L’Autorità garante per la protezione dei dati personali, con un’ordinanza ingiunzione del 15 gennaio 2020, ha applicato una sanzione amministrativa di euro 10.000 euro a un Comune italiano per illecita pubblicazione all’albo pretorio online di dati personali contenuti in una determinazione dirigenziale.
Il Garante privacy ha contestato all’Amministrazione comunale di aver effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia in quanto:
- venivano diffusi dati relativi alla salute dell’interessato, con specificazione della patologia sofferta;
- veniva pubblicato il codice IBAN del professionista incaricato dal Comune per la difesa in giudizio;
- la pubblicazione del provvedimento amministrativo, e quindi dei dati personali, si protraeva per un periodo superiore a quello previsto dalla normativa vigente.
In particolare, l’Autorità garante ha rilevato nel caso di specie il mancato rispetto dei principi indicati nell’articolo 5 del Gdpr, fra cui quelli di minimizzazione dei dati, secondo il quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, e la violazione del divieto assoluto di diffusione di dati relativi alla salute, di cui all’articolo 9 del Gdpr.
Il precedente sanzionato secondo il codice privacy
L’ordinanza del Garante privacy italiano appare coerente con la posizione assunta dalla medesima Autorità già da prima dell’entrata in vigore del Gdpr.
Già nel 2007, sotto la vigenza del codice privacy e ancor prima dell’introduzione dell’albo pretorio online, il Garante privacy aveva infatti emanato delle linee guida sul trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti degli enti locali, con le quali specificava che la pubblicazione dei provvedimenti amministrativi online, contenenti dati personali, per finalità di trasparenza e di comunicazione delle pubbliche amministrazioni, dovesse sempre avvenire nel rispetto dei principi di pertinenza, non eccedenza e indispensabilità.
L’introduzione, con legge n. 69/2009, dell’obbligo di pubblicare online atti e documenti per i quali era prevista l’affissione all’albo pretorio, ha reso ancor più delicato il rapporto tra privacy e trasparenza amministrativa. Infatti, se con la pubblicazione degli atti all’albo pretorio “analogico” rivestiva carattere locale, essendo questo di norma collocato all’interno delle case comunali, con la digitalizzazione dell’albo e la pubblicazione dei contenuti sul sito web dell’ente locale, le informazioni pubblicate acquisiscono carattere ubiquitario, in quanto potenzialmente accessibili da chiunque sia connesso ad internet da qualunque parte del globo.
La necessità, quindi, di un corretto trattamento dei dati personali contenuti negli atti oggetto di pubblicazione, in conformità ai principi del Gdpr, si fa ancora più importante.
La pubblicazione online di dati personali contenuti negli atti è giustificata dal dover adempiere ad un obbligo di legge, ai sensi dell’articolo 6, paragrafo 1, lettera b) del Regolamento (UE) 2016/679.
La fonte normativa per l’albo pretorio online e la privacy
La principale fonte normativa che prevede i casi in cui gli atti amministrativi debbano essere pubblicati all’albo pretorio è il testo unico delle leggi sull’ordinamento degli enti locali. Le singole disposizioni, oltre a prevedere quale atto sia oggetto di pubblicazione, prevede anche il tempo per cui l’atto deve restare pubblicato. Ad esempio, è prevista la pubblicazione all’albo pretorio:
- di tutte le deliberazioni del comune e della provincia, per quindici giorni consecutivi;
- dello statuto comunale e provinciale, per trenta giorni consecutivi;
- della lista dei candidati alle elezioni comunali e provinciali e del programma amministrativo, fino al giorno delle elezioni.
Pubblicazioni in linea con le disposizioni normative
Specifiche disposizioni normative dettano, inoltre, ulteriori obblighi di pubblicazione di atti, quali pubblicazioni di matrimonio, ordinanze, determinazioni dirigenziali.
In tali casi, come esplicitato anche dal Garante privacy, la pubblicazione degli atti è perfettamente lecita, purché sia effettuata per il tempo previsto e con le modalità previste dalla legge e non abbia ad oggetto categorie particolari di dati, salvo casi espressamente previsti dalla legge.
Ciò significa che è, ad esempio, lecito pubblicare una deliberazione comunale contenente dati personali, ma solo per quindici giorni consecutivi, omettendo, però, l’indicazione di dati di cui all’articolo 9 del Gdpr. Decorsi i quindici giorni previsti dalla legge, il mantenimento della pubblicazione online dell’atto costituirebbe un illecito trattamento di dati personali, in quanto non sorretto da alcuna norma di legge o regolamento.
Per mantenere pubblicate le delibere oltre tale termine, ad esempio nelle sezioni denominate albo storico o altre sezioni del sito web, l’ente deve provvedere ad anonimizzare l’atto, cioè elidere dallo stesso tutti i dati personali presenti.