Negli accertamenti sulla Carta “Dedicata a te” 2023 (380€ per famiglie con ISEE ≤ 15.000), il Garante ha contestato al Comune di Cori la pubblicazione online dell’elenco dei beneficiari sul sito istituzionale: un PDF con prime 9 lettere del codice fiscale + prime 3 lettere del cognome + data di nascita.
Perché è stato ritenuto illecito?
- Mettere un elenco sul sito è “diffusione”: i dati diventano accessibili a chiunque (non solo agli interessati).
- La “parziale oscurazione” non basta: con quelle informazioni (soprattutto in un Comune/territorio ristretto) il rischio di identificazione non è trascurabile.
- Nel 2023 la norma imponeva di “comunicare” l’assegnazione e le modalità di ritiro, ma non autorizzava la pubblicazione generalizzata dei dati personali.
- Parliamo di informazioni che rendono indirettamente riconoscibile una condizione di vulnerabilità economico-sociale: serve massima cautela per tutelare dignità e riservatezza.
Esito: violazione di GDPR (art. 6) e Codice privacy (art. 2-ter).
Sanzione: 2.000 € (con pubblicazione del provvedimento sul sito del Garante). Il Comune aveva già rimosso il PDF, quindi niente ulteriori misure correttive.
Regola pratica per tutti noi (uffici, servizi sociali, segreteria, comunicazione, trasparenza).
“Comunicare” non significa “pubblicare online nominativi o dati riconoscibili”.
Se non c’è una base giuridica chiara che impone la diffusione, la pubblicazione sul web non si fa.
Cosa fare invece (soluzioni “safe”).
Per avvisi/benefici/elenchi:
- Comunicazione individuale (PEC/email/lettera/SMS/telefono, dove possibile).
- Accesso riservato (area personale con autenticazione, es. SPID/CIE) per verificare la propria posizione.
- Se proprio serve pubblicare un elenco “consultabile”:
- usare identificativi non direttamente riconducibili alla persona per chi legge (es. numero protocollo ISEE o altro codice equivalente), come indicato per il 2024 nelle indicazioni operative;
- evitare combinazioni di dati (data di nascita, iniziali, porzioni di CF) che, soprattutto in contesti piccoli, rendono identificabili.
Cosa evitare (anche “a fin di bene” e anche se i tempi sono stretti).
- Pubblicare elenchi con iniziali, pezzi di codice fiscale, date di nascita, residenza, o altri dettagli “di contesto”.
- Ragionare così: “tanto è un piccolo Comune / il rischio è residuale”.
Il Garante dice l’opposto: nei bacini piccoli il rischio aumenta.
- “Bilanciare” da soli accettando un rischio di esposizione: la diffusione online richiede base giuridica e minimizzazione reale, non un compromesso “di prassi”
Checklist flash prima di mettere qualcosa sul sito.
- Sto diffondendo dati a soggetti indeterminati? (se online: quasi sempre sì)
- Qual è la base giuridica che impone proprio la pubblicazione?
- Posso raggiungere gli interessati con canali alternativi?
- I dati pubblicati possono far capire che la persona è in difficoltà economica/sociale?
- Il documento è davvero anonimo (non solo “pseudonimo”)? Se serve “informazione aggiuntiva” per risalire alla persona, non è anonimo
Lascia un commento