Online la determina con i dati di un dipendente, il Garante bacchetta una Regione

di Avv. Graziano Garrisi 

Con il Provvedimento n. 182 del 26 marzo 2015 il Garante privacy è tornato a pronunciarsi sulla pubblicazione di deliberazioni contenenti dati personali sull’albo pretorio online degli enti pubblici.
A suscitare l’intervento del Garante il caso di una Regione “colpevole” di aver pubblicato sul proprio sito web i dati personali di un dipendente, presenti nella delibera di Giunta con la quale il lavoratore veniva trasferito ad altro ufficio per incompatibilità ambientale, per più dei 15 giorni previsti dalla legge, violazione segnalata all’Autorità garante dallo stesso dipendente.
A ben vedere, la condotta della Regione, determinando di pubblicare on line i dati relativi al proprio dipendente, ha consentito a un numero ampio e indiscriminato di persone di conoscere la vicenda insorta, che riportava, tra l’altro, valutazioni sulla professionalità e sul contegno dell’interessato.
Il Garante ha stabilito, inoltre, che la pubblicazione, oltre ad avere sforato i tempi stabiliti dalla legge, non sia conforme al principio di pertinenza e non eccedenza del Codice privacy, dal momento che ha comportato la messa online di informazioni eccessive, nonché lesive della dignità del lavoratore (nome e cognome del dipendente, valutazioni sulla professionalità e sul comportamento, motivi del trasferimento, dettagli su rapporti conflittuali, difficoltà di funzionamento dell’ufficio attribuiti alla sua presenza).
Per tali ragioni, la pubblicazione integrale dei provvedimenti, da parte della Regione, ha completamente travisato e disatteso le finalità e le corrette modalità per le quali il Codice Privacy (D.Lgs. n. 196/2003) e il D.Lgs n. 33/2013 (sulla trasparenza dell’attività amministrativa) attribuisce alla pubblica amministrazione la facoltà di diffusione dei dati personali, in violazione non solo dei suddetti principi generali del Codice privacy, ma anche delle specifiche prescrizioni dell’Autorità Garante per la protezione dei dati personali contenute nel Provvedimento n. 243 dello scorso 15 maggio 2014, con cui sono state emanate le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”. Per assolvere correttamente agli obblighi di pubblicazione relativi alla deliberazione della Giunta regionale, infatti, sarebbe stato sufficiente che i dati personali del dipendente fossero stati debitamente oscurati o semplicemente stralciati dai file da pubblicare.
Con queste motivazioni il Garante, ritenuto illegittimo il trattamento, ha vietato alla Regione l’ulteriore pubblicazione sul proprio sito web dei dati personali interessati e ha specificato che, qualora la Regione intenda in futuro mettere on line altri documenti analoghi, dovrà tassativamente provvedere prima alla anonimizzazione dei dati personali in essi eventualmente presenti.
Tale provvedimento, pertanto, mette in risalto ancora una volta la continua necessità che hanno gli enti pubblici di raggiungere quel corretto bilanciamento di interessi che consenta un trattamento dei dati legittimo, perché, travisando le finalità di trasparenza sottese alla pubblicazione, spesso si può giungere alla diffusione di dati personali in violazione dell’art. 19, comma 3, del Codice privacy (assenza di norme di legge o di regolamento). È necessario, quindi, valutare con attenzione le tecniche di redazione delle deliberazioni o delle determinazioni e selezionare le informazioni da diffondere alla luce dei princìpi di pertinenza e indispensabilità rispetto alle finalità perseguite dai singoli provvedimenti.