Alcuni provvedimenti sanzionatori del Garante, adottati di recente nei confronti di una Regione, di due Comuni e di una Unione di Comuni, confermano che gli Enti locali devono valutare con particolare attenzione se, in base alla normativa, possono rendere pubblici i dati personali, spesso anche particolarmente riservati, contenuti in delibere e in altri documenti.
La Regione aveva pubblicato sul proprio sito un documento sull'esecuzione di una sentenza civile relativa a un debito maturato dall'Ente. A seguito di una serie di proteste, la Regione aveva risposto giustificando la pubblicazione on line sulla base di alcune disposizioni di natura contabile.
Nel caso specifico, però, i dati personali contenuti in quei documenti potevano essere giustamente usati per controlli della magistratura contabile sui debiti fuori bilancio, ma le norme citate non prevedevano la diffusione di quei dati.
La collaborazione offerta dall'Ente Regione e l'impegno per la verifica delle misure tecniche e organizzative adottate per il rispetto della privacy, hanno indotto il Garante a comminare una sanzione di "soli" 4.000 Euro.
Il reclamo verso il Comune e l'Unione dei Comuni di appartenenza, accolto dal Garante, era riferito ad una pubblicazione sui rispettivi siti web, nella sezione amministrazione trasparente o nell'albo on line, di atti amministrativi riguardanti il reclamante che diffondevano anche dati personali relativi a condanne penali e a reati.
Nel corso dell'istruttoria, le due Amministrazioni hanno sostenuto che la pubblicazione fosse obbligatoria ai sensi della normativa sulla trasparenza e sulla pubblicità legale degli atti e che, in ogni caso, la persona interessata fosse difficilmente identificabile, in quanto nei documenti amministrativi oggetto di pubblicazione erano riportati solo il numero di matricola o le iniziali del cognome e del nome. Tra l'altro, una delle due Amministrazioni aveva affermato che la pubblicazione era stata avallata anche dal Responsabile per la protezione dei dati (RPD-DPO). Il Garante ha però rilevato che le normative citate non consentivano la diffusione di quei dati personali, tra cui quelli relativi a condanne penali e reati. L'interessato, inoltre, poteva facilmente essere identificato da colleghi, da conoscenti e da numerosi altri soggetti in ambito locale.
Il Comune e l'Unione di Comuni hanno ricevuto due sanzioni pecuniarie rispettivamente di 4.000 e 6.000 Euro.
Il terzo provvedimento fa riferimento a un Comune che aveva inviato per posta elettronica, ad alcune testate locali, un "decreto di citazione" con i dati, riferibili anche a vicende penali e a misure di sicurezza e prevenzione, di cinque persone, tra cui tre testimoni citati a comparire.
L'Ente comunale aveva giustificato la trasmissione del documento ai giornalisti con lo scopo di tutelare la propria immagine ed esercitare il legittimo diritto di critica nei confronti di alcuni attacchi pubblicati sulla stampa. Anche in questo caso il Garante ha rilevato che la comunicazione di tali dati non fosse giustificata dalla presunta “esecuzione di un compito connesso all'esercizio di pubblici poteri” o da un'altra base normativa, come quella sulla trasparenza.
Al Comune è stata comminata una sanzione di 2.000 Euro.
Il Garante, nell'approvare i provvedimenti e le relative sanzioni, ha ribadito agli Enti multati che il trattamento di dati personali effettuati da soggetti pubblici è lecito solo se necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento oppure per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Ha inoltre aggiunto che la diffusione di dati personali (come la pubblicazione su Internet) da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o di regolamento. In ogni caso, anche l'Ente locale è tenuto a rispettare i principi indicati dal GDPR- Regolamento europeo in materia di protezione dei dati personali.
