Nuovi spunti di riflessione in materia di data protection giungono da un importante provvedimento del Garante per la protezione dati, il n. 118/2020 nel quale sottolinea l’importanza del ruolo del DPO.
Il provvedimento assume rilevanza non solo per il settore pubblico -riguardando un dipendente della PA- ma presenta degli aspetti interessanti anche per l’ambito privato.
Il caso
Una dipendente comunale è stata licenziata, dopo anni di servizio, a seguito di un’indagine condotta dall’Ufficio Procedimenti disciplinari, da cui è emerso che la stessa al momento della procedura di selezione, non possedeva i requisiti richiesti: in particolare risultava avere procedimenti penali in corso. L’ente comunale ha provveduto anche all’esclusione dalla selezione per carenza di requisiti, rettificando i verbali di assegnazione del posto di lavoro.
Il caso è stato portato all’attenzione del Tar, oltre che dell’Autorità Garante: la dipendente ha presentato ricorso per richiedere l’annullamento della determinazione dell’ente comunale.
Nello specifico, il relativo atto di conferimento di incarico del legale sull’albo pretorio online del Comune, indicava dati anagrafici della dipendente con le sole iniziali, insieme al ricorso al Tar, agli estremi della determinazione del Comune di cui si richiedeva l’annullamento e l’indicazione della circostanza per cui la selezione per la posizione lavorativa controversa richiedesse come requisiti l’assenza di condanne penali o procedimenti penali pendenti a carico dei candidati.
Il reclamo formale all’Autorità Garante
La dipendente ha poi presentato un reclamo formale per violazione dei dati personali dinanzi all’Autorità Garante, con riferimento all’atto di incarico pubblicato dal Comune. Quest’ultimo, in propria difesa, ha utilizzato le seguenti argomentazioni:
- di aver utilizzato le sole iniziali della dipendente nell’oggetto dell’Atto d’incarico, quindi senza la possibilità di identificazione del soggetto;
- la pubblicazione delle informazioni contenute nell’oggetto dell’Atto d’incarico sull’albo pretorio online è obbligatoria per legge, in conformità alla normativa sulla pubblicità e trasparenza per gli atti degli enti pubblici (ex art. 15, D. Lgs. 33/2013 e art. 124 del D. lgs. 267/2000);
- che non vi fosse alcun riferimento a condanne penali o reati nell’atto amministrativo oggetto di reclamo, dal momento che i riferimenti presenti erano riconducibili solo ad un requisito di partecipazione e non anche ad una condanna o procedimento pendente;
- ed infine di aver richiesto, prima della pubblicazione, il parere del DPO del Comune, il quale aveva avallato la scelta di utilizzare le iniziali del nome e del cognome della dipendente, ritenendola conforme alla disciplina di protezione dei dati.
Nonostante il Garante abbia poi comminato una sanzione di 4.000,00 euro nei confronti del Comune ha ritenuto di sottolineare l’importanza dell’essersi rivolto al proprio DPO, per un parere pro veritate tenendone conto ai fini della stessa sanzione.
Riflessioni sul provvedimento
Nel provvedimento del Garante si legge: “si è tenuto favorevolmente atto che il Comune di Greve in Chianti aveva provveduto a coinvolgere il proprio responsabile della protezione dei dati personali e a conformarsi in buona fede al parere dello stesso.”
In tal senso, acquistano rilevanza una vera e reale preparazione del DPO, lo studio e il continuo aggiornamento e la competenza di chi di tale materia è esperto e non si improvvisa. In tale ottica il giusto DPO può far evitare (o ridurre) sanzioni o errori che possono comportare importi spesso salatissimi.
Il provvedimento in commento pone l’accento sull’essenza stessa del parere e sulla figura del DPO: ciò non può significare che lo stesso possa evitare, tout court, le sanzioni, ma può gestirle e affrontarle facendo in modo che il Garante possa prendere in considerazione alcune circostanze tali da comminare un importo inferiore, soprattutto in un ambito, come quello del GDPR, in cui non vi sono massimali. Ma il provvedimento pone l’attenzione, altresì, su altri rilievi degni di nota, tra cui la definizione di dato personale e di identificabilità indiretta.
Difatti, dall’istruttoria condotta dall’Autorità emerge come il concetto di “dato personale” ex art. 4, comma 1, del GDPR abbracci una portata tale da includere anche le sole iniziali del soggetto interessato, anche, solo potenzialmente identificabile. La sola probabilità di essere identificati da diversi soggetti, seppur in via indiretta, ha posto un’estensione alla nozione di dato personale anche alle sole iniziali (nome e cognome). Inoltre, lo stesso provvedimento consente di definire quale sia la portata dei “dati personali relativi a condanne penali e reati”, di cui non vi è nel GDPR una specifica definizione (come, invece, accade per i dati personali in generale)
Tuttavia, il Garante ha adottato una linea interpretativa abbastanza ampia, ritenendo che le determinazioni oggetto di ricorso al Tar possano rientrare nella nozione di dati personali relativi a condanne e reati. In altre parole, è sufficiente che vi sia l’identificabilità (anche solo indiretta) e la mera associazione con una vicenda giudiziale che possa riguardare il soggetto, senza altri riferimenti ed estremi ai procedimenti nello specifico, affinché vi sia una violazione di dati personali relativi a condanne penali e reati.
Conclusioni
Nonostante si sia rinvenuta una violazione dei dati personali della dipendente, il Garante ha ritenuto di estrema importanza il riferimento al DPO e la circostanza che lo stesso Comune abbia richiesto e fatto affidamento al parere dello stesso. Una svolta interpretativa è rappresentata da tale provvedimento, poiché si dà la giusta importanza al ruolo del responsabile della protezione dei dati nel pieno rispetto del principio di accountability disciplinato dal GDPR.
Infine, il DPO funge da consulente e da “misura di sicurezza e protezione” per il titolare: ne consegue che la scelta e la nomina di tale figura devono necessariamente essere precedute da una accurata valutazione delle competenze, affinché il suo supporto si traduca in un mezzo efficace di sicurezza e prevenzione che possa fare da scudo al titolare.