Anche nell’esercitare i propri diritti e tutelarsi, il Titolare di un Trattamento dati non può venir meno ai suoi doveri. La decisione del Garante lascia perplessi per alcuni aspetti, ma ribadisce come i Titolari del Trattamento debbano rispettare minuziosamente la vigente disciplina. Ne ha fatto le spese il Comune di Manduria, sanzionato nella misura minimale di € 2.000 dal Garante per la Privacy, in una vicenda nella quale l’amministrazione locale, per tutelarsi a fronte di notizie stampa ritenute lesive della propria immagine e delle proprie ragioni, inviava una nota stampa nella quale comunicava alle testate giornalistiche i dati personali di una dipendente.

La scelta del Comune era dipesa dalla circostanza che era stata diffusa in cronaca la notizia che la dipendente aveva attivato una procedura stragiudiziale per ottenere somme secondo lei dovute: l’amministrazione comunale si è sentita in dovere di rispondere a mezzo stampa. In particolare, la Commissione Straordinaria del Comune, in carico della questione, trasmetteva la nota con i dati personali ai fini di esercitare il suo legittimo diritto di difesa e chiarire i fatti. Inoltre dati come il nominativo della dipendente e gli importi reclamati non solo erano noti, ma necessari anche per la normativa sulla trasparenza.

La difesa del Comune non mancava di sottolineare, nelle sue memorie al Garante, come i dati della reclamante fossero già noti e che l’averli inseriti nel comunicato stampa costituisse attività necessaria per l’esecuzione di un compito connesso all’esercizio di pubblici poteri e che, nel caso, sussistessero anche esigenze non solo di trasparenza e tutela di immagine, ma anche elementi soggetti ad obbligo di pubblicazione.

Il Garante non ha accolto le tesi difensive, muovendo dal principio che i soggetti pubblici, anche laddove operino nello svolgimento dei compiti di datori di lavoro, possono trattare i dati se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri". In queste ipotesi il Garante ricorda come la comunicazione di dati di soggetti pubblici sia ammessa solo se prevista da norme di legge o del Regolamento. Non è stata quindi ritenuta “necessaria” dal Garante la trasmissione dei dati della dipendente, in quanto non era in esecuzione di compiti connessi all’esercizio di pubblici poteri. Il Garante si è spinto poi oltre precisando che, pur trattandosi di dati che dovevano essere oggetto di pubblicazione, il Comune abbia violato le disposizioni del GDPR inviandoli alle testate giornalistiche, cioè terzi ad ogni effetto. Il fine, nel caso, non era quello di pubblicità o trasparenza, bensì quello di tutelare l’immagine del Comune.

L’applicazione della disciplina europea, in questa fattispecie, è stata decisamente rigorosa e letterale da parte del Garante, specialmente se si considera che i dati trasmessi erano già noti agli organi di stampa che avevano già riportato la notizia e che in simili analoghe fattispecie si potrebbero ravvisare limitazioni ad un diritto di difesa o di replica. La misura della sanzione sembra tenere conto di queste circostanza: il Garante ha ritenuto gli elementi forniti dalla difesa del comune di Manduria meritevoli di considerazione. Tuttavia, non ravvisando elementi per l’archiviazione dell’esposto, ha emesso questo provvedimento che potrebbe essere impugnato dall’amministrazione comunale laddove ritenga di non dover pagare l’importo di € 2.000.