Tra gli obiettivi fondamentali che ogni Ente locale (sia quelli di piccole che di grandi dimensioni) deve perseguire per rappresentare la propria comunità e curarne gli interessi, rientra (con merito) quello di tutelare il diritto alla riservatezza dei propri cittadini attraverso un sistema di protezione dei dati personali in grado di garantire il rispetto delle disposizioni e dei principi del Regolamento Europeo 679/2016 e della normativa nazionale in materia di Privacy.
Raggiungere tale scopo non è però semplice.
Accesso del pubblico ai documenti ufficiali della PA e trattamento dati: i paletti del GDPR
Soprattutto nei comuni di piccole dimensioni, infatti, tale sistema costantemente messo alla prova dal rapporto con la trasparenza amministrativa e dalle sfide dell’innovazione, deve essere messo in piedi con l’ausilio di organici assai limitati nel numero (ed oberati dallo stesso numero di adempimenti dei grandi Comuni con centinaia di dipendenti) e con scarse risorse economiche che non permettono né di stare al passo dell’innovazione tecnologica galoppante né di accaparrarsi consulenti degni di nota.
Così, allo scopo di facilitare il raccordo tra teoria e pratica e di chiarire una volta per tutte che non sono soltanto i colossi del web e le grandi pubbliche amministrazioni a doversi preoccupare dell’attività sanzionatoria del Garante, ho immaginato di raccogliere alcuni degli ultimi provvedimenti che hanno interessato Comuni di piccole dimensioni, commentandoli e classificandoli in base ad alcuni parametri come:
- dimensioni dell’Ente e numero d’abitanti;
- collocazione geografica;
- complessità organizzative;
- entità della sanzione;
- presenza e coinvolgimento del DPO;
Ricordo, infine, per questione di completezza, che i provvedimenti oggetto di analisi pur fornendo elementi utili per comprendere in maniera pratica quali errori hanno dato seguito ad una risposta sanzionatoria, costituiscono soltanto una piccola parte della dialettica tra le pubbliche amministrazioni e l’Autorità.
Comune di Commezzadura (TN) sanzione di 6mila euro
Ordinanza ingiunzione nei confronti di Comune di Commezzadura – 25 febbraio 2021 [Doc. web n. 9567429]
Commezzadura è un piccolo comune in provincia di Trento. L’ultimo censimento disponibile conta poco più di mille abitanti e l’apparato amministrativo è tenuto in piedi da un organico di dieci persone (comprensive di Segretario Comunale) diviso in aree rette da cinque posizioni organizzative (fonte: Amministrazione trasparente).
Passiamo ora ad analizzare il caso.
Il caso: presa d’atto delle dimissioni di un dipendente
Nell’Albo on-line dell’Ente, all’interno di una determinazione avente ad oggetto la presa d’atto e l’accettazione delle dimissioni volontarie di un dipendente, venivano pubblicate (per un tempo più lungo di quello previsto per legge) le iniziali di un dipendente dimissionario, alcune valutazioni in merito al suo operato, le assenze per malattia (senza alcun riferimento alla diagnosi).
Tali informazioni erano poi state riprese all’interno di un articolo di una testata locale insieme ad alcune dichiarazioni del Sindaco sul lavoratore.
Tali circostanze venivano rappresentate all’Autorità dallo stesso dipendente dimissionario attraverso un formale reclamo.
La difesa dell’Ente
L’Amministrazione prova a basare la propria difesa muovendo su due fronti:
- da un lato richiama a propria discolpa, di aver semplicemente ottemperato agli obblighi giuridici connessi al procedimento amministrativo, all’esecutività della determinazione e all’esigenza di trasparenza nei confronti della collettività;
- dall’altro lato prova a ridurre la portata della contestazione ponendo l’accento sulla difficile identificabilità del reclamante attraverso le sole iniziali e rivendica di non aver mai esposto dati “sensibili” e cioè relativi alle condizioni di salute del proprio dipendente ma di aver soltanto riportato in maniera generica le sue assenze per malattia.
Le riflessioni dell’Autorità
A tali osservazioni il Garante risponde in maniera puntuale richiamando principi e normative applicabili e soprattutto chiarendo concretamente i seguenti aspetti:
- Il Comune ha esposto le informazioni personali del proprio dipendente in assenza di un’idonea base giuridica di pubblicazione non è, infatti, riuscito a comprovare l’esistenza di una specifica norma di legge che stabilisce la necessità di pubblicazione di una “determinazione di presa d’atto delle dimissioni di un dipendente” come requisito ai fini dell’integrazione dell’efficacia dell’atto né tantomeno risulta giustificabile la condotta del Sindaco in merito alle dichiarazioni concesse a mezzo stampa;
- Nella nozione di dato personale relativo alla salute rientra anche l’informazione relativa all’assenza dal servizio per malattia;
- L’utilizzo delle iniziali puntate in luogo del nominativo non rende la persona non identificabile (né all’interno né all’esterno del luogo di lavoro);
L’illiceità del trattamento ai sensi degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento e degli artt. 2-ter e 2-septies, comma 8, del Codice della privacy costa, quindi, al comune di Commezzadura una sanzione di 6.000€ ai quali si aggiunge come sanzione accessoria la pubblicazione sul sito web dell’Autorità.
Nella determinazione dell’importo della sanzione il Garante ha tenuto favorevolmente conto della collaborazione dell’Ente.
Coinvolgimento del DPO
Non c’è traccia né menzione di un coinvolgimento del DPO all’interno del provvedimento.
Comune di Conflenti (CZ) sanzione di 2.000 euro
Ordinanza ingiunzione nei confronti di Comune di Conflenti – 25 febbraio 2021 [Doc. web n.9565258]
Conflenti è un comune di 1300 abitanti in provincia di Catanzaro con un organico composto da cinque dipendenti a tempo indeterminato (di cui un solo D) e 4 LSU organizzato in cinque uffici.
Il caso: il rapporto di lavoro
All’interno di una deliberazione della Giunta comunale pubblicata online per un periodo di tempo superiore a quelli previsti per legge, vengono riportati il nome ed il cognome di un ex dipendente dell’Ente nonché alcune informazioni riguardanti il rapporto di lavoro con l’amministrazione comunale (tra cui un estratto della lettera di dimissioni).
Anche questa volta è l’ex dipendente a sollevare la questione davanti all’Autorità attraverso l’istituto del Reclamo.
La difesa dell’Ente
A propria discolpa il Comune eccepisce:
- che in difetto di ulteriori informazioni (quali codice fiscale, data di nascita etc.) il solo nome e cognome del soggetto non avrebbe potuto rendere identificabile il soggetto;
- di non aver pubblicato dati sensibili ma soltanto quelli necessari alla motivazione dell’atto (necessari, inoltre, a soddisfare la finalità di trasparenza dell’atto);
- di aver provveduto a rimuovere i riferimenti dai documenti in questione.
Le riflessioni dell’Autorità
Acquisite, quindi, le necessarie informazioni il Garante dopo aver richiamato il principio in base al quale la diffusione di dati personali (la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, chiarisce:
- Che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, dovendosi considerare “identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome […]” senza la necessità che tale elemento identificativo debba essere associato ad altri ulteriori elementi (art. 4, par. 1, n. 1) del Regolamento)
- che anche in presenza di una norma di legge che prevede la pubblicazione di atti e documenti della pubblica amministrazione, devono essere rispettati i principi di protezione dei dati (tra i quali il principio di “minimizzazione”
- che il d.lgs. 33/2013 non prevede la pubblicazione obbligatoria di tale tipo di atti
- che la pubblicazione della delibera epurata di ogni riferimento ai dati personali non avrebbe compromesso il principio di adeguata motivazione di cui all’art.3 della 241/1990 poiché la versione integrale sarebbe rimasta agli atti del Comune ed accessibile da tutti i soggetti qualificati nei modi e nei limiti previsti dalla legge.
La violazione dei principi e delle disposizioni normative una volta accertata comporta per le casse dell’Ente accertata dall’Autorità comporta per le casse dell’Ente un esborso di 2.000€ ai quali si aggiunge come sanzione accessoria la pubblicazione del provvedimento sul sito web del Garante
Coinvolgimento del DPO
Non c’è traccia né menzione di un coinvolgimento del DPO all’interno del provvedimento
Comune di Casaloldo (MN) sanzione di 2.000 euro
Ordinanza ingiunzione nei confronti di Comune di Casaloldo – 3 settembre 2020 [Doc. web n. 9468523]
Casaloldo ha meno di tremila abitanti ed è ubicato in Lombardia nella provincia di Mantova e può contare sul contributo di nove dipendenti divisi tra cinque aree.
Il caso: il Concorso pubblico
Protagonista di questa vicenda è la sezione Amministrazione trasparente del Comune all’interno della quale confluivano una serie di documenti relativi ad una selezione pubblica riportanti dati personali, punteggi ottenuti dai candidati alle prove scritte e la non ammissione di alcuni candidati alla prova orale.
Il reclamo questa volta veniva esercitato da uno dei partecipanti alla selezione non ammesso alla prova orale.
La difesa dell’Ente
La difesa del Comune di Casaloldo è molto semplice, dopo aver disposto, infatti, la rimozione all’interno del proprio sito delle informazioni considerate eccedenti (dati dei non ammessi, risultati delle prove intermedie etc.) prova a far leva sull’esiguità della propria colpa anche in considerazione delle caratteristiche dimensionali dell’ente.
Le riflessioni dell’Autorità
Il rilievo dell’illiceità del trattamento dei dati dei candidati (non solo quindi dei dati del reclamante ma di tutti i candidati partecipanti alla selezione – circa 50 persone) è conseguenza della lettura della disciplina di settore (art. 15, comma 6-bis, del d.P.R. 9/5/1994, n. 487 – Regolamento recante norme sull’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi) all’interno della quale si dispone che vengano pubblicate sugli albi on line le sole graduatorie definitive dei vincitori di concorso e non anche gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori, non ammessi o che si sono ritirati.
La natura colposa dell’incidente, la collaborazione con l’Autorità e la messa in atto di diverse misure tecniche ed organizzative (ai sensi degli artt. 25-32) del GDPR ha permesso all’amministrazione di contenere i danni e di portare a casa una sanzione di soli 2.000€.
Coinvolgimento del DPO
Non c’è traccia né menzione di un coinvolgimento del DPO all’interno del provvedimento
Comune di Santo Stefano Belbo (CN) sanzione di 4mila euro
Ordinanza di ingiunzione nei confronti di Comune di Santo Stefano Belbo – 17 dicembre 2020 [Doc. web n. 9557753]
Santo Stefano Belbo è un comune di 3 880 abitanti della provincia di Cuneo in Piemonte. All’interno degli uffici comunali sette posizioni organizzative si dividono tra i servizi che l’Ente eroga per i propri cittadini.
Il caso: l’IBAN
Anche in questo caso la violazione riguarda un reclamo verso una pubblicazione all’albo: una determinazione contenente dati e informazioni personali: il nome e cognome, il riconoscimento della liquidazione delle spese di lite e l’indicazione del codice IBAN del conto corrente del reclamante.
La difesa dell’Ente
L’Amministrazione pubblica riconosciuto il proprio errore interviene rettificando il testo del provvedimento (eliminando l’IBAN). Azione che però si rivela insufficiente: in Amministrazione trasparente, infatti, sotto la voce “Provvedimenti dei Dirigenti” persisteva infatti la pubblicazione in formato integrale contenente i dati personali del reclamante nonché le informazioni riguardanti il giudizio e le somme liquidate.
Tale circostanza richiedeva, quindi, un nuovo intervento di rimozione.
Le riflessioni dell’Autorità
Nonostante il Comune abbia provveduto alla rimozione dei dati personali dal proprio sito web, il Garante commina una sanzione pecuniaria di 4.000€ e la sanzione accessoria della pubblicazione.
Nel proprio provvedimento infatti l’Autorità pur considerando che la normativa prevede la pubblicazione di tutte le deliberazioni del comune e della provincia per quindici giorni consecutivi (salvo specifiche disposizioni di legge), ricorda le proprie linee guida in materia di trasparenza e di pubblicazione degli atti nelle quali è espressamente previsto che trascorso il periodo temporale previsto di pubblicazione, gli enti locali non possono continuare a diffondere i dati personali in essi contenuti.
Nelle stesse linee guida, inoltre, risulta uno specifico richiamo alla non diffusione dei codici Iban.
Questa pubblicazione eccedente e per un periodo superiore ai canonici 15 giorni di pubblicazione ha comportato quindi una violazione del Codice della privacy e dei principi generali del trattamento dei dati.
Coinvolgimento del DPO
Non c’è traccia né menzione di un coinvolgimento del DPO all’interno del provvedimento.
Fare il Data Protection Officer in Italia: un bilancio dei primi tre anni
Conclusioni
La lettura incrociata di queste sanzioni ci permette di rilevare immediatamente tre obiettivi di miglioramento facilmente raggiungibili anche in un ente di piccole dimensioni:
- L’errore più comune riscontrato è stata la pubblicazione di dati personali in difetto di un obbligo di legge. Come sappiamo, infatti, la diffusione di dati personali da parte di soggetti pubblici può avvenire soltanto in base ad una norma di legge o, nei casi previsti, di regolamento. Sarebbe, quindi, buona prassi verificare caso per caso se esiste una legge che impone la pubblicazione online ogni volta in cui nel documento sono presenti dati di natura personale;
- Leggere attentamente le Linee Guida dell’Autorità Garante “La trasparenza sui siti web delle PA”. All’interno di tale documento (attualmente sottoposto a revisione ma ancora utile per orientarsi nella materia) sono indicati principi, riferimenti normativi e casi pratici da utilizzare come riferimento. Se questi Enti avessero avuto conoscenza di tali Linee guida probabilmente avrebbero evitato le sanzioni.
- Familiarizzare con il principio di “minimizzazione” dei dati. Gli atti e i documenti amministrativi sono troppo spesso infarciti di informazioni personali e riferimenti non necessari. Farsi guidare da ciò che è adeguato, pertinente e limitato rispetto alle finalità può salvarci dagli errori.
Un’ultima osservazione riguarda il coinvolgimento dei DPO. Sebbene sia una figura specificatamente prevista dal GDPR e fondamentale per il suo ruolo, all’interno dei provvedimenti analizzati non si fa mai riferimento ai Responsabili per la protezione dei dati.
Poiché non è stata sollevata alcuna contestazione in merito dall’Autorità può essere che al momento in cui sono avvenuti i fatti tale nomina non fosse obbligatoria o che, peggio, anche se formalmente nominati all’Autorità, non siano stati coinvolti.
Leggere che “nome e cognome” in assenza di altre informazioni non rendono identificabile un soggetto è infatti un errore troppo grave per chi “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati” è chiamato a informare e fornire consulenza al titolare e a sorvegliare l’osservanza del Regolamento.