Approfondimento di Pietro Alessio Palumbo

Approfondimento di Pietro Alessio Palumbo                                                                               

Trasparenza e Albo Pretorio: attenzione alla privacy, sanzioni fino a 20.000 euro

Pietro Alessio Palumbo

Dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile. Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero, dati relativi all'ubicazione, un identificativo online, uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Per rafforzare il rispetto delle norme a tutela della privacy, il Garante della Riservatezza può irrogare pesanti sanzioni pecuniarie. In caso di violazione minori può invece essere rivolto un mero ammonimento.

Vanno considerati: la natura, la gravità e la durata della violazione; il carattere doloso della stessa e le misure per attenuare un possibile danno; il grado di responsabilità; eventuali precedenti violazioni; il modo in cui l'Autorità di controllo ha avuto conoscenza della violazione; il rispetto dei provvedimenti disposti nei confronti del titolare del trattamento o del responsabile del trattamento; l'adesione a codici di condotta; fattori aggravanti o attenuanti.

L'imposizione di sanzioni, comprese sanzioni amministrative pecuniarie è sempre soggetta a garanzie procedurali appropriate, in conformità ai principi nazionali ed eurounitari vigenti, inclusi sempre e in ogni caso l'effettiva tutela giurisdizionale e il giusto processo.

Al fine di rafforzare e armonizzare le sanzioni amministrative applicabili, il Garante Privacy deve specificare per la sanzione amministrativa pecuniaria inflitta, tutte le circostanze pertinenti alla situazione specifica, ed in particolare la natura, gravità e durata dell'infrazione e relative conseguenze, nonché le misure adottate per assicurare la conformità agli obblighi previsti.

In ogni caso le sanzioni inflitte devono essere effettive, proporzionate e dissuasive.

Più precisamente, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa al caso concreto, il Garante deve tener conto dei seguenti elementi:

a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;

b) il carattere doloso o colposo della violazione;

c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;

d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto;

e) eventuali precedenti violazioni pertinenti, commesse dal titolare del trattamento o dal responsabile del trattamento;

f) il grado di cooperazione con l'Autorità Privacy al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;

g) le categorie di dati personali interessate dalla violazione;

h) la maniera in cui l'autorità di controllo ha avuto contezza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;

i) qualora siano stati precedentemente disposti provvedimenti nei confronti del titolare del trattamento o del responsabile del trattamento, il rispetto di tali provvedimenti;

j) l'adesione ai codici di condotta o ai meccanismi di certificazione;

k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

In relazione alla tipologia di violazione ai diritti/interessi lesi, le sanzioni del Garante possono ammontare fino a massimali di 10.000 euro ovvero 20.000 come nel caso mancata “minimizzazione dei dati” (i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati) ovvero in caso di mancate cautele nel trattamento di dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, dati genetici, dati personali biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

Tali dati, in nessun caso possono essere diffusi da Enti e Pubbliche amministrazioni, ancorché per finalità di Trasparenza e controllo sociale degli atti e attività pubblici ovvero per finalità di Pubblicità legale agli Albi Pretori.

Il Provvedimento Garante Privacy n.3/2020

Nel caso esaminato nel recente Provvedimento 3/2020 (nel file allegato), il Garante Privacy aveva ricevuto un reclamo da parte di un cittadino, in ordine alla pubblicazione sul sito web istituzionale del Comune dei propri dati e informazioni personali.

Risultava che sul sito web istituzionale del Comune, nella sezione dedicata all’Albo Pretorio era visibile e liberamente scaricabile una Determinazione dirigenziale con cui veniva disposta la liquidazione delle spese legali per un procedimento giudiziario in cui era stato parte il Comune.

Nella parte motiva risultavano riportati anche dati e informazioni personali del reclamante, con dettagliati riferimenti alle relative infermità per cause di servizio, e l’indicazione che lo stesso aveva diritto ad un equo indennizzo.

Nella stessa deliberazione risultavano inoltre riportati anche le coordinate IBAN dell’avvocato incaricato dall’Ente.

Al riguardo, il Comune aveva fornito riscontro alla richiesta di informazioni del Garante.

Il Comune rappresentava che per refuso e mero errore materiale, contrariamente alle disposizioni operative impartite al personale addetto, era stato erroneamente pubblicato il documento oggetto del reclamo.

Il suddetto documento non risultava più consultabile in Rete, né con i normali motori di ricerca, tantomeno con quelli propri del sito web del Comune.

Il Comune chiariva ulteriormente che gli interventi formativi somministrati al personale operativo e con funzioni dirigenziali, pur avendo sviscerato il tema della trasparenza amministrativa non potevano tuttavia impedire l’errore umano.

La decisione

Dalle verifiche compiute sulla base degli elementi acquisiti, anche attraverso la documentazione inviata dal Comune, dai fatti emersi a seguito dell’attività istruttoria e successive valutazioni, il Garante ha accertato che il Comune in questione con la pubblicazione integrale della citata Determinazione sul sito web istituzionale, nella sezione dedicata all’Albo Pretorio, ha effettuato un trattamento non conforme alla disciplina in materia di protezione dei dati personali.

Il Garante ha innanzitutto proceduto alla notifica delle violazioni al Comune, comunicandogli l’avvio del procedimento per l’adozione dei provvedimenti sanzionatori, invitandolo a inviare scritti difensivi o documenti, ed eventualmente a chiedere di essere sentito dall’Autorità.

Tuttavia secondo il Garante le argomentazioni addotte dal Comune non risultano idonee a determinare l’archiviazione del procedimento: si rileva l’illiceità del trattamento di dati personali effettuato dal Comune per aver diffuso, tramite la pubblicazione sull’Albo Pretorio online della Determinazione in questione, dati sulla salute del cittadino reclamante, con dettagliati riferimenti alle relative infermità per cause di servizio, in infrazione della disciplina a tutela della riservatezza.

Secondo il Garante, pari infrazione della disciplina a tutela della riservatezza rispetto alle finalità del trattamento, è rinvenibile con riferimento alla indicazione in chiaro delle coordinate IBAN dell’avvocato incaricato dall’Ente.

A giudizio del Garante tali violazioni rientrano nella tipologia delle pesanti sanzioni pecuniarie con massimale di 20.000 euro. Tuttavia chiarisce l’Autorità va operata la considerazione della natura, della gravità, della durata della violazione e delle finalità del trattamento in questione.

Ebbene la diffusione si è protratta per un periodo superiore a due mesi.

Ciò nonostante il Comune ha rappresentato che la violazione sarebbe stata causata da un errore materiale degli addetti alla compilazione degli atti deliberativi, con conseguente carattere colposo della violazione.

Anzi, il Comune si è attivato per rimuovere i dati personali dei soggetti interessati, appena ricevuta la richiesta di informazioni da parte del Garante ed ha quindi in tutta evidenza collaborato con l’Autorità nel corso dell’istruttoria del procedimento al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi.

Inoltre non sussistono analoghe precedenti violazioni del Comune in questione.

Corollario della vicenda e dei suddetti elementi valutati nel loro complesso, è che il Garante Privacy ha ritenuto di dover determinare nella misura della metà il massimale di sanzione irrogabile.

10.000,00 euro, sono dunque apparsi all’Autorità della Riservatezza, la sanzione proporzionata e, nondimeno, dissuasiva per il caso concreto.

8 febbraio 2020