In attesa che giungano sul tavolo del Garante le decisioni da prendere per violazioni contestate successivamente alla data del 25 Maggio 2018, data in cui scadeva il termine per adeguarsi al nuovo regolamento europeo da parte di chiunque svolga attività di trattamento dati personali, trova ancora applicazione la precedente normativa di cui al D. Lgs. 196/2003. Queste decisioni peraltro sono peraltro già pienamente conformi alle nuove regole, salvo per l’entita delle sanzioni che, come noto, andranno a salire.

• Il Garante sanziona il Comune di Catania

Nel caso di specie, il Garante ha sanzionato il Comune di Catania cui era stato contestato di avere pubblicato sul proprio sito web istituzionale la graduatoria completa dei soggetti ammessi ed esclusi dal contributo all’affitto per l’anno 2015 con l’indicazione del nominativo esatto, della data e luogo di nascita, nonché del codice fiscale e dell’indirizzo di residenza dei soggetti interessati. Non paga, l’amministrazione comunale ha anche reso pubblici i motivi dell’esclusione dal beneficio. All’esito della propria istruttoria, il Garante accertava più in particolare l’avvenuta pubblicazione delle graduatorie per l’assegnazione degli alloggi a soggetti sfrattati e in situazione di disagio economico-sociale con indicazione del nominativo e, addirittura, in alcuni casi, era riportata anche la condizione di invalidità al 100%.

Immaginabile l’immediata conclusione del Garante, vale a dire l’accertamento della pubblicazione di dati e informazioni personali in maniera non certo conforme alla disciplina del D. Lgs. 196/2003, avvenuta non solo in assenza di una norma di legge o di regolamento atta a consentirla, ma anche in violazione dell’art. 19, comma 3 del Codice e in contrasto con il divieto di diffondere dati idonei a rivelare lo stato di salute di cui all’art. 22, comma 8, del Codice. Si tratta di due norme oggi abrogate a seguito dell’entrata in vigore del GDPR, ma i principi che ne erano alla base si trovano ancora nel regolamento europeo che, sancendo anche il principio di minimizzazione dei dati da trattare, e di conseguenza da eventualmente comunicare, è ancora più stringente sul punto.

In ogni caso il Garante ha applicato l’art. 26 comma 4 della vecchia normativa che escludeva la pubblicazione di dati identificativi di persone destinatarie di contributi economici, qualora da tali dati sia possibile ricavare informazioni relative allo stato di salute o alla situazione di disagio economico-sociale degli interessati. E mai come in questo caso si è verificato quanto previsto dalla norma. Scattava pertanto la sanzione a carico del Comune nella misura di € 6.000,00.

• Pubbliche amministrazione e trattamento dati

Prescindendo dal singolo caso da cui si è tratto spunto, è evidente come per le amministrazioni locali, sia per quelle capillari e complesse, ma anche per quelle più piccole e periferiche, il problema del trattamento dati, di valutare se e come rendere pubblici gli stessi in alcune ipotesi, di come diffonderli, può diventare un problema di non semplice soluzione. Basti in tal senso riflettere sulla non improbabile ipotesi che tutti i partecipanti ad un bando o un concorso possano accedere alla documentazione per poter procedere a ricorsi o impugnative. 

Sicuramente la scelta del comune di Catania di ricorrere ad una pagina web è stata decisamente inopportuna; in precedenza anche il comune di Messina era stato oggetto di provvedimento del Garante su analoga fattispecie. Ciò su cui talora non ci si sofferma a riflettere, specialmente da parte di un’autorità pubblica che può essere maggiormente concentrata su altre problematiche magari più gravi, è che i dati messi in rete vengono messi a disposizione, come ad esempio in questo caso, di millantatori che possono irretire gli esclusi da un beneficio e prospettare facili “aggiustamenti” delle graduatorie. I ladri di dati per creare non solo falsi profili, ma poter costruire mailing list di soggetti classificabili sulla base di esigenze particolari,  sono un ulteriore rischio da non sottovalutare, così come quello di dare in pasto a hacker e cacciatori di dati l’elenco di migliaia di partecipanti ad un concorso pubblico: target ideale per chi volesse vendere loro corsi di specializzazione, master e così via. Da qui la necessità proprio per le pubbliche amministrazioni di un’attenta applicazione dei principi del GDPR e la previsione non solo delle dovute accortezze, specialmente in rete, ma anche la presenza di consulenti e DPO affidabili e che possano collaborare con gli organi di riferimento a evitare perdite e furti di dati, ma anche di renderli pubblici senza ragione alcuna.