Caso
Comune di Isola del Gran Sasso d’Italia
Ex dipendente presenta reclamo: il Comune pubblica sull’Albo Pretorio due delibere contenenti informazioni su un procedimento penale a suo carico (dati giudiziari), senza oscuramento, nonostante richiesta di cancellazione.
Fatti principali
- Nel 2021 pubblicate due delibere con riferimenti a procedimento penale della dipendente.
- Dipendente chiede rimozione → RPD e Segretario comunale suggeriscono oscuramento, non eseguito.
- Errore dovuto a mancata selezione del “flag privacy” nel gestionale e mancato controllo finale.
- Durata pubblicazione: 15 giorni per ciascuna delibera.
- Nessun riscontro formale alla richiesta dell’interessata.
Esito istruttoria
Violazioni riscontrate
| Norma | Violazione |
| Art. 5, par. 1, lett. a) GDPR | Liceità , correttezza, trasparenza |
| Art. 6 e 10 GDPR | Mancanza base giuridica per diffusione dati giudiziari |
| Art. 2-ter e 2-octies Codice Privacy | Diffusione dati giudiziari senza norma |
| Art. 12, par. 3-4 e 17 GDPR | Mancato riscontro alla richiesta di cancellazione |
Comune responsabile come titolare, anche se errore di dipendenti.
Principi ribaditi dal Garante
- Trasparenza ≠ pubblicazione automatica
- Dati personali (specie giudiziari) possono essere pubblicati solo se previsto da norma.
- Necessario controllo ex ante degli atti prima della pubblicazione.
- PA deve garantire privacy by design & by default (artt. 24-25 GDPR).
- Obbligo di rispondere entro un mese alle richieste degli interessati.
Circostanze considerate
- Piccolo Comune (circa 4.000 abitanti)
- Violazione colposa
- Breve pubblicazione, non indicizzata
- Presenza di procedure privacy (flag privacy), ma non applicate
- Nessun precedente
- Collaborazione durante istruttoria
Sanzione
- € 3.000 (determinata tenendo conto delle attenuanti)
- Pubblicazione del provvedimento sul sito del Garante
- Possibilità di pagamento ridotto del 50% entro 30 giorni
Lezioni operative per gli Enti
Obblighi chiave
- ✅ Controllo preventivo su atti da pubblicare
- ✅ Minimizzare dati e oscurare dove necessario
- ✅ Rispetto tempi risposta alle istanze privacy (30 giorni)
- ✅ Formazione personale e procedure chiare
- ✅ Supervisione RPD ascoltata e applicata
Errori da evitare
- ❌ Pubblicare atti “come sono” senza verifica
- ❌ Ignorare le indicazioni del DPO/Segretario
- ❌ Non rispondere formalmente alle richieste privacy
Messaggio finale
Questo caso dimostra che:
- Anche piccoli Comuni sono pienamente responsabili.
- Gli errori “umani” nel processo di pubblicazione non esonerano la PA.
- Serve una filiera di controllo, formazione e rispetto delle procedure privacy nei processi di trasparenza.
Pubblicità amministrativa sì — ma con cautela e rispetto del GDPR.
Lascia un commento