I Comuni non possono pubblicare sul proprio sito i nomi di coloro che non pagano i tributi. La legislazione statale non prevede tale obbligo ed esso non può comunque essere introdotto con un Regolamento dell’ente locale. Lo ha chiarito in diverse occasioni in Garante privacy.
Facciamo il punto sul quadro normativo di riferimento e sui diversi interventi dall’Autorità.
Il quadro normativo di riferimento
Innanzitutto, il GDPR che prevede che necessità, pertinenza e non eccedenza nel trattamento siano i principi alla base del trattamento dei dati.
L’art. 5 co.1 lett. b del Regolamento europeo prevede che i dati siano “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità” mentre alla lett. c prevede che i dati personali siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità.
Il gruppo di lavoro per la tutela delle persone per quanto riguarda il trattamento dei dati personali nel documento 11118/02/IT/def. WP65, la direttiva 95/46/CE del 24 ottobre 1955 del Parlamento Europeo e del Consiglio, visti l’articolo 29 e l’articolo 30, paragrafo 1, lettera a) e paragrafo 3 della direttiva, visto il proprio regolamento interno, in particolare gli articoli 12 e 14, ha adottato il presente documento di lavoro:
“Il Gruppo di lavoro ricorda anzitutto che il diritto della persona di proteggere i propri dati personali è un diritto fondamentale sancito dall’articolo 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, riconosciuto dalla Carta dei diritti fondamentali dell’Unione Europea”.
Il diritto fondamentale alla tutela dei dati, quale diritto indipendente e autonomo dal diritto alla vita privata e dal diritto alla riservatezza delle comunicazioni, rappresenta per la nostra società un punto di partenza e un elemento innovativo. L’esigenza di trovare il giusto equilibrio tra questo ed altri diritti fondamentali da un lato e l’insieme degli interessi pubblici e privati legittimi con ripercussioni individuali e generali dall’altro, in concomitanza con i progressi tecnici dell’importanza e della portata di cui siamo testimoni grazie ai quali è divenuto possibile diffondere, conservare e trattare quantità enormi d’informazioni in tempi brevi e a costi trascurabili, esige che si tenga conto di un aspetto assai importante delle condizioni in cui si trova un elevato numero di cittadini in circostanze che possono generare conflitti (in teoria tutti indesiderati) nel corso di operazioni commerciali, finanziarie, professionali o private.
Le liste nere il trattamento dati
L’inserimento di dati riguardanti le persone in banche dati in cui esse sono identificate in connessione a situazioni o a fatti specifici costituisce un’intrusione. Il fenomeno, sempre più comune, è noto con il nome di “liste nere”. Tali black list non si prestano facilmente a una definizione in quanto, a prescindere dalla difficoltà di definire in modo uniforme il concetto e la natura delle stesse, è necessario considerare anche le differenze causate dalle diverse normative e tradizioni giuridiche e costituzionali di ciascuno Stato membro.
Impostando in modo generale la ricerca di un possibile concetto di base, una “lista nera” può definirsi come la raccolta e la diffusione d’informazioni specifiche relative a un gruppo di persone, compilata in base a criteri particolari dettati dal tipo di lista nera in questione. In genere ciò implica effetti negativi sulle persone in essa registrate e può avere effetti discriminanti per esse, impedendo loro l’accesso a determinati servizi o ledendone la reputazione.
Un esempio di registro presente in tutti gli stati membri è quello dei debitori e dei servizi di informazione sulla solvibilità e credito.
Questo tipo di archivi rappresenta probabilmente la lista nera che più spesso interessa un elevato numero di cittadini. Il trattamento dei dati personali contenuti in questi archivi provoca un elevato numero di reclami indirizzati alle autorità europee di controllo della protezione dei dati. Per quanto riguarda questi registri bisogna anzitutto ricordare che tutti gli Stati membri possiedono normative di vario tipo in materia.
La disciplina giuridica delle black list
La creazione di tali archivi comporta una serie di consultazioni tra diverse imprese volte a raccogliere, in genere attraverso un organismo centrale, informazioni sui clienti, con conseguenze dirette e significative sulle condizioni commerciali e di fornitura dei servizi.
La disciplina giuridica di tali liste si basa sulla necessità delle imprese di possedere informazioni che consentano di valutare i rischi connessi alla fornitura di beni o di servizi a credito, in modo da conferire stabilità ed ordine alle operazioni commerciali.
In tutte queste situazioni il Garante privacy italiano ha posto in essere una serie di prescrizioni e regolamenti atti a garantire l’accesso a tali dati solo secondo regole precise e rigorose tendenti a tutelare l’interessato.
Tuttavia, queste regole nonostante nel tempo si siano incardinate nei processi dei erogazione dei servizi offerti dalle aziende finanziarie, commerciali, ed abbiano nel contempo delineato in maniera incisiva la linea di demarcazione tra interessi commerciali e tutela dei dati personali e la loro divulgazione, il Garante Italiano ancora oggi è chiamato ad intervenire a regolamentare ed in alcuni casi a sanzionare, alcune pratiche di divulgazione pubblica di dati.
Il divieto del Garante privacy
“La sacrosanta esigenza di trasparenza della Pubblica amministrazione non può trasformarsi in una grave lesione per la dignità dei cittadini interessati. Prima di mettere online sui propri siti dati delicatissimi come quelli sulla salute, le pubbliche amministrazioni, a partire da quelle più vicine ai cittadini, come i Comuni, devono riflettere e domandarsi se stanno rispettando le norme poste a tutela della privacy. E devono evitare sempre di recare ingiustificato pregiudizio ai cittadini che amministrano. Oltretutto, errori gravi e scarsa attenzione alle norme comportano come conseguenza che il Garante debba poi applicare pesanti sanzioni”. Antonello Soro, Presidente dell’Autorità Garante per la protezione dei dati personali
Questo è il commento del Garante privay Antonello Soro che si scaglia contro 10 Comuni Italiani rei di aver pubblicato online nel 2013 sui propri siti istituzionali i dati sulla salute dei cittadini, contravvenendo a quanto stabilito dal Codice Privacy prima ed oggi nel Regolamento Europeo 679/2016, che vieta esplicitamente la diffusione delle informazioni sulla salute delle persone, pertanto la pubblicazione sui portali dei Comuni violano questo principio che deve essere rispettato nonostante la legge sulla trasparenza delle Pubbliche Amministrazioni.
Un ulteriore esempio in cui il Garante italiano è stato chiamato ad intervenire lo troviamo sul registro dei provvedimenti n° 213 del 12/04/2018 nel provvedimento inibitorio il Garante, in base al Codice privacy e alla normativa sulla trasparenza, ha ritenuto illecito il trattamento messo in atto dal Comune e ha vietato l’ulteriore diffusione dei dati sullo stato di salute e delle informazioni sulle situazioni di disagio economico e sociale dei beneficiari.
L’Autorità, inoltre, ha prescritto al Comune di adottare in futuro opportuni accorgimenti nella pubblicazione degli atti e dei documenti on line, allo scopo di rispettare il divieto stabilito dalla normativa di diffondere questo tipo di dati.
Privacy vs trasparenza
Secondo quanto evidenziato dal Garante privacy, al termine di un’istruttoria avviata a seguito di un articolo di stampa nel quale si annunciava l’intenzione dell’ente locale di mettere on line una black list con i nomi dei morosi, il Comune non può introdurre l’obbligo di pubblicazione on line dei morosi con un proprio regolamento né può introdurre una nuova sanzione accessoria, quale si configurerebbe la pubblicazione on line rispetto alle sanzioni amministrative già previste legate al mancato o erroneo pagamento del tributo; tali ambiti rientrano infatti nella competenza esclusiva della legislazione statale. In secondo luogo, la diffusione on line dei nomi degli utenti morosi non è giustificata neanche dalla normativa sulla trasparenza, che individua con precisione gli obblighi di pubblicazione sui siti web istituzionali. E la medesima normativa stabilisce, invece, che le PA possano mettere on line informazioni e documenti di cui non è obbligatoria la pubblicazione solo dopo aver anonimizzato i dati personali eventualmente presenti.
