pubblica non è giustificata.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento