ASCOLTA ARTICOLO
|
Articolo pubblicato su altalex
Con ordinanza ingiunzione del 26 maggio 2022, il Garante privacy ha sanzionato il Comune di Afragola per aver pubblicato un curriculum vitae nella sezione trasparenza del sito senza aver oscurato i dati non necessari e per una durata superiore a quella di legge
Quando pubblicano atti e documenti on line, le Pubbliche amministrazioni devono porre la massima attenzione a non diffondere dati che non siano pertinenti rispetto alle finalità di trasparenza perseguite. Lo ha ribadito il Garante privacy nel comminare una sanzione di 10 mila euro al Comune di Afragola.
Nell’ordinanza ingiunzione in commento, l’Autorità è intervenuta su richiesta di un reclamante che lamentava la diffusione di dati personali contenuti all’interno di un curriculum vitae pubblicato sul sito web istituzionale di un Comune, con cui da tempo aveva cessato l’attività lavorativa. Con il reclamo l’interessato aveva anche fatto presente la peculiare condizione personale, in ragione della quale la diffusione dei dati avrebbe potuto comportare dei rischi per sé e per la famiglia.
Nel corso dell’istruttoria il Garante ha accertato che l’interessato aveva ricevuto riscontro alla propria istanza di opposizione al trattamento ben oltre il termine di 30 giorni previsto dalla normativa in materia di protezione dei dati e soltanto a seguito dell’invito formulato dall’Autorità garante, senza, peraltro, aver informato il reclamante dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale entro il medesimo termine, in violazione dell’art. 12, parr. 3 e 4, del Regolamento europeo 679/2016 (gdpr).
Per quanto concerne la durata della pubblicazione il Garante ha osservato che il curriculum vitae del reclamante è rimasto on line ben oltre il termine di tre anni dalla data di cessazione del rapporto di lavoro, previsto dall’art. 14, comma 2, del d.lgs. 14 marzo 2013, n. 33, per ciò solo cagionando una diffusione di dati personali in assenza di base giuridica.
Peraltro, il predetto curriculum vitae conteneva dati ulteriori rispetto a quelli necessari ad adempiere tale obbligo di legge, quali l’indirizzo di residenza, il numero di cellulare e gli indirizzi di posta elettronica privati. A tal riguardo, si evidenzia che già nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provv. 15 maggio 2014, n. 243, doc. web n. 3134436), il Garante ha chiarito che il riferimento del legislatore all’obbligo di pubblicazione del curriculum vitae non può, comunque, comportare la diffusione di dati personali che non siano pertinenti rispetto alle finalità di trasparenza perseguite. Pertanto, “prima di pubblicare sul sito istituzionale i curricula, il titolare del trattamento dovrà […] operare un’attenta selezione dei dati in essi contenuti”, omettendo di pubblicare i “dati eccedenti, quali ad esempio i recapiti personali oppure il codice fiscale degli interessati, ciò anche al fine di ridurre il rischio di c.d. furti di identità” (parte prima, par. 9.a.).
La pubblicazione dei dati afferenti alla sfera personale del reclamante sopra menzionati non possono, infatti, ritenersi “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c. gdpr); cfr., con riguardo alla pubblicazione online di curriculum vitae contenenti dati personali non necessari rispetto alle finalità perseguite, provv. 16 dicembre 2021, n. 448, doc. web n. 9742923 e provv. del 29 aprile 2021, n. 171, doc. web n. 9682169, nonché i precedenti provv. in essi richiamati).
Non sono state ritenute accoglibili le ragioni dell’Ente comunale, il quale ha sostenuto che la pubblicazione del curriculum vitae del reclamante sarebbe dipesa dalla condotta negligente del fornitore cui era stata affidata la gestione della pagina “Amministrazione Trasparente” del proprio sito web istituzionale.
Come è noto, al contrario, è il titolare del trattamento il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati e che ha una “responsabilità generale” sui trattamenti posti in essere (cons. 79 gdpr; v. artt. 5, par. 2, c.d. principio di “responsabilizzazione”, e 24 gdpr), anche quando talune operazioni di trattamento siano poste in essere da un responsabile per suo conto, sulla base delle istruzioni impartite dal titolare (cfr., da ultimo, provv. 10 febbraio 2022, n. 43, doc. web n. 9751498 e i precedenti provvedimenti ivi richiamati; v. anche le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, spec. par. 174).
A tal riguardo, si evidenzia che, in base all’art. 28, par. 3, lett. g) gdpr, l’accordo sulla protezione dei dati, che il titolare e il responsabile sono tenuti a stipulare prima di iniziare il trattamento, deve specificamente prevedere che “il responsabile del trattamento […] su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati”. Spetta, pertanto, al titolare, assumere, tra le altre, anche le decisioni in merito alla cancellazione o alla restituzione dei dati personali oggetto di trattamento, impartendo le necessarie indicazioni al responsabile e vigilando affinché le stesse siano correttamente eseguite. Ciò anche al fine di evitare che il titolare non perda il pieno controllo sui dati che, come in questo caso, deve trattare per assolvere specifici obblighi di legge (con riguardo ai possibili rischi derivanti dall’assenza o dell’inidonea regolamentazione del rapporto con il responsabile del trattamento, v. provv. 17 settembre 2020, n. 160, doc. web n. 9461168).
Nel caso di specie, il Comune non ha dimostrato di aver impartito al proprio fornitore – né nel corso del rapporto contrattuale né alla sua cessazione – adeguate indicazioni ai fini della corretta gestione del ciclo di vita dei dati personali trattati per proprio conto.
La diffusione dei dati personali del reclamante, è stata ritenuta, per i suesposti motivi, imputabile al Comune, in quanto titolare del trattamento poiché avvenuta in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “minimizzazione dei dati” ed in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e c), e 6 gdpr, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).
Nel determinare l’ammontare della sanzione il Garante privacy ha tenuto favorevolmente in considerazione che la violazione non ha riguardato categorie particolari di dati personali e ha coinvolto un solo interessato. Il titolare ha inoltre fornito assicurazioni in merito alle modalità con cui in futuro provvederà a pubblicare atti e documenti contenenti dati personali sul proprio sito web istituzionale.