Privacy e trasparenza della PA: un binomio ancora da implementare!
Con Provvedimento n. 3 del 15 gennaio 2020 il Garante ha sanzionato per l’ammontare complessivo di 10.000 euro un Ente Locale per aver pubblicato i dati personali di 2 cittadini nella propria pagina Web.
In breve. A seguito di una segnalazione pervenuta al Garante da un cittadino veniva verificato in data 21 novembre 2018 che nel sito istituzionale dell’Ente Locale alla sezione “Albo Pretorio” era liberamente accessibile una Determinazione contenente i dati personali del segnalante.
Il documento pubblicato consisteva in una deliberazione per la liquidazione delle spese legali di un procedimento giudiziario in cui comparivano i dati personali relativi alla salute del cittadino reclamante.
Inoltre, venivano resi pubblici i riferimenti bancari dell’avvocato che aveva assistito l’Ente nel predetto procedimento.
Le precedenti informazioni venivano diffuse e pubblicate per più di due mesi.
Con nota prot. n. 42180, datata 28 novembre 2018, l’Ente rappresentava che il documento era stato pubblicato per “errore materiale” e che a quella data non era più disponibile e consultabile on line.
L’istruttoria compiuta dal Garante rilevava i seguenti trattamenti illeciti di dati personali:
– l’aver pubblicato dati relativi alla salute di un cittadino con dettagliati riferimenti alle relative infermità per cause di servizio;
– l’aver diffuso dati personali non “limitati a quanto necessario rispetto alle finalità” del trattamento con riferimento all’indicazione delle coordinate bancarie dell’avvocato dell’Ente.
L’Ente veniva così sanzionato per l’ammontare complessivo di 10.000 euro; sanzione, questa, commisurata al ribasso alla luce della collaborazione del sanzionato e della rimozione dei contenuti dalla rete.
Non si tratta di un caso isolato. Con provvedimento n. 213 del 12 aprile 2018 il Garante vietava la pubblicazione e ordinava la rimozione dei contenuti ad un altro Ente pubblico che aveva pubblicato sul proprio sito istituzionale dati identificativi di persone fisiche destinatarie di benefici economici da cui era possibile ricavare informazioni relative alla loro situazione di disagio economico-sociale e dati sanitari riguardanti persone affette da disabilità.
Ricordiamo, pertanto, che la normativa sulla trasparenza della PA non autorizza a pubblicare qualsiasi contenuto, ma è sempre necessario un vaglio preliminare circa la necessità della pubblicazione dei dati personali.
In materia consigliamo la consultazione sul sito del Garante delle domande più frequenti sul tema.
L’”errore umano” e la non volontarietà della pubblicazione non possono essere invocati per escludere l’irrogazione di sanzioni per la violazione del GDPR.