Gli enti locali devono valutare con particolare attenzione se, in base alla normativa, possono rendere pubblici i dati personali, spesso anche particolarmente riservati, contenuti in delibere e in altri documenti.
Lo ha ribadito il Garante per privacy in alcuni provvedimenti sanzionatori adottati nei confronti di una Regione, di due Comuni e di un’Unione di Comuni.
Il primo provvedimento
Una Regione aveva pubblicato sul proprio sito un documento riguardante l’esecuzione di una sentenza civile relativa a un debito maturato dall’ente.
che all’url http://…, era visualizzabile e liberamente scaricabile il documento intitolato ….., contenente dati personali dei segnalanti (nominativo e residenza), relativi a un debito maturato dalla Regione …….
Alle proteste dei segnalanti, l’amministrazione aveva risposto giustificando la pubblicazione online sulla base di alcune disposizioni di natura contabile.
Nel caso specifico, però, il Garante ha ricordato che i dati personali contenuti in quei documenti potevano essere giustamente usati per controlli della magistratura contabile sui debiti fuori bilancio, ma che le norme citate non prevedevano la diffusione di quei dati.
Per tali motivi, in relazione alla condotta tenuta, le argomentazioni riportate dalla Regione xxx non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo ….
Tenendo conto della collaborazione da parte dell’amministrazione che “si è subito attivata per oscurare i dati personali oggetto della segnalazione una volta ricevuta la richiesta d’informazioni del Garante, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione – il cui carattere, stante anche quanto affermato dalla Regione, appare di natura colposa – attenuandone i possibili effetti negativi”, il Garante ha comminato alla Regione una sanzione pecuniaria di 4.000 euro.
Il secondo Provvedimento
L’Autorità ha accolto anche il reclamo nei confronti di due enti locali, un Comune e l’Unione Comunale a cui esso appartiene, che avevano pubblicato sui rispettivi siti web, nella sezione amministrazione trasparente o nell’albo online, atti amministrativi riferibili al reclamante, diffondendo anche dati personali relativi a condanne penali e a reati. Nel corso dell’istruttoria, le due amministrazioni hanno sostenuto che la pubblicazione fosse obbligatoria ai sensi della normativa sulla trasparenza e sulla pubblicità legale degli atti. A ciò si aggiunge, che la persona interessata fosse difficilmente identificabile. Infatti, negli atti amministrativi oggetto di pubblicazione erano riportati solo il numero di matricola o le iniziali del cognome e del nome. Una delle due amministrazioni, tra l’altro, aveva affermato che la pubblicazione era stata avallata anche dal Responsabile per la protezione dei dati (Rpd/Dpo) dell’ente.
Il Garante ha però rilevato che le normative citate non consentivano la diffusione di quei dati personali, tra cui quelli relativi a condanne penali e reati. L’interessato, inoltre, poteva facilmente essere identificato dai colleghi, da conoscenti e da numerosi altri soggetti in ambito locale.
Il Comune e l’Unione di Comuni hanno ricevuto due sanzioni pecuniarie rispettivamente di 4.000 e 6.000 euro.
Il terzo Provvedimento
L’ultimo provvedimento riguarda, invece, un Comune che aveva inviato per posta elettronica, ad alcune testate locali, un “decreto di citazione” con i dati, riferibili anche a vicende penali e a misure di sicurezza e prevenzione, di cinque persone, tra cui tre testimoni citati a comparire.
L’ente comunale aveva giustificato la trasmissione del documento ai giornalisti con il fine di tutelare la propria immagine ed esercitare il legittimo diritto di critica nei confronti di alcuni attacchi pubblicati sulla stampa.
Anche in questo caso, però, il Garante ha rilevato che la comunicazione di tali dati non fosse giustificata dalla presunta “esecuzione di un compito connesso all’esercizio di pubblici poteri” o da un’altra base normativa, come quella sulla trasparenza.
Al Comune è quindi stata comminata una sanzione di 2.000 euro.
(Fonte Garante Privacy)