Viola la privacy la pubblicazione sull’albo pretorio on line di un istituto di istruzione del provvedimento di licenziamento contenente il nome e cognome dell’insegnante.
>>>Leggi il Provvedimento n. 335 del 20 ottobre 2022<<<
1. I fatti
Un reclamante lamentava al Garante per la protezione dei dati personali che l’istituto di istruzione superiore presso il quale aveva lavorato aveva pubblicato sull’albo pretorio della propria pagina web istituzionale una nota con cui era stata comunicata la risoluzione del suo contratto di lavoro a tempo indeterminato, con allegati i relativi provvedimenti di licenziamento che erano stati adottati nei suoi confronti dal Ministero di dell’Istruzione.
Il Garante apriva quindi il procedimento nei confronti dell’istituto scolastico e lo invitava a fornire le proprie difese in merito agli addebiti mossi dalla reclamante.
L’istituto scolastico, in primo luogo, evidenziava come lo stesso avesse operato seguendo le istruzioni del Ministero dell’Istruzione, in quanto aveva pubblicato all’interno della propria nota soltanto gli elementi di sintesi del provvedimento di licenziamento adottato dal Ministero, secondo quanto previsto dall’art. 23 del D. lgs. 33/2013, che ne imponeva la pubblicazione: cioè il contenuto, l’oggetto e gli estremi del documento. La nota, invece, non conteneva alcun riferimento alle motivazioni che avevano indotto il Ministero a licenziare l’insegnante.
In secondo luogo, l’istituto scolastico rilevava come la pubblicazione del provvedimento di licenziamento da parte del Ministero aveva indotto anche l’istituto scolastico a pensare che si trattasse di un atto legittimamente pubblicabile nel legittimo interesse dei soggetti terzi, che avrebbero così potuto conoscere l’informazione de quo nonché nell’interesse degli alunni alla continuità didattica. Pertanto, l’istituto aveva pensato di poter, a propria volta, pubblicare la propria relativa nota.
In particolare, l’istituto sosteneva di aver pubblicato soltanto il nome, il cognome e la data di nascita del docente e che tali informazioni sarebbero servite agli altri istituti scolastici, che attingono dalle graduatorie provinciali quando hanno bisogno di assumere a tempo determinato dei docenti supplenti, che il soggetto in questione non aveva i requisiti per essere assunto. In tal modo, secondo l’istituto scolastico si sarebbe evitato che il docente fosse sostituito nel corso dell’anno, dopo essere stato assunto in mancanza dei requisiti, dalla nuova scuola. Invece, la anonimizzazione del provvedimento avrebbe fatto venire meno la suddetta finalità, raggiungibile con la pubblicazione del provvedimento stesso.
Infine, l’istituto scolastico precisava che la pubblicazione non aveva avuto ad oggetto dati sensibili o relativi a procedimenti giudiziari e che la pubblicazione era avvenuta soltanto per un periodo di tempo limitato a 30 giorni e poi era stata resa non più raggiungibile dalla sezione dell’albo pretorio del sito istituzionale, se non attraverso una specifica ricerca per estremi del documento.
Potrebbero interessarti anche
2. Le valutazioni del Garante
Il Garante ha preliminarmente evidenziato che la normativa in materia di privacy prevede che i soggetti pubblici, qualora siano datori di lavoro, possono trattare i dati personali dei propri dipendenti, anche se relativi a categorie particolari di dati, quando ciò è necessario per gestire il rapporto di lavoro o per adempiere a obblighi o compiti previsti dalla normativa di settore. Analogamente, anche la diffusione dei dati personali, come la loro pubblicazione su internet, può avvenire soltanto se è prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento.
Secondo il Garante, anche in tali casi, i dati debbono comunque essere trattati con appropriate garanzie e nel rispetto dei principi in materia di protezione dei dati: quelli di liceità, correttezza e trasparenza nonché quello di minimizzazione dei dati (secondo cui i dati debbono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono stati trattati).
Ciò premesso, il Garante, passando all’esame del caso concreto, ha evidenziato che nel corso dell’istruttoria è emerso che l’istituto ha pubblicato nella sezione Albo pretorio del proprio sito web istituzionale la nota con cui veniva comunicata la risoluzione del contratto a tempo indeterminato nei confronti del reclamante con allegato il provvedimento del Ministero.
Tale condotta costituisce una violazione della normativa in materia di protezione dei dati personali e in particolare del principio di minimizzazione dei dati e di liceità, in quanto i dati del reclamante sono stati pubblicati senza una idonea base giuridica.
Secondo il Garante, le difese dell’istituto risultano infondate.
In primo luogo, il decreto legislativo 33/2013 non contiene alcuna specifica disposizione che prescriva la pubblicazione obbligatoria di un provvedimento che contiene informazioni sulla risoluzione di un contratto di lavoro a seguito di esclusione da una procedura per mancanza dei requisiti. La suddetta normativa, infatti, oltre a essere stata abrogata, prevedeva la pubblicazione di elementi di sintesi dei provvedimenti finali dei procedimenti.
Secondo il Garante, inoltre, l’amministrazione pubblica che vuole pubblicare sull’albo pretorio un atto contenente dati personali, anche qualora si tratti di dati comuni, deve preliminarmente verificare che esiste una norma di legge o di regolamento che preveda la possibilità di affiggere l’atto sull’albo pretorio.
In ogni caso, prima di diffondere qualsiasi informazione relativa all’interessato, l’istituto avrebbe dovuto verificare quali dati e informazioni pubblicare, nel rispetto dei principi di pertinenza e non eccedenza dei dati. A tal proposito, il Garante ha ricordato che, anche qualora sia previsto un regime di pubblicità di alcuni atti, tale situazione non comporta alcun automatismo nella pubblicazione on line dei dati personali, né tanto meno una deroga ai principi in materia di privacy.
Pertanto, nel caso di specie, l’istituto avrebbe dovuto pubblicare la nota in questione soltanto dopo aver anonimizzato i dati personali dell’interessato che erano contenuti all’interno della nota stessa.
Per quanto riguarda, infine, la difesa dell’istituto in ordine alle finalità informative della pubblicazione, il Garante l’ha ritenuta altrettanto infondata, in quanto, anche in caso di pubblicazione anonimizzata, la versione integrale del provvedimento sarebbe stata comunque sempre presente negli archivi dell’istituto e qualunque soggetto interessato e qualificato alla sua visione, avrebbe potuto esaminarla (per esempio un’altra scuola che avrebbe voluto assumere il docente in questione).
3. La decisione del Garante
In considerazione di quanto sopra, il Garante ha ritenuto che la condotta posta in essere dall’istituto, consistente nella pubblicazione nell’albo pretorio on line dei dati personali (nome, cognome e data di nascita) del docente all’interno del provvedimento con cui lo stesso era stato licenziato, sostanzia una diffusione illecita di detti dati.
Conseguentemente, il Garante ha comminato al titolare del trattamento una sanzione amministrativa pecuniaria, che ha quantificato, tenuto conto della gravità della violazione (relativa a vicende connesse alla risoluzione del rapporto di lavoro dell’interessato) e della limitata portata dei soggetti coinvolti (solo uno) e della durata di diffusione dei dati, nell’importo di €. 900 (novecento).
Volume consigliato
Il nuovo codice della privacy
Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina. Agile e completa, quest’opera fornisce a tutti gli operatori, pubblici e privati, gli strumenti per comprendere in modo chiaro e semplice le novitàintrodotte dal decreto attuativo, attraverso una lettura integrata con i relativi riferimenti alle disposizioni del GDPR, per consentire al Professionista di adempiere ai vari obblighi relativi alla protezione dei dati personali.Con un linguaggio semplice e chiaro, l’autore analizza i singoli articoli del decreto attuativo corredati da un primo commento esplicativo in combinato con l’esame delle disposizioni del codice privacy ancora in vigore, attraverso i necessari richiami alle disposizioni del GDPR che la nuova disciplina va ad attuare.PIER PAOLO MUIÀ Dopo aver conseguito la maturità classica, si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di diritto di internet, pri- vacy e IP, nonché responsabilità medica. È autore di diverse monografie sulle materie di sua competenza nonché di numerose pubblicazioni sulle principali riviste giuridiche nazionali ed è referente di dette materie per il portale telematico giuridico Diritto.it. È stato relatore in diversi convegni.
Pier Paolo Muià | Maggioli Editore 2019
Scrivi un commento
Accedi per poter inserire un commento