Print Friendly, PDF & Email

Nel corso dei mesi scorsi il Garante per la Protezione dei dati personali ha adottato alcuni provvedimenti sanzionatori nei confronti di una Regione, di due Comuni e di un’Unione di Comuni. In occasione di tali provvedimenti, il Garante ha precisato che il trattamento di dati personali effettuati da soggetti pubblici, segnatamente Enti Locali, è lecito solo se necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (art. 6, par. 1, lett. c) del Gdpr) oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (art. 6, par. 1, lett. e) del Gdpr).

Inoltre, il Garante ha inoltre aggiunto che la diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o di regolamento. A tale proposito sono sempre attuali le indicazioni contenute nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, Provvedimento n. 243 del 15 maggio 2014 pubblicato sulla Gazzetta Ufficiale n. 134 del 12 giugno 2014.

In ogni caso, l’Ente Locale è tenuto a rispettare i principi indicati dal Regolamento europeo in materia di protezione dei dati personali, in particolare, quelli di liceità, correttezza e trasparenza nonché di minimizzazione, in base al quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Nello specifico, il primo provvedimento riguarda una Regione (Ordinanza ingiunzione – 2 luglio 2020) che aveva pubblicato sul proprio sito un documento riguardante l’esecuzione di una sentenza civile relativa a un debito maturato dall’ente. Gli interessati hanno protestato nei confronti dell’Ente il quale risposto giustificando la pubblicazione online sulla base di alcune disposizioni di natura contabile.

In seguito ad un reclamo, il Garante ha comminato una sanzione pecuniaria di Euro 4.000 sul presupposto che i dati personali contenuti in quei documenti potevano essere usati per controlli della magistratura contabile sui debiti fuori bilancio, ma che le norme citate non prevedevano la diffusione di quei dati.

Con il secondo e terzo provvedimento l’Autorità ha accolto anche il reclamo nei confronti di due Enti Locali, un Comune e l’Unione comunale a cui esso appartiene, che avevano pubblicato sui rispettivi siti web, nella sezione amministrazione trasparente o nell’albo online, atti amministrativi riferibili al reclamante, diffondendo anche dati personali relativi a condanne penali e a reati. In particolare, nei confronti dell’interessato era stata pronunciata una sentenza penale in esito alla quale l’Ente datore di lavoro ha avviato il procedimento per il licenziamento disciplinare senza preavviso ai sensi della legge “Madia”. Tale licenziamento era stato impugnato dall’interessato avanti al Giudice del lavoro così che vi era, per l’Ente, la necessità di costituirsi per difendere il proprio operato. Tuttavia, al momento di affidare l’incarico legale per la difesa dell’Ente erano state pubblicate nell’oggetto dell’atto di affidamento dell’incarico, poi confluito negli atti oggetto di pubblicazione, le iniziali dell’interessato e la circostanza che il licenziamento era conseguente ad un reato.

Nel corso dell’istruttoria, le due Amministrazioni hanno sostenuto che la pubblicazione fosse obbligatoria ai sensi della normativa sulla trasparenza e sulla pubblicità legale degli atti e che, in ogni caso, la persona interessata fosse difficilmente identificabile, in quanto negli atti amministrativi oggetto di pubblicazione erano riportati solo il numero di matricola o le iniziali del cognome e del nome. Il Garante ha però rilevato che le normative citate non consentivano la diffusione di quei dati personali, tra cui quelli relativi a condanne penali e reati. L’interessato, inoltre, poteva facilmente essere identificato dai colleghi, da conoscenti e da numerosi altri soggetti in ambito locale. Il Comune e l’Unione di Comuni hanno ricevuto due sanzioni pecuniarie rispettivamente di 4.000 e 6.000 Euro.

L’ultimo provvedimento riguarda, invece, l’invio da parte di un Comune di un “decreto di citazione” – trasmesso per posta elettronica – ad alcune testate locali. Il decreto conteneva dati, riferibili a fattispecie penali e a misure di sicurezza e prevenzione, di cinque persone, tra cui tre testimoni citati a comparire.

L’Ente Locale aveva argomentato che l’invio alle testate giornalistiche si fosse reso necessario al fine di tutelare la propria immagine ed esercitare il legittimo diritto di critica nei confronti di alcuni attacchi pubblicati sulla stampa.

Anche in questo caso, però, il Garante ha rilevato che la comunicazione di tali dati non fosse giustificata dalla presunta “esecuzione di un compito connesso all’esercizio di pubblici poteri” o da un’altra base normativa, come quella sulla trasparenza. Al Comune è quindi stata comminata una sanzione di 2.000 Euro.

 

Torna in alto