Il caso in sintesi
Un recente provvedimento del Garante per la protezione dei dati personali ha riguardato un Comune che aveva pubblicato sull’Albo Pretorio online alcune delibere contenenti dati personali – anche particolarmente delicati – riferiti a una dipendente (Segretario generale).
Nonostante l’uso delle sole iniziali, la persona risultava facilmente identificabile. Negli atti erano presenti informazioni su:
- stato di gravidanza e maternità
- fruizione del congedo parentale
- assenze per malattia (quindi dati relativi alla salute)
Tali documenti sono rimasti accessibili online anche oltre i termini di legge, inclusa la sezione “Albo Pretorio storico”.
Le violazioni accertate
Il Garante ha ritenuto illecito il trattamento per diverse ragioni fondamentali:
1. Diffusione di dati sanitari (divieto assoluto)
I dati relativi alla salute non possono mai essere diffusi online, nemmeno indirettamente (es. indicazione di assenze per malattia).
2. Violazione dei principi GDPR
In particolare:
- Minimizzazione: sono stati pubblicati più dati del necessario
- Liceità e trasparenza: mancava una base giuridica adeguata per la diffusione
- Privacy by design e by default: assenti adeguate misure tecniche e organizzative
3. Errata applicazione della “pubblicità legale”
Il fatto che un atto debba essere pubblicato non giustifica automaticamente la diffusione di dati personali, soprattutto se sensibili.
4. Identificabilità indiretta
Anche senza nome e cognome, una persona è identificabile quando:
- il ruolo è unico (es. Segretario generale)
- il contesto rende evidente l’identità
- Questo punto è cruciale: anonimizzare non significa solo togliere il nome.
5. Conservazione oltre i termini
La pubblicazione è proseguita oltre i 15 giorni previsti, anche a causa di automatismi informatici non controllati.
Le difese del Comune (e perché non sono bastate)
Il Comune ha sostenuto che:
- si trattava di un errore tecnico/organizzativo
- non vi era volontà di diffondere dati personali
- sono state adottate misure correttive (oscuramento, formazione, nuovo DPO)
Il Garante ha riconosciuto la collaborazione e le azioni correttive, ma ha ribadito un principio chiave:
La responsabilità del titolare è oggettiva e non viene meno per errori tecnici o mancanza di consapevolezza (principio di accountability).
Sanzione
Il Comune è stato sanzionato con:
- € 5.000 di multa amministrativa
- pubblicazione del provvedimento sul sito del Garante
La violazione è stata considerata di gravità media, ma aggravata dalla presenza di dati sulla salute.
Cosa dobbiamo imparare (indicazioni operative)
Per tutti i dipendenti coinvolti nella gestione di atti amministrativi:
Prima di pubblicare un atto:
- verificare se contiene dati personali
- eliminare o oscurare dati non necessari
- prestare massima attenzione ai dati su salute, maternità, assenze
Ricordare sempre che:
- la pubblicazione online = diffusione
- i dati sanitari non si pubblicano mai
- anche dati indiretti possono identificare una persona
Sul piano organizzativo:
- controllare i sistemi informatici (es. Albo storico)
- rispettare i tempi di pubblicazione (max 15 giorni)
- applicare criteri standard di anonimizzazione
Questo provvedimento conferma che la trasparenza amministrativa deve sempre convivere con la tutela dei dati personali.
Pubblicare un atto non significa pubblicare “tutto”.
Ogni dato in più è un rischio in più.
La protezione dei dati non è solo un obbligo normativo, ma una responsabilità concreta verso le persone
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10243180
Lascia un commento