Gli enti locali devono valutare con particolare attenzione se, in base alla normativa, possono rendere pubblici i dati personali, spesso anche particolarmente riservati, contenuti in delibere e in altri documenti. Lo ha ribadito il Garante per privacy in alcuni provvedimenti sanzionatori adottati il 2 luglio 2020 nei confronti di una Regione, di due Comuni e di un’Unione di Comuni.

Il primo provvedimento riguarda una Regione che aveva pubblicato sul proprio sito un documento riguardante l’esecuzione di una sentenza civile relativa a un debito maturato dall’ente.

che all’url http://…, era visualizzabile e liberamente scaricabile il documento intitolato «XX» del XX, a firma del Responsabile del XX, contenente dati personali dei segnalanti (nominativo e residenza), relativi a un debito maturato dalla Regione nei loro confronti in esecuzione di una sentenza esecutiva con specificazione dell’ammontare.

Alle proteste dei segnalanti, l’amministrazione aveva risposto giustificando la pubblicazione online sulla base di alcune disposizioni di natura contabile.

Nel caso specifico, però, il Garante ha ricordato che i dati personali contenuti in quei documenti potevano essere giustamente usati per controlli della magistratura contabile sui debiti fuori bilancio, ma che le norme citate non prevedevano la diffusione di quei dati.

Per tali motivi, in relazione alla condotta tenuta, le argomentazioni riportate dalla Regione xxx non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo nessuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione, in quanto la pubblicazione sul sito web istituzionale dei dati personali dei segnalanti sopra descritti è avvenuta e in maniera non conforme al principio di minimizzazione dei dati e in assenza di idonei presupposti normativi, in violazione dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 19 comma 3 del Codice (vigente all’epoca dei fatti e il cui contenuti è ora riprodotto nei medesimi termini nel nuovo art. 2-ter, commi 1 e 3, del Codice).

Tenendo conto della collaborazione da parte dell’amministrazione che “si è subito attivata per oscurare i dati personali oggetto della segnalazione una volta ricevuta la richiesta d’informazioni del Garante, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione – il cui carattere, stante anche quanto affermato dalla Regione, appare di natura colposa – attenuandone i possibili effetti negativi”, il Garante ha comminato alla Regione una sanzione pecuniaria di 4.000 euro.

L’Autorità ha accolto anche il reclamo nei confronti di due enti locali, un Comune e l’Unione Comunale a cui esso appartiene, che avevano pubblicato sui rispettivi siti web, nella sezione amministrazione trasparente o nell’albo online, atti amministrativi riferibili al reclamante, diffondendo anche dati personali relativi a condanne penali e a reati. Nel corso dell’istruttoria, le due amministrazioni hanno sostenuto che la pubblicazione fosse obbligatoria ai sensi della normativa sulla trasparenza e sulla pubblicità legale degli atti e che, in ogni caso, la persona interessata fosse difficilmente identificabile, in quanto negli atti amministrativi oggetto di pubblicazione erano riportati solo il numero di matricola o le iniziali del cognome e del nome. Una delle due amministrazioni, tra l’altro, aveva affermato che la pubblicazione era stata avallata anche dal Responsabile per la protezione dei dati (Rpd/Dpo) dell’ente.

Il Garante ha però rilevato che le normative citate non consentivano la diffusione di quei dati personali, tra cui quelli relativi a condanne penali e reati. L’interessato, inoltre, poteva facilmente essere identificato dai colleghi, da conoscenti e da numerosi altri soggetti in ambito locale. Il Comune e l’Unione di Comuni hanno ricevuto due sanzioni pecuniarie rispettivamente di 4.000 e 6.000 euro.

L’ultimo provvedimento riguarda, invece, un Comune che aveva inviato per posta elettronica, ad alcune testate locali, un “decreto di citazione” con i dati, riferibili anche a vicende penali e a misure di sicurezza e prevenzione, di cinque persone, tra cui tre testimoni citati a comparire. L’ente locale aveva giustificato la trasmissione del documento ai giornalisti con il fine di tutelare la propria immagine ed esercitare il legittimo diritto di critica nei confronti di alcuni attacchi pubblicati sulla stampa. Anche in questo caso, però, il Garante ha rilevato che la comunicazione di tali dati non fosse giustificata dalla presunta “esecuzione di un compito connesso all’esercizio di pubblici poteri” o da un’altra base normativa, come quella sulla trasparenza. Al Comune è quindi stata comminata una sanzione di 2.000 euro.

(Fonte Garante Privacy)