Privacy
Rassegna di giurisprudenza in merito alla privacy
Trattamento in ambito giudiziario: presupposti e limiti Il trattamento dei dati personali in ambito giudiziario, anche nel vigore della disciplina di cui al d.lgs. n. 196 del 2003, non è soggetto all'obbligo di informazione ed alla previa acquisizione del consenso purché i dati siano inerenti al campo degli affari e delle controversie giudiziarie che ne scrimina la raccolta, non siano utilizzati per finalità estranee a quelle di giustizia in ragione delle quali ne é avvenuta l'acquisizione e sussista il provvedimento autorizzatorio. (Nella specie la S.C. ha confermato la sentenza impugnata di accoglimento dell'opposizione proposta avverso l'ordinanza-ingiunzione con cui l'Autorità Garante aveva intimato ad un consulente tecnico nominato dal P.M. ex art. 359 c.p.p. il pagamento di una somma a titolo di sanzioni per aver costituito una banca dati in cui aveva fatto confluire le risultanze acquisite nel corso dello svolgimento di n. 351 incarichi peritali) (Cassazione civ. 17 gennaio 2022, n. 1263)
Illecito controllo di metadati delle e-mail di dipendenti. No al controllo dei metadati della posta elettronica dei dipendenti senza adeguate tutele per la riservatezza e in violazione delle norme che limitano il controllo a distanza dei lavoratori. Questa la decisione del Garante per la privacy nei confronti della Regione Lazio, cui ha comminato una sanzione di 100.000 euro e vietato i trattamenti tuttora in corso. Il caso nasce dalla segnalazione di un sindacato che aveva lamentato un monitoraggio posto in essere dall’amministrazione sulla posta elettronica del personale in servizio presso gli uffici dell’avvocatura regionale. Nel corso dell’istruttoria, l’ente pubblico aveva dichiarato di aver avviato una verifica interna sulla base del sospetto di una possibile rivelazione a terzi di informazioni protette dal segreto d’ufficio. Oggetto del monitoraggio, i metadati relativi ad orari, destinatari, oggetto delle comunicazioni, peso degli allegati. Il Garante ha accertato che la Regione aveva potuto effettuare il monitoraggio del personale dell’avvocatura, in particolare dei dipendenti che inviavano messaggi a uno specifico sindacato, sfruttando i dati conservati per generiche finalità di sicurezza informatica per 180 giorni, in assenza di idonei presupposti giuridici violando così i principi di protezione dei dati e delle norme sul controllo a distanza. Nel provvedimento, l’Autorità ha chiarito che la generalizzata raccolta e l’estesa conservazione dei metadati della posta elettronica - che in quanto forma di corrispondenza è tutelata dalla Costituzione - non sono strumentali allo “svolgimento della prestazione” del dipendente, ai sensi dello Statuto dei lavoratori. In questi casi, infatti, il datore deve avviare le specifiche procedure di garanzia (accordo sindacale o autorizzazione pubblica) previste dalla legge. Il trattamento di dati personali posto in essere ha, tra l’altro, consentito al datore di lavoro di entrare in possesso di informazioni relative anche alla sfera privata dei dipendenti, a partire dalle loro opinioni, contatti e fatti non attinenti all’attività lavorativa. Oltre alla sanzione amministrativa di 100.000 euro, il Garante ha vietato alla Regione Lazio ogni ulteriore operazione di trattamento dei metadati relativi all’utilizzo della posta elettronica dei lavoratori e disposto la cancellazione di quelli illecitamente raccolti (Ordinanza di ingiunzione nei confronti di Regione Lazio - 1 dicembre 2022 [9833530]).
La generalizzata raccolta e l’estesa conservazione dei metadati della posta elettronica - che in quanto forma di corrispondenza è tutelata dalla Costituzione - non sono strumentali allo “svolgimento della prestazione” del dipendente, ai sensi dello Statuto dei lavoratori. In questi casi, infatti, il datore deve avviare le specifiche procedure di garanzia (accordo sindacale o autorizzazione pubblica) previste dalla legge. Il trattamento di dati personali posto in essere ha, tra l’altro, consentito al datore di lavoro di entrare in possesso di informazioni relative anche alla sfera privata dei dipendenti, a partire dalle loro opinioni, contatti e fatti non attinenti all’attività lavorativa. Oltre alla sanzione amministrativa di 100.000 euro, il Garante ha vietato alla Regione Lazio ogni ulteriore operazione di trattamento dei metadati relativi all’utilizzo della posta elettronica dei lavoratori e disposto la cancellazione di quelli illecitamente raccolti (Garante privacy, provvedimento, 1 dicembre 2022)
Gli indirizzi PEC sono dati personali. Veniva accertato che una dipendente del Comune aveva inviato un messaggio di posta elettronica certificata a nove partecipanti a una prova concorsuale, con gli indirizzi di posta elettronica degli stessi in chiaro, così rivelando gli indirizzi di posta elettronica di tutti i candidati. In questo modo, inoltre, veniva resa nota la circostanza che i destinatari - tutti candidati nell’ambito della procedura indetta dal Comune - avessero chiesto al Comune un cambio del proprio turno per effettuare una prova preselettiva. L’invio del messaggio di posta elettronica certificata con le predette modalità – che, come ammesso dal Comune, è stato effettuato in conseguenza di un errore commesso da una propria dipendente - ha comportato una comunicazione di dati personali in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo). La condotta è stata sanzionata dal Garante con una ammonizione al titolare del trattamento (Garante privacy, provvedimento,15 dicembre 2022)
Anonimizzazione degli atti. L’uso del pennarello nero o del bianchetto non rappresenta una modalità efficace per rendere anonimi i dati personali degli utenti che vengono pubblicati on line. Anche nella pubblicazione dei feedback positivi sulla loro attività, le amministrazioni pubbliche devono tener presente la disciplina privacy, specialmente quando si tratta di dati sanitari. È quanto sottolinea il Garante per la protezione dei dati personali al termine di una istruttoria che ha portato una sanzione di 50mila euro per l’Azienda sanitaria locale di Bari. A seguito di una segnalazione giunta all’Autorità, è emerso infatti che la Asl, nel corso di sei anni, ha diffuso informazioni sullo stato di salute di centinaia di interessati all’interno di una sezione del sito istituzionale, denominata “Parlano bene di noi” e dedicata a raccogliere gli elogi ricevuti da utenti e associazioni. Lo scopo era dunque quello di informare sul miglioramento dei rapporti con i cittadini, ma nei documenti consultabili on line (copie scansionate degli appositi moduli di ringraziamento, e-mail e lettere) erano presenti dati anagrafici e di contatto degli assistiti e numerose informazioni relative allo stato di salute dei soggetti che avevano presentato l’elogio, come dettagli clinici degli interventi o delle prestazioni ricevute, diagnosi, anamnesi. In alcuni elogi pubblicati, i riferimenti erano stati cancellati, in modo approssimativo, con il tratto di un pennarello nero, che non impediva di leggere le parti oscurate e da cui era possibile identificare gli autori. Nel sanzionare la struttura, il Garante ha ricordato che la disciplina privacy impedisce la diffusione delle informazioni sullo stato di salute e che tali dati possono essere comunicati a un soggetto diverso dall’interessato solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso. L’Autorità, ha inoltre osservato che la procedura di cancellazione manuale con pennarello o con bianchetto, per sua natura imprecisa e non definitiva, non può essere definita idonea a rendere anonime le informazioni personali degli interessati, né può definirsi una procedura di “pseudonimizzazione”, anche se eseguita in modo efficace, quanto piuttosto una semplice procedura manuale di oscuramento delle generalità degli interessati (Garante Privacy, provvedimento, 2 marzo 2023)
Trattamento senza consenso. Eccezioni. In tema di tutela della riservatezza, il trattamento di dati personali senza il consenso dell'interessato, purché effettuato nel rispetto del criterio della "minimizzazione" del loro uso, è consentito ove sia indispensabile per la tutela di interessi vitali della persona che li divulga o della sua famiglia, fermo restando che la valutazione della liceità del trattamento, nel rispetto di tali principi, è questione di fatto non censurabile in cassazione. (Nella specie, la S.C. ha confermato la pronuncia di merito che aveva ritenuto legittima la comunicazione all'autorità di pubblica sicurezza di alcuni dati sanitari relativi alla salute psichica del titolare di un porto d'armi, finalizzata alla sua revoca, effettuata da una persona che in precedenza era stata minacciata e che era venuta legittimamente in possesso di tali dati, poiché riportati in documenti prodotti in un giudizio civile del quale entrambi erano stati parte) (Cassazione civ., 28 marzo 2022, n. 9922)
Consenso espresso nel contesto lavorativo. Di regola non rende legittima la pubblicazione di dati non necessaria. Nel contesto lavorativo, il consenso non può, di regola, “costituire un valido fondamento giuridico per il trattamento dei dati personali”, sussistendo “un evidente squilibrio tra l’interessato e il titolare del trattamento” (considerando n. 43 del Regolamento; cfr. il par. 21 delle “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679” adottate il 4 maggio 2020 dal Comitato europeo per la protezione dei dati, ove si afferma che “lo squilibrio di potere sussiste anche nel contesto dell’occupazione. Data la dipendenza risultante dal rapporto datore di lavoro/dipendente, è improbabile che l’interessato sia in grado di negare al datore di lavoro il consenso al trattamento dei dati senza temere o rischiare di subire ripercussioni. In ogni caso, anche in presenza di una base giuridica che giustifichi il trattamento dei dati, il rispetto del principio di “minimizzazione dei dati” impone che le operazioni di trattamento riguardino i soli dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c), del Regolamento). Nel caso di specie, la diffusione di alcuni dei dati personali del reclamante, contenuti nel proprio curriculum vitae (in particolare, l’indirizzo di residenza, il numero di telefono, l’indirizzo di posta elettronica, l’indirizzo di PEC e lo stato civile) non può, invece, considerarsi necessaria ai fini dell’adempimento degli obblighi di trasparenza propri dell’ordinamento universitario. Al riguardo, già nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, pubblicate in G.U. n. 134 del 12 giugno 2014 e in www.gpdp.it, doc. web n. 3134436, parte seconda, parr. 1 e 3.a., il Garante ha chiarito che, in applicazione del principio di “minimizzazione dei dati”, anche in presenza di un obbligo di pubblicazione, i soggetti chiamati a darvi attuazione non possono comunque diffondere i dati personali eccedenti o non pertinenti (v., da ultimo, con riguardo a un caso analogo di diffusione di dati personali contenuti in un curriculum vitae, provv. 29 aprile 2021, n. 171, doc. web n. 9682169) (Ordinanza-ingiunzione,16 dicembre 2021, n. 448)
Costituisce illecito trattamento di dati personali la comunicazione a INPS del verbale integrale di visita medica. Costituisce illecito trattamento di dati sanitari, operato dal Comune, la comunicazione all'Inps di copia integrale del verbale della visita medica eseguita da un suo dipendente, ai fini del riconoscimento della pensione di inabilità, recante, oltre alla valutazione medico legale circa l'idoneità all'impiego, anche altri dati personali che, in quanto relativi alla diagnosi, agli esami obiettivi e agli accertamenti clinici e strumentali svolti, nonché a informazioni anamnestiche, non possono ritenersi indispensabili al buon esito del procedimento e, quindi, devono essere oscurati (Cassazione civ., 28 marzo 2022, n. 9919)
Sistemi comunicazione automatica. In tema di comunicazioni indesiderate ex art. 130 d.lgs. n. 196 del 2003, la mancanza di consenso all'uso di sistemi automatizzati per campagne di "marketing" deve intendersi come espressione di dissenso, con la conseguenza ogni comunicazione automatizzata volta a farne mutare la volontà costituisce essa stessa una comunicazione commerciale non consentita, in quanto finalizzata a commercializzare il servizio aggiuntivo nonostante la mancanza di una preventiva autorizzazione. (Nel caso di specie, la S.C. ha cassato con rinvio la decisione di merito che, nonostante la mancanza di consenso esplicito ad attività pubblicitarie o promozionali automatizzate, aveva ritenuto legittimo l'invio di sms da parte di un gestore telefonico al fine di acquisire il consenso al successivo inoltro di offerte commerciali) (Cassazione civ., 28 marzo 2022, n. 9920)
Principi
Pubblicazione dati. In ogni ipotesi in cui l’amministrazione proceda alla pubblicazione di dati, informazioni e documenti che comporti un trattamento di dati personali, devono essere opportunamente contemperate le esigenze di pubblicità e trasparenza con i diritti e con la dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali (art. 2 d.lgs. 196/2003). Le finalità di consentire il controllo sull’agire dell’amministrazione mediante la trasparenza delle informazioni devono essere attuate mediante forme di pubblicità la cui conoscenza sia ragionevolmente ed effettivamente connessa all'esercizio di un controllo, nel rispetto dei limiti di proporzionalità e pertinenza, non giustificandosi una totale ed indiscriminata ostensione dei dati stessi (cfr. Corte cost. 20/2019), nemmeno nel regime del d.lgs. 33/2013 (che peraltro contempla, all’art. 5, quale concorrente garanzia di trasparenza amministrativa a completamento del sistema, il diritto di accesso civico, non soggetto a particolari condizioni limitative dal punto di vista soggettivo o oggettivo) (Cass. Civile, 11 novembre 2022, n. 33257)
Pubblicazione del curriculum
Pubblicazione del curriculum vitae. Il Garante privacy ha sanzionato un Comune che aveva pubblicato un curriculum vitae nella sezione trasparenza del sito istituzionale senza aver preventivamente oscurato i dati non necessari e per una durata superiore a quella prevista dalla legge (Garante Privacy, provvedimento n. 198/2022).
Pubblicazione dei curricula e oscuramento dei dati eccedenti. Secondo il Garante non rileva la circostanza che l'interessato avesse espresso il proprio consenso alla pubblicazione del proprio curriculum vitae e alla conseguente diffusione dei propri dati personali. Né la mera inclusione da parte dell’interessato di informazioni personali nel curriculum vitae consegnato all'amministrazione (nella specie una Università), né la circostanza che lo stesso avesse inviato tale documento all'amministrazione possono, infatti, equivalere a una “manifestazione di volontà libera, specifica, informata e inequivocabile” alla diffusione online di tali informazioni (art. 4, par. 1, n. 11 del Regolamento; cfr. anche art. 7 e considerando nn. 32 e 33 del Regolamento) (Ordinanza-ingiunzione,16 dicembre 2021, n. 448)
Pubblicazione all'albo on-line del Comune
Pubblicazione all'albo on-line. In numerose decisioni in merito agli obblighi derivanti dall’art. 124 del d.lgs. 267/2000, il Garante ha ribadito che anche alle pubblicazioni sull’albo pretorio online di atti o deliberazioni si applicano tutti i limiti previsti dai principi della protezione dei dati personali, avendo riguardo anzitutto alla previa verifica della sussistenza di idonei presupposti di liceità della diffusione online dei dati personali in essa contenuti (v., tra i tanti, provv. del 15 settembre 2022, n. 299, doc. web n. 9815665 e provv. del 25 febbraio 2021, n. 68, doc. web 9567429).(Garante privacy, provvedimento, 6 luglio 2023, 9920145)
Pubblicazione e rispetto del principio di minimizzazione dei dati. Anche in presenza di una eventuale norma di legge che preveda l’obbligo di pubblicare determinati atti e documenti, il titolare deve comunque rispettare i principi di protezione dei dati, tra i quali il principio di liceità, necessità nonché di “minimizzazione dei dati” (art. 5, par. 1, lett. c), del Regolamento; cfr. parte II, par. 3(a), delle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” del Garante del 15 maggio 2014 doc. web n. 3134436; cfr .tra gli altri provv. 16 settembre 2021, n. 321, doc. web n. 9718196; provv. 16 settembre 2021, n. 319, doc. web n. 9704048; provv. 16 settembre 2021, n. 318, doc. web n. 9718134; provv. 24 giugno 2021, n. 256, doc. web n. 9689607; provv. 24 giugno 2021, n. 255, doc. web n. 9686899) (Ordinanza-ingiunzione, 10 febbraio 2022, n. 45)
Non è necessaria la pubblicazione integrale della motivazione del provvedimento. Con riguardo alla necessità di corredare il provvedimento di una adeguata motivazione (art. 3 della l. 241/1990) non è peraltro necessaria la pubblicazione della versione integrale dell’atto poiché esso, rimanendo agli atti dell’amministrazione che lo ha formato, continua ad essere accessibile, da parte di soggetti qualificati, nei modi e nei limiti previsti dalla legge (sul punto si veda il costante orientamento dell’Autorità, proprio con riguardo a documenti amministrativi formati nell’ambito di procedimenti coinvolgenti anche il personale dell’amministrazione tra gli altri provv. 25 febbraio 2021, n. 68, doc. web n. 9567429; provv. 25 febbraio 2021, n. 69, doc. web n. 9565258) (Ordinanza-ingiunzione, 10 febbraio 2022, n. 45)
Pubblicazione della determina per più di 15 giorni all'Albo on-line. La pubblicazione della determina nella sua versione integrale si è protratta anche oltre il termine dei 15 giorni previsto dalla normativa di settore relativa alla pubblicità sull’albo pretorio, essendo rimasta visibile anche successivamente nella sezione Amministrazione Trasparente del sito del Comune fino al XX. Come rappresentato dal Comune, infatti, “per una impostazione informatica predefinita […] gli atti al termine della pubblicazione in Albo Pretorio finivano in Amministrazione Trasparente con il testo integrale”. Tutto ciò configura una violazione nel trattamento dei dati personali (Ordinanza-ingiunzione, 10 febbraio 2022, n. 4)
Esempio di violazione
Pubblicazione dei comepnsi incentivanti riconosciuti al personale. Il Comune ha pubblicato sul proprio sito web istituzionale la delibera n. XX del XX e la delibera e relativi allegati, contenenti dati personali dei propri dipendenti. In particolare, la delibera, avente ad oggetto “attribuzione compensi incentivanti la produttività individuale - impegno e liquidazione annualità XX”, conteneva in allegato l’elenco dei nominativi di circa 70 dipendenti del Comune, con l’indicazione degli specifici compensi percepiti. Analogamente la successiva delibera del XX n. XX, avente ad oggetto “selezioni per l’attribuzione di nuove progressioni orizzontali a decorrere dal XX” riportava numerosi dati personali, tra cui i nominativi di circa 30 dipendenti del Comune con gli importi derivanti dall’attribuzione delle progressioni economiche orizzontali. Il Garante ha più volte fornito indicazioni in ordine ai presupposti (e, al ricorrere di questi, delle specifiche modalità) per la lecita pubblicazione di atti e documenti che contengono dati personali anche dei dipendenti precisando, in particolare, che non è lecito diffondere informazioni personali riferite a singoli lavoratori come nelle ipotesi di informazioni riguardanti contratti individuali di lavoro, trattamenti stipendiali o accessori percepiti (cfr. par. 6.3 delle "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" del 14 giugno 2007, doc. web n. 1417809). Tali informazioni, in assenza di idonea base giuridica, non possono essere diffuse né messe a disposizione di soggetti estranei all’amministrazione o di altri colleghi non specificamente autorizzati (cfr. in merito alla non conoscibilità da parte delle organizzazioni sindacali dei compensi accessori erogati ai dipendenti, v. Cons. St., Sez. VII, 09/08/2022, n. 7064 che conferma una precedente posizione del Garante espressa con nota n. XX del XX), salve le ordinarie forme di conoscibilità degli atti amministrativi previste dall’ordinamento (artt. 22 e ss. l. 7 agosto 1990, n. 241; d.P.R. 12 aprile 2006, n. 184; artt. 6, 9, 10 e 86 Regolamento). (Garante privacy, provvedimento, 6 luglio 2023, 9920145)
Pubblicazione delle progressioni economiche orizzontali. Quanto poi alla pubblicazione dei dati personali dei partecipanti alle selezioni per l’attribuzione di progressioni economiche orizzontali, si fa presente che l’Autorità Nazionale Anticorruzione-ANAC, relativamente alle procedure selettive interne che determinano un passaggio di livello nell’ambito della stessa area o categoria, cd. progressioni orizzontali, come nel caso di specie, ha chiarito che trattasi di “procedure a carattere meritocratico connesse alla valutazione dell'apporto individuale del lavoratore e non soggette al principio del pubblico concorso” (v. ANAC Delibera n 775 del 10 novembre 2021; comma 1-bis dell’art. 52 del d.lgs. 165/2001) e pertanto non soggette agli obblighi di pubblicazione previsti esclusivamente per le procedure selettive finalizzate all’assunzione per il reclutamento di personale esterno o quelle consistenti nell’inquadramento in un’area superiore (c.d. progressioni verticali) che avvengono attraverso procedure comparative, determinandosi in tal caso una novazione oggettiva del rapporto di lavoro. Tale posizione è stata tenuta in considerazione dal Garante nell’ambito di decisioni su singoli casi (v., da ultimo, provv. del Garante n. 28 del 26 gennaio 2023 doc. web n. 9865528). In base alle considerazioni che precedono si deve concludere che i dati personali dei 70 dipendenti comunali relativi ai compensi percepiti in ragione della produttività individuale e i dati personali dei 30 dipendenti relativi all’esito delle progressioni economiche orizzontali, sono stati diffusi sul sito istituzionale del Comune in assenza di un’idonea base giuridica, in violazione degli artt. 5 e 6 del Regolamento e dell’art. 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139) (Garante privacy, provvedimento, 6 luglio 2023, 9920145)
Pubblicazione della "presa d'atto del licenziamento". L’Autorità ha ricevuto un reclamo con il quale è stata lamentata la pubblicazione, nell’Albo Pretorio online del Comune di Thiene (di seguito, il “Comune”), della determinazione n.742 del 16 ottobre 2019, avente ad oggetto “dipendente matr. […] - presa d’atto cessazione dal servizio per licenziamento”, contenente l’informazione del licenziamento del reclamante, identificato con il proprio numero di matricola, a seguito di procedimento disciplinare, nonché un comunicato stampa, relativo alla vicenda. L'Autorità rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver diffuso, mediante pubblicazione online, della determinazione n.742 del 16 ottobre 2019, contenente dati personali relativi al licenziamento del reclamante per motivi disciplinari, in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a) e c), 6 del Regolamento nonché dell’art.2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139) (Garante privacy, provvedimento, 15 settembre 2022)
Pubblicazione degli esisti delle prove intermedie di un concorso. Pubblicare sul web gli esiti delle prove intermedie o dei dati personali dei concorrenti non vincitori o non ammessi ad un concorso è una violazione della privacy. Il reclamante aveva lamentato la pubblicazione sul sito web dell’Istituto di numerosi atti e documenti tra cui gli elenchi degli ammessi e non ammessi alla prova scritta e prova orale e l’elenco dei partecipanti, contenente la valutazione dei titoli da parte della Commissione di concorso. Il Garante, quando operano nello svolgimento di procedure concorsuali devono trattare i dati personali degli interessati nel rispetto delle norme di settore applicabili, e quindi non è possibile pubblicare online dati dei partecipanti ai concorsi non previsti dalla legge. Non sono infatti consentiti livelli differenziati di tutela della protezione dei dati personali, né su base territoriale né a livello di singola amministrazione, specie quando la materia sia già stata oggetto di bilanciamento e regolazione dal legislatore con disposizioni uniformi a livello nazionale. Nel quantificare l’importo della sanzione all’INPS in 20.000 euro l’Autorità ha considerato la natura, la durata e la gravità della violazione, nonché l’elevato numero degli interessati e l’atteggiamento collaborativo dell’Istituto, che ha rimosso gli elenchi in questione, seppur a seguito della richiesta di informazioni del Garante (Garante - Provvedimento dell'11 aprile 2024 [10019523])
Pubblicazione di un atto di transazione. La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la pubblicazione online di un atto di transazione tra la PA e il reclamante nel quale, pur essendo stato omesso il nominativo di quest’ultimo, non erano state oscurate tutte le informazioni che potevano indentificarlo in maniera indiretta. Nello specifico, infatti, nella motivazione dell’atto di transazione era menzionato il decreto dell’ente n. XX – liberamente consultabile online sul medesimo sito web istituzionale – all’interno del quale era, invece, riportato in chiaro il nominativo del reclamante. In tale contesto, pur tenendo conto della volontà della PA, titolare del trattamento, di non rendere identificabile il soggetto interessato, si rileva che il reclamante risultava comunque “identificabile” per relationem. Per «identificazione», infatti, «non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione» (Gruppo di Lavoro Art. 29, Parere 05/2014 sulle tecniche di anonimizzazione, WP216; cfr. anche provv. n. 65 del 2/3/2023, in www.gpdp.it, doc. web n. 9874480; provv. n. 68 del 25/2/2021, ivi, doc. web n. 9567429; provv. 2/7/2020, n. 119, ivi, doc. web n. 9440042; provv. n. 118 del 2/7/2020, ivi, doc. web n. 9440025). Dagli atti risulta che la PA era stata messa a conoscenza della problematica da parte dello stesso reclamante e avrebbe, quindi, potuto evitare il presente procedimento se avesse provveduto a dare seguito alla richiesta di rimozione delle informazioni eccedenti inviata da ultimo con e-mail del XX al Presidente della PA acquisita agli atti. In tale contesto, l’amministrazione ha confermato nelle proprie memorie difensive l’avvenuta diffusione dei dati personali del reclamante, attribuendola a un mero errore, involontario e accidentale, dovuto a «una falla nella procedura di gestione e pubblicazione dei dati che è stata immediatamente corretta». La pubblicazione dell’atto di transazione oggetto di contestazione completo dell’indicazione del citato decreto n. XX (anch’esso pubblicato online) ha comportato una diffusione di dati e informazioni personali del reclamante sopra descritti: a) non conforme al principio di «minimizzazione» dei dati, in quanto gli stessi non sono «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del RGPD; b) priva di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD (Garante Privacy, Provvedimento 18 luglio 2023 - 9920562)
Diffusione dei dati personali dell'autore di un abuso edilizio (luogo e data di nascita, residenza). E' stata contestata la diffusione di dati e informazioni personali contenuti nell’«Ordinanza di demolizione (ex art. 34 del d.P.R. 380/01)» n. XX del XX (prot. n. XX del XX) del Settore Assetto del Territorio del Comune di Adelfia. La predetta ordinanza, relativa a un ordine di demolizione del Comune per opere effettuate in difformità dalla SCIA, riportava in chiaro il nominativo della persona che ha effettuato la segnalazione al Comune, i dati personali del soggetto destinatario del provvedimento amministrativo (fra cui anche dati anagrafici, luogo e data di nascita, e di residenza) e dei professionisti incaricati con indicazione, fra l’altro, dell’effettuata segnalazione disciplinare al Collegio dei geometri. […] .La diffusione dei dati e informazioni personali del soggetto che ha segnalato l’abuso al Comune, risulta non conforme al principio di «minimizzazione» dei dati, in quanto gli stessi risultano non necessari, sproporzionati e non «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», ossia la trasparenza di un ordine di demolizione di un’opera abusiva, in violazione dell’art. 5, par. 1, lett. c), del RGPD. Analogamente, per gli stessi motivi, risulta non conforme al principio di «minimizzazione» dei dati, anche la diffusione dei dati anagrafici (luogo e data di nascita) e di residenza del soggetto destinatario dell’ordine di demolizione, nonché la notizia della segnalazione del professionista incaricato al Collegio dei geometri, in quanto del tutto irrilevanti, e dunque sproporzionati, rispetto alla medesima finalità sopra indicata, parimenti in violazione del citato art. 5, par. 1, lett. c), del GDPR. Inoltre, trattandosi di un’ordinanza del XX, la diffusione dei dati personali ivi contenuti risulta in ogni caso priva di idonei presupposti normativi per il periodo eccedente i quindici giorni previsti dall’art. 124, comma 1, del d. lgs. n. 267/2000 per la pubblicazione nell’albo pretorio, che risulta pertanto effettuata in violazione dell’art. 2-ter, commi 1 e 3, del Codice, nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD. (Garante Provvedimento del 27 aprile 2023, 9896450)
Diffusione dati via Web. Responsabilità del titolare e del responsabile del trattamento. In particolare, la mancata adozione di procedure di autenticazione informatica - in occasione della predetta operazione di upload dei dati, in data 29 luglio 2020, dalle ore 14:49 alle 15:49 - ha reso possibile a chiunque si fosse collegato all’indirizzo web https://scanshareservice.com/regione-toscana/, peraltro erroneamente messo a disposizione di una candidata, di accedere liberamente ai dati personali dei circa 3.600 interessati partecipanti alla procedura (ossia, nome, cognome, data di nascita, codice fiscale, giorno della prova e sessione di convocazione, numero di questionario estratto per la sessione alla quale ha partecipato ciascun candidato, esiti dettagliati dei singoli questionari e punteggio complessivo). Ciò ha dato luogo a una diffusione di dati personali, trattati nell’ambito della predetta procedura concorsuale indetta dalla Regione e di cui la stessa deve essere ritenuta responsabile in base al Regolamento (artt. 5, par. 2, e 24 del Regolamento). Le argomentazioni difensive della stessa seppur tenute in debita considerazione ai fini del presente provvedimento, non sono infatti sufficienti a escludere completamente la responsabilità del titolare del trattamento con riguardo agli obblighi derivanti dalla disciplina in materia di protezione dei dati personali. Tanto premesso, l’assenza di misure tecniche e organizzative adeguate ai rischi connessi alla specifica operazione di upload dei dati - ancorché riconducibile principalmente alla mancata predisposizione di specifiche misure di controllo degli accessi sul server in questione da parte della Società, responsabile del trattamento - ha creato le premesse per il verificarsi della violazione di sicurezza che ha comportato la diffusione online dei dati personali dei candidati, in violazione degli artt. 5, par. 1, lett. a), e 6, par. 1, lett. c) ed e), del Regolamento e dell’art. 2-ter del Codice, di cui la Regione, titolare del trattamento, deve essere comunque ritenuta responsabile ai sensi degli artt. 5, par. 2 e 24 del Regolamento (Ordinanza-ingiunzione, 10 febbraio 2022, n. 43)
Accesso ai dati personali. In tema di accesso ai dati personali altrui, è legittima l'ostensione dei dati del beneficiario della posizione previdenziale di un fondo pensione, quando il richiedente alleghi l'interesse, concreto e non pretestuoso, a intraprendere un giudizio nei confronti di quest'ultimo, come avviene nel caso in cui la richiesta provenga dal legittimario dell'aderente al fondo, deceduto dopo aver proceduto alla designazione del menzionato beneficiario (Cassazione civ., 13 dicembre 2021, n. 39531)
Diritto all’oblio. L'azione di risarcimento dei danni per trattamento illecito dei propri dati personali - compiuto mediante la pubblicazione di un libro del quale viene chiesto il ritiro dal commercio - non involge il tema del diritto all'oblio, potendosi concretizzare la tutela di tale diritto riferito alla rete internet, solo con un'azione rivolta ai soggetti titolari dei motori di ricerca per la deindicizzazione della pagina web e non certamente per legittimare una pretesa risarcitoria nei confronti di chi abbia scritto un libro le cui pagine sono state successivamente inserite anche in internet. In tal caso la liceità del trattamento dei dati deve essere valutata avuto riguardo al perimetro dell'esimente dettata dal codice della privacy nel contesto dei limiti dell'attività giornalistica di cui all'art. 137 comma 2, la valutazione del cui superamento è questione di fatto incensurabile in cassazione (Cassazione civ., 28 marzo 2022, n. 9923)
La colpa organizzativa. La cosiddetta “colpa di organizzazione”. Al riguardo la giurisprudenza ha chiarito che in casi analoghi si configuri una “colpa di organizzazione”, da intendersi, in senso normativo, come rimprovero derivante dall’inottemperanza da parte dell’ente dell’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione degli illeciti (cfr. Cass. civ., sez. II, ord. n. 18292 del 3 settembre 2020, che ha confermato un precedente provvedimento del Garante, ordinanza ingiunzione n. 193 del 26 marzo 2015, doc web n. 4000337) (Ordinanza-ingiunzione, 10 febbraio 2022, n. 45)