Indice
>>>Ordinanza ingiunzione n. 212 del 9 giugno 2022<<<
1. I fatti
Il Garante per la protezione dei dati personali riceveva un reclamo con cui veniva contestato che il Comune di Brindisi aveva pubblicato sul proprio sito web istituzionale i dati personali del reclamante e del suo figlio minore.
In particolare, il reclamante segnalava di aver introdotto, in qualità di esercente la potestà genitoriale del figlio minore, una causa giudiziaria nei confronti del Comune, a causa delle lesioni subite dal figlio a seguito di una caduta all’interno della scuola, e di aver appurato che all’interno del sito web del Comune dove erano contenute le pubblicazioni dell’albo pretorio era rinvenibile una delibera con cui il Comune aveva incaricato un legale esterno di assisterlo in giudizio nella suddetta causa. Il reclamante si era, quindi, prima rivolto al Comune, chiedendo la cancellazione di tutti i dati personali suoi e del figlio e di pubblicare la delibera epurata da ogni dato da cui potesse desumersi la propria identità o quella del figlio e la patologia di quest’ultimo.
A seguito della richiesta rivolta al Comune, come verificato dallo stesso Garante, l’ente pubblico procedeva alla eliminazione del contenuto della delibera contestata dalla sezione “albo pretorio” del sito web istituzionale del Comune. Tuttavia, in detta area, era ancora possibile visualizzare e scaricare l’oggetto della delibera di cui sopra, il quale riportava ancora, oltre al riferimento alla introduzione di una causa e all’incarico dato dal Comune al legale sterno di costituirsi in giudizio, il nome e il cognome del minore e del padre (reclamante).
In considerazione di ciò, il Garante avviava il procedimento e invitava il Comune di Brindisi a depositare le proprie difese sulla questione.
Il Comune, dopo aver dato atto della eliminazione di dati personali del reclamante e del figlio contenuti nell’oggetto della delibera pubblicata nell’Albo pretorio, si difendeva sostenendo, in primo luogo, che, dopo aver ricevuto la richiesta del reclamante, aveva immediatamente accolto la sua richiesta ed aveva eliminato il contenuto della delibera dall’Albo pretorio, lasciando soltanto il suo oggetto. Inoltre, rilevava l’ente che il reclamante, per i due anni successivi, non aveva lamentato alcunchè e aveva direttamente proposto il reclamo al Garante, senza neanche chiedere al Comune la rimozione dei dati dall’oggetto della delibera.
In secondo luogo, il Comune evidenziava che gli unici dati evincibili dall’oggetto della delibera erano il nome e il cognome del reclamante e del figlio minore, che seppure essendo a pieno titolo dei dati personali, erano stati pubblicati per errore e comunque detta pubblicazione era giustificata dall’esistenza di un dovere di trasparenza a carico dell’amministrazione. Infatti, secondo il Comune, la normativa del 2013 in materia di trasparenza impone di pubblicare l’elenco delle delibere comunali nell’Albo pretorio ed inoltre anche le linee guida dell’AGID del 2016 impediscono la modifica dell’oggetto degli atti pubblicati, pena la annullabilità della loro registrazione.
Infine, secondo il Comune, sempre gli obblighi di trasparenza e di controllo sociale, impongono al Comune la pubblicazione dei nominativi di coloro i quali hanno dei contenziosi con il Comune stesso, per permettere alla cittadinanza di sapere se il Comune si difende in giudizio dinanzi alle richieste dei cittadini e quali sono le persone che hanno contenziosi con l’Ente per evitare che gli stessi ne diventino amministratori (sussistendo, infatti, una causa di incompatibilità).
Potrebbero interessarti anche:
- Invio di email a destinatario sbagliato: conseguenze per la privacy
- Il Garante sottolinea il confine tra trasparenza e violazione della privacy
- Il Garante privacy sanziona INAIL a causa della visualizzazione da parte di terzi di pratiche di infortunio di altri utenti
2. La valutazione del Garante
Il Garante ha, in primo luogo, ricordato che i soggetti pubblici possono pubblicare dati personali (cioè informazioni che permettono di identificare una persona direttamente o indirettamente) solo se rispettano i vari principi in materia di privacy, fra i quali quello di minimizzazione (secondo cui le informazioni devono essere adeguate, pertinenti e limitate a quanto necessario rispetto alle finalità per cui le stesse sono trattate).
Se è vero che la normativa di settore obbliga i Comune a pubblicare, per 15 giorni, sull’albo pretorio tutte le delibere del Comune e che le stesse debbono poi essere conservate nell’archivio, è altresì vero che il Garante, già dal 2014, con un provvedimento generale, ha fornito le indicazioni alle amministrazioni pubbliche sulle cautele da adottare per diffondere on line i dati personali.
In particolare, nel suddetto provvedimento generale, è previsto che, una volta decorso il termine di 15 giorni di pubblicazione sull’Albo pretorio previsto dalla normativa di settore, gli enti locali non possono continuare a diffondere i dati personali contenuti nelle delibere pubblicate su detto Albo pretorio. Infatti, se il Comune continuasse ancora a pubblicare detti dati, si configurerebbe una diffusione dei dati senza alcuna idonea base giuridica legittimante.
Nel caso in cui gli enti locali vogliano, però, continuare a mantenere nell’archivio on line dell’Albo pretorio o comunque nel proprio sito web istituzionale gli atti e i documenti pubblicati, devono oscurare da detti atti e documenti tutti i dati e le informazioni idonei a identificare, anche indirettamente, i soggetti interessati.
In considerazione di quanto sopra, il Garante ha ritenuto che il fatto che all’interno dell’oggetto della delibera in questione fossero contenuti il nome e il cognome del reclamante e del figlio minore costituisse una violazione della normativa in materia di privacy e in particolare del principio di minimizzazione dei dati.
Il Garante ha ritenuto di non poter accogliere le difese del Comune, in quanto, seppure la normativa in materia di trasparenza impone al Comune di pubblicare le delibere con cui vengono affidati a soggetti esterni incarichi per prestazioni di servizi, detta normativa deve comunque essere interpretata e applicata nel rispetto delle disposizioni in materia di privacy e in particolare del principio di minimizzazione: quindi i dati pubblicati devono essere limitati a quanto serve per raggiungere la finalità per cui sono trattati.
Nel caso di specie, l’esigenza di trasparenza – che comunque non può prevalere su quella della privacy degli interessati – non permetteva comunque al Comune di pubblicare i dati in questione, in quanto conoscere l’identità del reclamante e del figlio minore appare sproporzionata rispetto alla finalità di trasparenza in ordine all’incarico legale affidato dal Comune all’avvocato esterno. In altri termini, secondo il Garante, la medesima finalità avrebbe potuto essere raggiunta anche senza pubblicare i dati identificativi del reclamante e del figlio, mentre sarebbe stato sufficiente per il Comune pubblicare il solo numero di ruolo generale della causa.
Per quanto riguarda le richiamate linee guida AGID, il Garante ritiene che le stesse non obblighino il Comune ad inserire i dati personali all’interno dell’oggetto delle deliberazioni e tanto meno consente di diffondere i dati personali. Quindi il Comune avrebbe dovuto, comunque, fin dal momento della prima pubblicazione della delibera, eliminare dall’oggetto i dati personali del reclamante e del figlio.
Infine, il Garante ritiene che le esigenze di monitoraggio, da parte della collettività, che i suoi amministratori non abbiano cause nei confronti del Comune (cosa che determinerebbe la loro incompatibilità con la carica), non giustifica la conoscenza generalizzata di chiunque abbia o possa avere un contenzioso nei confronti del Comune.
3. La decisione del Garante
In base alle valutazioni di cui sopra, il Garante per la protezione dei dati personali ha quindi ritenuto che la pubblicazione dei dati personali del reclamante e del figlio minore sostanziasse una violazione della privacy, tuttavia, per le modalità con cui la stessa è avvenuta e per il comportamento tenuto dal Comune sia al momento della richiesta di cancellazione del reclamante sia subito dopo l’avvio del procedimento, nonché per le ridotte dimensioni demografiche del Comune di Brindisi, il Garante ha ritenuto di non applicare una sanzione pecuniaria amministrativa, bensì soltanto di ammonire il Comune.
Volume consigliato:
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | 2022 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento