Con ordinanza-ingiunzione del 15 gennaio 2020 l’Autorità Garante per la protezione dei dati personali ha inflitto ad un ente locale pugliese una sanzione di 10.000 euro per illecito trattamento di dati personali, consistente nella pubblicazione nell’albo pretorio online di un provvedimento amministrativo contenente dati relativi alla condizione di salute dell’interessato.
Si tratta di uno dei primi provvedimenti con il quale il Garante ha sanzionato un ente locale per violazione delle disposizioni in materia di trattamento dei dati personali.
In particolare, oggetto della pubblicazione era una determinazione dirigenziale con la quale era stata disposta la liquidazione delle spese legali per un procedimento giudiziario in cui era stato parte l’ente locale e nella parte motiva risultavano riportati anche dati e informazioni personali dell’interessato, con dettagliati riferimenti alle relative infermità per cause di servizio.
Il Garante ha ritenuto che la pubblicazione del provvedimento costituisse una illecita diffusione di dati personali relativi alla salute dell’interessato, effettuata in violazione del principio di minimizzazione, poiché il provvedimento conteneva dati personali non strettamente necessari alle finalità del provvedimento e in violazione del principio di limitazione del trattamento, essendo la delibera rimasta pubblicata oltre il periodo di pubblicazione previsto dalla legge.
L’Amministrazione si è difesa sostenendo che la pubblicazione del provvedimento era stata dovuta ad un mero errore materiale del funzionario incaricato, in violazione delle indicazioni operative impartitegli. Ha inoltre rappresentato di aver intrapreso un percorso di adeguamento della propria struttura organizzativa e dei propri sistemi alla normativa in materia di protezione dei dati personali, che avrebbe incluso anche interventi sul software di gestione documentale.
Il Garante ha tenuto in considerazione tali argomenti al solo fine della determinazione dell’entità della sanzione applicabile.
Il caso recentemente deciso dall’Autorità richiama l’attenzione sull’importanza di applicare, anche nella redazione di provvedimenti amministrativi e nella loro pubblicazione online, i principi fondamentali previsti dal GDPR:
- Il principio di liceità: in base al quale devono essere raccolti e trattati soltanto i dati per cui sussista una valida base giuridica;
- Il principio di minimizzazione: in base al quale i trattamenti di dati personali devono essere limitati a quanto strettamente necessario per il perseguimento delle finalità del trattamento. Ciò implica che, nella redazione della motivazione del provvedimento devono essere omessi quei dati personali non strettamente necessari per il perseguimento delle finalità previste dalla legge e adottare misure, come la pseudonimizzazione, che non consentano una identificazione diretta degli interessati;
- Il principio di minimizzazione e limitazione della conservazione: in base al quale i dati personali dovrebbero essere conservati e trattati soltanto per il tempo strettamente necessario al perseguimento delle finalità. Ciò implica che il trattamento consistente nella diffusione dei dati tramite pubblicazione all’albo pretorio deve essere limitato, di norma, al periodo di pubblicità legale.
La Pubblica Amministrazione è tenuta a rispettare tali principi, adottando adeguate misure tecniche ed organizzative, verificando e documentando lo stato di conformità alle disposizioni in materia di protezione dei dati personali secondo il principio di responsabilità.
Tali principi sono soggetti ad un non facile bilanciamento con l'esigenza di fornire adeguata motivazione al provvedimento e assicurare la trasparenza dell'azione amministrativa.
Come è avvenuto nel caso di specie, la violazione delle disposizioni in materia di protezione dei dati personali è stata portata all’attenzione dell’Autorità Garante a seguito di un reclamo proposto dall’interessato, che ha portato all’apertura di un procedimento per la contestazione dei trattamenti illeciti effettuati dall’Amministrazione.
In caso di violazione, anche gli enti locali sono passibili delle sanzioni amministrative previste dall’art. 83 del GDPR.