Che cosa è successo
Un’amministrazione scolastica ha pubblicato sul proprio sito una graduatoria contenente dati di oltre 1.300 persone. Oltre ai nominativi, erano presenti indirizzo di residenza, email personale, numero di telefono e codice fiscale. La pubblicazione è stata ricondotta a un errore umano.
Anche dopo la rimozione dal sito istituzionale, la graduatoria è rimasta reperibile onlineperché copiata e ripubblicata su un sito terzo, non riconducibile all’ente: il Garante evidenzia così un punto cruciale, cioè che una volta messi in rete, i dati possono rimanere online a lungo e fuori controllo.
Il principio chiave: “trasparenza” non significa “pubblicare tutto”
Il Garante ribadisce che anche quando un ente pubblico pubblica atti per ragioni di trasparenza (es. graduatorie, elenchi, avvisi), non c’è alcun automatismo:
la pubblicazione deve rispettare sempre il GDPR, in particolare:
• liceità, correttezza, trasparenza (art. 5.1.a GDPR)
• minimizzazione: pubblicare solo dati adeguati, pertinenti e necessari (art. 5.1.c GDPR)
• base giuridica: la diffusione online deve essere davvero necessaria rispetto a un obbligo di legge o a un compito di interesse pubblico (art. 6 GDPR; art. 2-ter Codice privacy)
Quali dati NON vanno messi online (salvo norma specifica)
Il Garante richiama un orientamento costante: nelle graduatorie/elenchi non devono essere diffusi (cioè resi pubblici sul web) dati come:
• recapiti personali (telefono, email personale)
• indirizzo di residenza/domicilio
• codice fiscale
• e in generale dati non indispensabili allo scopo della pubblicazione (e, a maggior ragione, dati “particolari” come quelli sulla salute)
Messaggio operativo: se non è strettamente necessario e previsto, non si pubblica.
Perché la pubblicazione online è “più invasiva”
La diffusione sul web è considerata particolarmente rischiosa perché:
• rende i dati trovabili da chiunque anche tramite motori di ricerca;
• consente riutilizzi e incroci con altre informazioni online;
• può produrre una “coda lunga”: anche dopo la rimozione, copie e versioni cache possono restare accessibili.
Responsabilità dell’ente (anche se l’errore è umano)
Il fatto che l’evento sia dipeso da un errore involontario non elimina la responsabilità del titolare del trattamento: l’ente deve dimostrare (principio di accountability) di aver messo in atto misure tecniche e organizzative adeguate e impostazioni “privacy by default”.
In pratica, per il Garante non basta dire “è stato un errore”: servono procedure e controlliche riducano la probabilità che accada.
Esito del caso: violazione e sanzione
Il Garante ha dichiarato illecito il trattamento (diffusione online di dati eccedenti e non necessari) e ha applicato una sanzione pecuniaria (nel caso specifico, quantificata in modo contenuto anche perché l’ente ha collaborato e ha rimosso dal proprio sito, attivandosi per la cancellazione altrove).
Cosa cambia per noi (ente locale): regole pratiche per tutti
Da questo provvedimento ricaviamo indicazioni operative molto concrete:
1. Prima di pubblicare un documento sul sito/Albo/Amministrazione trasparente: verificare che contenga solo i dati necessari.
2. Non pubblicare recapiti personali, indirizzi, CF, dati eccedenti: se presenti, oscurare/omissare prima della messa online.
3. Usare modelli e flussi approvati (template, checklist, doppio controllo): la pubblicazione sul web va trattata come attività ad alto rischio.
4. Se ci accorgiamo di un errore: segnalare subito al responsabile del procedimento e al DPO per attivare rimozione e gestione dell’eventuale data breach.
5. In dubbio, chiedere prima: meglio una verifica preventiva che una pubblicazione non conforme.
Lascia un commento