«La trasparenza non può diventare una violazione della privacy. Pubblicare online è una forma di diffusione pubblica: servono regole, prudenza e controlli.»
Pubblicazione di atti e dati personali sul sito istituzionale / Amministrazione Trasparente
Riferimento normativo
Provvedimento del Garante per la Protezione dei Dati Personali – 11 settembre 2024 (caso Ente Parco Migliarino San Rossore Massaciuccoli)
Riferimenti: artt. 5, 6, 10 GDPR – artt. 2-ter e 2-octies Codice Privacy – Linee guida Garante 2014 e 2007.
1️⃣ Cosa è successo (caso reale)
Un ente pubblico ha pubblicato per errore i verbali di una selezione con:
– dati di 45 candidati (nome, protocollo, titoli, documenti);
– autodichiarazioni su condanne o procedimenti penali di 7 persone.
I documenti erano indicizzati dai motori di ricerca. L’Ente ha poi rimosso e deindicizzato, ma il Garante ha sanzionato con € 8.000 per diffusione illecita di dati personali e di dati giudiziari.
2️⃣ Principi da ricordare
|
Principio |
Cosa significa operativamente |
|
Liceità e trasparenza |
Pubblica solo ciò che una norma impone e che è realmente necessario per la finalità. |
|
Minimizzazione |
Oscura o elimina dati superflui (codici, firme, documenti d’identità, riferimenti penali). |
|
Limitazione della diffusione |
Internet = “diffusione al pubblico”: serve base legale specifica. |
|
Accountability |
Ogni pubblicazione deve poter essere giustificata e tracciata. |
|
Privacy by default e by design |
Imposta i sistemi in modo che solo i dati indispensabili siano visibili. |
3️⃣ Cosa NON si può pubblicare
❌ Dati su condanne, procedimenti penali, reati
❌ Dati sanitari, disabilità o assenze per malattia
❌ Dati di familiari, recapiti personali, firme
❌ Copie di documenti d’identità o titoli di studio completi
❌ CV integrali o allegati contenenti dati non pertinenti
4️⃣ Cosa si può pubblicare (solo se previsto da norma)
✔ Nomi e cognomi di candidati ammessi
✔ Esiti finali, punteggi e graduatorie nei limiti previsti
✔ Atti deliberativi e determine con oscuramento selettivo
✔ Documenti amministrativi privi di dati particolari (tramite redazione/omissis)
5️⃣ Procedura operativa “pubblicazione sicura”
Prima della pubblicazione:
1. Verifica base giuridica.
2. Valuta minimizzazione.
3. Applica oscuramenti/omissis.
4. Controllo incrociato con collega o RPD/DPO.
5. Imposta noindex/noarchive se necessario.
Dopo la pubblicazione:
6. Conserva versione riservata.
7. Registra chi ha pubblicato e quando.
8. Verifica periodica e rimozione documenti scaduti.
In caso di errore (data breach):
– Rimuovi subito il documento.
– Avvisa il DPO/RPD.
– Deindicizza dai motori.
– Rispondi all’interessato entro i termini.
6️⃣ Formazione e responsabilità
• Tutti i dipendenti coinvolti nella pubblicazione devono ricevere formazione privacy.
• Ogni ufficio individua un referente per la pubblicazione.
• L’Ente mantiene una checklist interna aggiornata.
7️⃣ Mini-checklist “OK alla pubblicazione”
8️⃣ Messaggio chiave del Garante
«La trasparenza non può diventare una violazione della privacy. Pubblicare online è una forma di diffusione pubblica: servono regole, prudenza e controlli.»
Lascia un commento