Indice
>>>Ordinanza ingiunzione n. 198 del 26 maggio 2022<<<
1. I fatti
Il Garante per la protezione dei dati personali riceveva un reclamo con il quale un ex dipendente di un Comune riferiva di aver potuto verificare che sul sito web istituzionale dell’ente pubblico era presente il suo curriculum vitae, contenente una serie di dati personali quali l’indirizzo di residenza, il nome, il cognome e il numero di telefono mobile, nonostante il rapporto di lavoro fosse ormai cessato da diversi anni.
Inoltre, il reclamante lamentava di aver presentato al Comune una istanza di opposizione alla diffusione dei propri dati personali e di non aver ricevuto risposta dal Comune.
Nel corso dell’istruttoria, il Garante accertava la effettiva presenza del curriculum nel sito web riconducibile al Comune nonché la sua indicizzazione nei motori di ricerca.
In considerazione di ciò, l’Autorità invitava il Comune ad aderire alle richieste di rimozione dei dati formulate dall’interessato.
A fronte dell’invito ricevuto dal Garante, il Comune inviava una prima lettera alla software house esterna che si occupava della gestione del sito web, intimandole di rimuovere i dati personali del reclamante presenti all’interno del curriculum, nonché una seconda lettera al Dirigente comunale con la richiesta di spiegare le motivazioni della pubblicazione del curriculum e del ritardo nella risposta all’interessato nonché di verificare la possibilità di rimuovere i dati personali. Successivamente, il Dirigente comunale rispondeva che la pubblicazione era avvenuta in quanto richiesta dalla normativa in materia di trasparenza della PA (per portare a conoscenza l’affidamento dell’incarico di lavoro a favore del reclamante) e che il Comune aveva provveduto a rimuovere dal sito ogni riferimento a detto incarico, in quanto erano decorsi i termini previsti dalla suddetta normativa sulla trasparenza. Infine, il Dirigente spiegava che la rimozione dei dati non poteva avvenire in maniera autonoma da parte del Comune, in quanto questi era supportato nella gestione delle pubblicazioni sul sito web da una software house esterna.
Il Garante per la protezione dei dati personali, ritenendo che la condotta di cui sopra potesse configurare una violazione della normativa in materia di privacy, avviava il procedimento sanzionatorio nei confronti del Comune e lo invitava a presentare le proprie memorie difensive.
Il Comune si difendeva sostenendo che non vi era stata alcuna condotta colposa da parte dell’Ente pubblico, in quanto l’intervento di pubblicazione e rimozione dei dati sul sito web non era nella disponibilità del Comune, bensì di una software house esterna che al momento non collaborava più con il Comune. Pertanto, proprio detta software house avrebbe dovuto automaticamente rimuovere il curriculum alla scadenza dei termini previsti dalla normativa sulla trasparenza della PA.
Potrebbero interessarti anche:
- Dati personali sull’incarico ad un avvocato: il Garante interviene
- Il Garante sottolinea il confine tra trasparenza e violazione della privacy
- Il Garante privacy ha negato l’accesso civico ai dati personali di soggetti liquidati dal Comune per sinistri
2. La valutazione del Garante
Preliminarmente, il Garante ha ricordato che i soggetti pubblici possono trattare i dati personali degli interessati, nel contesto lavorativo, qualora il trattamento sia necessario per gestire il rapporto di lavoro con l’interessato e per adempiere a obblighi o compiti previsti dalla legge, nonché qualora il trattamento sia necessario per eseguire compiti di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
In secondo luogo, il Garante ha ricordato che i soggetti pubblici possono diffondere dati personali, all’interno della quale rientra certamente la pubblicazione dei medesimi all’interno di un sito web, soltanto quando ciò sia previsto da una norma di legge o, nei casi previsti dalla legge, da una norma di regolamento.
Anche in tali casi, in cui è ammesso per il soggetto pubblico diffondere i dati personali degli interessati, il trattamento deve essere effettuato nel rispetto dei principi generali in materia di privacy: cioè quelli di liceità, correttezza, trasparenza e minimizzazione dei dati.
Nel caso di specie, è emerso dall’istruttoria che il Comune aveva pubblicato il curriculum vitae del reclamante oltre il termine di tre anni dalla fine del rapporto di lavoro con l’Ente pubblico, stabilito dalla normativa in materia di trasparenza della PA.
Ciò significa, secondo il Garante, che – successivamente all’arco temporale indicato dalla suddetta normativa – vi è stata una diffusione di dati personali in assenza di una idonea base giuridica.
Inoltre, dall’istruttoria è altresì emerso che il curriculum vitae pubblicato conteneva dei dati non necessari per adempiere all’obbligo di trasparenza imposto all’Ente pubblico dalla citata normativa: cioè l’indirizzo di residenza, il numero di cellulare e gli indirizzi di posta elettronica privati.
A tale ultimo proposto, il Garante ha evidenziato come l’obbligo di pubblicazione del curriculum vitae del soggetto cui è stato affidato un incarico da parte di un Ente pubblico, non può comunque comportare la diffusione di dati personali che non siano pertinenti rispetto alle finalità di trasparenza che ha come obiettivo la predetta normativa.
In considerazione di ciò, l’Ente pubblico, prima di pubblicare sul sito web il curriculum vitae, deve selezionare i dati contenuti al suo interno e non pubblicare quelli che eccedono rispetto alla finalità di trasparenza, come ad esempio il codice fiscale ecc.
Nel caso di specie, invece, come detto, il curriculum conteneva diversi dati eccedenti le finalità di trasparenza e quindi il Comune non ha compiuto la selezione e eliminazione dei dati non pertinenti.
Secondo il Garante, inoltre, non è possibile accogliere la tesi difensiva del Comune secondo cui sarebbe stato compito della software house esterna che gestiva la pagina web rimuovere detti dati non pertinenti. Ciò in quanto il Comune è il titolare del trattamento e pertanto spetta a quest’ultimo decidere le finalità e le modalità dei trattamenti che pone in essere, con la necessaria conseguenza che egli ne assume la responsabilità (c.d. principio di accountability), anche nel caso in cui le operazioni siano poste in essere da un altro soggetto per suo conto (il c.d. responsabile del trattamento) e in base alle istruzioni impartite dal titolare medesimo.
In considerazione di ciò, il Comune avrebbe dovuto impartire alla software house esterna le istruzioni circa la cancellazione dei dati personali oggetto del trattamento (cioè della pubblicazione on line del curriculum) nonché vigilare affinchè la software house eseguisse correttamente dette istruzioni.
Nel caso di specie, invece, il Comune non ha dimostrato di aver fornito dette istruzioni alla software house esterna, né durante il rapporto contrattuale con la medesima, né alla cessazione di detto rapporto.
Pertanto, la illecita diffusione dei dati personali del reclamante è imputabile al Comune.
3. La decisione del Garante
In base alle valutazioni di cui sopra, il Garante per la protezione dei dati personali ha quindi ritenuto che il trattamento dei dati è stato effettuato in violazione dei principi di liceità, correttezza, trasparenza e minimizzazione dei dati nonché in assenza di una idonea base giuridica.
Conseguentemente ha ritenuto di sanzionare il Comune comminando una sanzione pecuniaria amministrativa dell’importo di €. 10.000.
Volume consigliato
GDPR: ISPEZIONI E SANZIONI DEL GARANTE
L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.
Stefano Comellini | 2020 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento