Quando pubblicano atti e documenti on-line, le pubbliche amministrazioni devono porre la massima attenzione a non diffondere dati che non siano pertinenti rispetto alle finalità di trasparenza perseguite. Lo ha ribadito il Garante privacy, con provvedimento del 26 maggio scorso, nel comminare una sanzione di 10mila euro a un Comune.
L’Autorità è intervenuta su richiesta di un reclamante che lamentava la diffusione di dati personali contenuti all’interno del suo curriculum vitae pubblicato sul sito web istituzionale di un Comune, con cui da tempo aveva cessato l’attività lavorativa.
Nel corso dell’istruttoria il Garante ha accertato che il curriculum era rimasto disponibile on-line oltre l’arco temporale previsto dalla disciplina di settore e che la circostanza aveva comportato la diffusione dei dati in assenza di base giuridica. Il Comune non aveva neanche operato un’attenta selezione dei dati in esso contenuti.
La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possano trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri. Il trattamento è, inoltre, lecito quando sia «necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento».
Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di «liceità, correttezza e trasparenza» nonché di «minimizzazione dei dati», in base ai quali i dati personali devono essere «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato» e devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati».
Peraltro, il predetto curriculum vitae conteneva dati ulteriori rispetto a quelli necessari ad adempiere tale obbligo di legge, quali l’indirizzo di residenza, il numero di cellulare e gli indirizzi di posta elettronica privati. A tal riguardo, già nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provv. 15/05/2014, n. 243), il Garante aveva chiarito che il riferimento del legislatore all’obbligo di pubblicazione del curriculum vitae non può, comunque, comportare la diffusione di dati personali che non siano pertinenti rispetto alle finalità di trasparenza perseguite. Pertanto, «prima di pubblicare sul sito istituzionale i curricula, il titolare del trattamento dovrà [...] operare un’attenta selezione dei dati in essi contenuti», omettendo di pubblicare i «dati eccedenti, quali ad esempio i recapiti personali oppure il codice fiscale degli interessati, ciò anche al fine di ridurre il rischio di c.d. furti di identità».
Il Comune si era difeso affermando che la pubblicazione del curriculum del reclamante sarebbe dipesa dalla condotta negligente del fornitore cui era stata affidata all’epoca la gestione della pagina “Amministrazione Trasparente” del sito; il Garante ha però ricordato che spetta al titolare del trattamento, quindi nel caso in esame al Comune, impartire adeguate indicazioni ai fini della corretta gestione del ciclo di vita dei dati a chi li tratta per suo conto. Indicazioni che l’Ente aveva mancato di dare alla società affidataria del servizio informatico.
La diffusione dei dati personali del reclamante era pertanto avvenuta in maniera non conforme ai principi di liceità, correttezza e trasparenza e minimizzazione dei dati. Tra le altre violazioni riscontrate dall’Autorità, anche la mancata risposta da parte del Comune alla richiesta di esercizio dei diritti dell’interessato.
Nel determinare l’ammontare della sanzione il Garante privacy ha tenuto favorevolmente in considerazione che la violazione non ha riguardato categorie particolari di dati personali e ha coinvolto un solo interessato. Il titolare ha inoltre fornito assicurazioni in merito alle modalità con cui in futuro provvederà a pubblicare atti e documenti contenenti dati personali sul proprio sito web istituzionale.
