31/03/2020 - La protezione dei dati personali nelle pubblicazioni facoltative sui siti web istituzionali
un articolo di Agostino Galeone - riceviamo e pubblichiamo
La protezione dei dati personali nelle pubblicazioni facoltative sui siti web istituzionali
Alla Gent.ma Redazione
Ai fini della sua pubblicazione nella Vostra Rivista informatica, lo scrivente invia un proprio lavoro attinente alla protezione dei dati personali nelle pubblicazioni facoltative disposte dalle pp.aa. ai sensi dell'art. 7-bis, comma 3, del d.lgs. n. 33/2013, con riferimento anche al provvedimento del Garante della Privacy n. 35-2020, allegato alla presente in formato .docx onde anonimizzare anche il Comune interessato dal provvedimento sanzionatorio del Garante ed evidenziare con la sottolineatura i passi più rilevanti dello stesso.
Nel ringraziare per l'attenzione che si vorrà concedere, si porgono cordiali saluti.
Agostino Galeone
***********
a cura di Agostino Galeone
LA PROTEZIONE DEI DATI PERSONALI NELLE PUBBLICAZIONI FACOLTATIVE SUI SITI WEB ISTITUZIONALI
il Garante della Privacy con il provvedimento n. 35 del 13 febbraio 2020, allegato alla presente, ha comminato una sanzione pecuniaria amministrativa nei confronti di un Comune per avere pubblicato nel proprio sito web istituzionale un documento “ulteriore” rispetto a quelli da pubblicare su obbligo imposto dal d.lgs. n. 33/2013 o da una specifica norma di legge o di regolamento, contenente, peraltro, dati sensibili, violando i fondamentali principi dettati dal Regolamento UE 2016/679 per la tutela dei dati personali.
Le violazioni rilevate dal Garante della Privacy nella pubblicazione dell’atto in questione - una sentenza relativa al rapporto di lavoro tra lo stesso Comune e una sua dipendente - sono diverse.
Il primo argomento che si ritiene opportuno evidenziare concerne la pubblicazione facoltativa, in quanto tale operazione di trattamento è spesso attuata in modo non conforme alla su citata normativa europea.
Infatti, il Comune sanzionato, nonostante che il proprio PTPCT, approvato con delibera giuntale, prevedesse, addirittura, l’ “obbligo di pubblicare i dati non richiesti dalla legge (art. 7 bis, co. 3, d.lg. n. 33/2013) secondo la tecnica dell’anonimizzazione”, ha violato diverse disposizioni afferenti la protezione dei dai personali, tra cui anche la stessa su citata norma, in quanto non sono stati anonimizzati tutti i dati personali ivi contenuti nella sentenza pubblicata.
A tale proposito è bene rammentare che l’art. 7-bis, comma, 3 del d.lgs. n. 33/2013 (introdotto dal d.lgs. n. 97/2016), stabilisce che le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi dello stesso d.lgs. n. 33/2013 o sulla base di specifica previsione di legge o regolamento, purché siano rispettate due condizioni:
-
il rispetto dei limiti di cui all’art. 5-bis dello stesso d.lgs. n. 33/2013;
-
la “anonimizzazione” di tutti i dati personali, di qualunque natura essi siano, cioè anche quelli non appartenenti alle categorie dei così detti “dati sensibili” e “dati giudiziari”, rispettivamente individuati dagli articoli 9 e 10 del Regolamento UE 2016/679.
In merito a tale tipologia di pubblicazione è opportuno evidenziare che la prefata disposizione prevede che le pubblicazioni “ulteriori” (rispetto a quelle obbligatorie prescritte da disposizioni di legge o di regolamento) possano essere effettuate “nel proprio sito istituzionale” e, quindi, in altra sezione, liberamente etichettate da ciascuna p.a., differente dalla sezione “Amministrazione trasparente”; e ciò non soltanto perché nelle sottosezioni di 1° e 2° livello di quest’ultima devono essere pubblicati esclusivamente i dati, i documenti e le informazioni indicati dal d.lgs. n. 33/2013 conformemente all’Allegato 1 della deliberazione ANAC n. 1310/2016; ma anche perché l’inserimento in tali sottosezioni non sarebbe supportato da alcun criterio necessariamente prestabilito dall’ANAC e, inoltre, perché creerebbe confusione e difficoltà di reperimento per quanti avessero interesse a conoscerli.
Se una pubblica amministrazione decidesse di pubblicare atti e documenti “ulteriori” dovrebbe preventivamente definire una apposita sezione (etichettata diversamente rispetto alle sezioni dell’ “Albo pretorio” e dell’ “Amministrazione trasparente”), a sua volta suddivisa in sottosezioni distinte per tipologia di atti e documenti, onde agevolarne la ricerca.
Con riferimento alla titolarità della potestà di “disporre” le pubblicazioni facoltative degli atti e dei provvedimenti, si è dell’avviso che occorra fare una distinzione: si potrebbe prevedere che gli atti e i provvedimenti relativi alla gestione dell’organizzazione e all’espletamento delle attività amministrative operanti in modo generalizzato e indistinto nei confronti dei destinatari interni o esterni siano pubblicati su diretta disposizione dell’organo di governo o di gestione che li ha adottati; mentre la pubblicazione degli atti e dei provvedimenti destinati a produrre i propri effetti nella sfera giuridica soltanto di alcuni identificati o identificabili soggetti, siano essi persone fisiche o giuridiche, non può essere lasciata al libero arbitrio di qualunque componente degli organi di governo o addirittura di ciascun operatore burocratico del Comune. Al fine di pubblicare gli atti e i provvedimenti afferenti la predetta seconda categoria, tenuto conto delle eventuali possibili responsabilità di natura civile, penale, erariale, per danno all’immagine della p.a. e disciplinare che potrebbero ricadere su chi ha disposto la pubblicazione, si ritiene che il Consiglio Comunale approvi ovvero preveda, quale obiettivo strategico in materia di trasparenza, che la Giunta Comunale definisca apposite norme regolamentari con cui stabilire l’attuazione della pubblicazione “facoltativa” ai sensi dell’art. 7, comma 3, del d.lgs. n. 33/2013 soltanto per gli atti e i provvedimenti adottati dagli organi dello stesso Comune; individuare le categorie degli atti e dei provvedimenti; nonché definire le modalità e la durata (sarebbe auspicabile 15 giorni) della pubblicazione.
Le altre violazioni delle norme sulla protezione dei dati personali eccepite dal Garante della Privacy, di seguito sinteticamente riportate, riguardano anche le pubblicazioni obbligatorie da effettuare sia per finalità di trasparenza nella sezione “Amministrazione trasparente” e sia per pubblicità legale nella sezione “Albo pretorio”.
A questo proposito è opportuno ricordare che la pubblicazione, essendo una delle diverse possibili forme di “diffusione” - cioè portare a conoscenza dati personali a un numero indeterminato di destinatari non identificati e non identificabili - costituisce una “operazione di trattamento” e, quindi, la pubblicazione di dati personali, come tutte le operazioni di trattamento, è “lecita” solo se e nella misura in cui ricorre almeno una delle condizioni previste dall’art. 6, paragrafo 1, del Regolamento Ue 2016/679.
Affinché il trattamento di dati personali svolto dalle pp.aa. sia lecito occorrono due presupposti :
-
che il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, ossia la p.a. in quanto soggetto giuridico, [lettera e) del paragrafo 1 dell’art. 6]; e, inoltre,
-
che il trattamento, svolto in virtù dei compiti di cui alla predetta lettera e), debba avere una “base giuridica”, consistente in una disposizione di legge o, sulla base di una apposita norma di legge, di regolamento del diritto dell’Unione o dello Stato italiano.
Soltanto nell’ipotesi in cui una p.a. intenda svolgere il trattamento di dati personali non sorretto su una base giuridica, è indispensabile che la stessa p.a. acquisisca, prima della raccolta dei dati, il consenso, anche verbale, dell’interessato, che il titolare o il responsabile del trattamento deve comunque dimostrare di avere acquisito, dopo avere dato la dovuta informativa.
Proprio per quanto sopra esposto, il Garante della Privacy non ritiene che possa essere ritenuto valido un consenso “implicito” desumibile, secondo quanto sostenuto dal Comune, dal fatto che la stessa ricorrente non aveva espresso alcun tipo di dissenso o di opposizione a quella pubblicazione per il lungo periodo tempo che quella sentenza era rimasta disponibile sul sito web istituzionale. Lo stesso Garante è dell’avviso, inoltre, che una pubblicazione non sorretta da una base giuridica rimane illecita anche se le notizie oggetto del contenzioso esaminato siano state pubblicate da un settimanale locale e rese pubbliche dall’interessata in diverse interviste rilasciate allo stesso settimanale.
Nel provvedimento sanzionatorio in questione le altre violazioni contestate dal Garante della Privacy riguardano i seguenti principi fondamentali dettati dal Regolamento UE 2016/679 per la protezione dei dati personali, applicabili per qualsiasi operazione di trattamento e, in particolare, se trattasi di pubblicazione sia obbligatoria e sia facoltativa :
-
i principi di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).
-
è sempre vietato diffondere i dati personali relativi alla salute (art. 2-septies, comma 8 e art. 166, comma 2, del Codice).
data, 30 marzo 2020
QUI l'ordinanza-ingiunzione del Garante per la protezione dei dati personali
