GDPR. Il trattamento dei dati negli Enti locali

In una serie di pronunce l’Autorità garante chiarisce alcuni aspetti in merito al rapporto tra esigenze di trasparenza, operato dai soggetti pubblici, e principi di tutela dei dati personali.

Alcuni provvedimenti emanati nel mese di luglio scorso dal Garante per la protezione dei dati personali, che hanno sanzionato alcune amministrazioni, ci aiutano a chiarire alcuni aspetti chiave relativamente alla possibilità di rendere pubblici o meno i dati personali dei cittadini.

Nei tre provvedimenti sanzionatori emanati, il Garante Privacy ha comminato alcune sanzioni a una Regione, due Comuni e una Unione di Comuni per avere reso pubblici, tramite pubblicazione sul web o tramite diffusione a mezzo stampa, i dati personali, anche appartenenti alla categoria dei dati particolari in quanto riguardanti condanne o sanzioni di alcuni cittadini.

Nel primo caso, quello relativo alla Regione, l’Amministrazione aveva pubblicato sul proprio sito web un documento che riportava l’esecuzione di una pronuncia civile relativa ad un debito nei confronti della stessa Regione. Alle proteste degli interessati la Regione aveva risposto che tale comportamento era lecito richiamando delle disposizioni di natura contabile.

Tuttavia, dall’analisi dell’Autorità Garante risultava che il trattamento dei dati era lecito poiché effettivamente previsto dalla normativa inerente i controlli effettuati dalla magistratura contabile, ma non la loro “diffusione” perché non espressamente prevista dalle norme citate.

Appare opportuno ricordare che per poter effettuare la diffusione di dati personali, cioè il dare conoscenza di questi a soggetti indeterminati in qualsiasi forma, anche mediante la loro messa a disposizione o consultazione, occorre che ricorra una dei casi previsti dall’art. 6 del Regolamento UE 2016/679:

  1. l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
  2. il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  3. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  4. il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  5. il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  6. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Ciò non si verificava nel caso di specie, poiché le norme richiamate non prevedevano la pubblicazione dei dati. Nel secondo caso, il Garante ha intrapreso un’istruttoria sulla base di un reclamo ricevuto nei confronti di un Comune e della Unione dei Comuni a cui questo apparteneva. Le due Amministrazioni avevano pubblicato sui rispettivi siti web istituzionali degli atti amministrativi attraverso i quali era possibile risalire all’interessato che contenevano al loro interno anche dati personali relativi a condanne penali e reati, configurando così la fattispecie di diffusione di dati particolari.A nulla è valsa la difesa degli Enti Locali i quali sostenevano che la pubblicazione fosse un atto dovuto perché rientrante negli obblighi della trasparenza amministrativa e nella normativa sulla pubblicità legale degli atti. Inoltre, le generalità dell’interessato non erano state diffuse in maniera trasparente, ma solo tramite indicazione delle iniziali del nome e del cognome.In questo caso appare interessante sottolineare come il Garante Privacy, oltre a verificare come nella fattispecie specifica, le norme richiamate dai soggetti pubblici non consentissero la diffusione di dati personali, tanto meno quelli appartenenti alla categoria dei dati particolari, non abbia ritenuto comunque sufficiente la sola indicazione delle iniziali per evitare l’identificazione dell’interessato nel caso in cui questa possa avvenire facilmente in base al contesto locale. In altre parole, nei casi in cui l’identificazione dell’interessato sia possibile in ragione del ristretto ambito locale o di altri elementi indiretti, l’indicazione delle sole inziali non è sufficiente a garantire l’anonimato dell’interessato coinvolto e dunque l’impossibilità a ricavare l’identità dello stesso. Nel terzo e ultimo caso, il Garante per la Protezione dei dati personali ha sanzionato un Comune che aveva comunicato ad alcuni giornali locali un atto giudiziario che conteneva dati personali particolari, relativi a “vicende penali e misure di sicurezza e prevenzione” di alcune interessati richiamati a vario titolo nell’atto. A nulla sono valse le motivazioni rese dall’Ente Locale in fase di istruttoria relativamente alle finalità di “tutela della propria immagine e all’esercizio del legittimo diritto di critica nei confronti di alcuni attacchi pubblicati sulla stampa”. Anche in questo caso l’Autorità Garante non ha ritenuto ci fosse la sussistenza dei presupposti normativi per un comportamento lecito da parte del Comune, sottolineando come la comunicazione dei dati personali posta in essere non potesse essere giustificata dalla “presunta esecuzione di un compito connesso all’esercizio di pubblici poteri o da altra base normativa, come quella sulla trasparenza”. I tre provvedimenti riportati sottolineano come la linea dell’Autorità Garante per la protezione dei dati sia costante nel ribadire che il trattamento di dati personali da parte di titolari appartenenti alla categoria dei soggetti pubblici sia lecito solo se questo sia necessario:·     

  • per adempiere a un obbligo legale;·     
  • per l’esecuzione di un compito di interesse pubblico;·     
  • se connesso all’esercizio di pubblici poteri di cui è investito il titolare.

Inoltre, nell’ambito di tali trattamenti e prerogative, la diffusione dei dati personali (fattispecie che si configura sicuramente attraverso la pubblicazione di dati personali nel mondo web o attraverso la comunicazione agli organi di stampa) è possibile solo in caso di espressa previsione di legge o regolamentare. Il Garante, infine, ribadisce la centralità e non derogabilità dei principi contenuti nel Regolamento Europeo con particolare riguardo a quanto contenuto nell’articolo 5 relativamente alla liceità, correttezza e trasparenza necessarie perché il trattamento posto in essere sia aderente al dettato normativo vigente, con particolare riguardo alla c.d. “minimizzazione dei dati”. 

Renato Carafa