Forse i duemila euro di sanzione comminata dal Garante al Comune di Baronissi possono sembrare ben poca cosa rispetto ai limiti massimi degli importi con cui possono essere sanzionate le violazioni del GDPR, ma le motivazioni del Provvedimento dello scorso Luglio fanno riflettere su come, verosimilmente, molte amministrazioni locali debbano rivedere le loro procedure interne, anche per l’effetto del GDPR.

Due coniugi del comune siciliano si sono lamentati davanti al Garante rilevando come, per una loro pratica amministrativa, fossero stati resi pubblici sull’albo pretorio i loro dati anagrafici, di residenza oltre a quelli relativi ad un immobile, del quale si riferivano i dati catastali e le risultanze di un sopralluogo relativo ad opere abusive. La violazione era stata rilevata prima dell’entrata in vigore del GDPR, ma la norma violata non è venuta meno: si tratta infatti dell’ormai abrogato art. 19 D. Lgs. 196/2003 oggi peraltro trasfuso nell’art. 2 commi 1 e 3 dello stesso Codice.

Nel suo provvedimento il Garante ha puntualizzato come il trattamento dati effettuato dal Comune, può assumere carattere di liceità quando avvenga nel rispetto dei limiti di cui all’art. 5 del Regolamento, nonché nel rispetto dei principi di minimizzazione e adeguatezza per le finalità per le quali vengono trattati. Nella fattispecie si poneva in evidenza come il trattamento potesse avvenire solo a fronte della necessità dell’amministrazione di adempiere un obbligo legale ovvero per l’esecuzione di un compito di interesse pubblico. Nella fattispecie il Garante ha richiamato le proprie Linee Guida che disciplinano, tra l’altro, proprio l’esposizione dei documenti negli albi pretori e, in particolare, la circostanza che le informazioni non debbano essere a disposizione di nessuno oltre i limiti temporali previsti dalle singole norme.

Il Comune, nelle proprie difese, ammetteva che la pubblicazione dei dati si era protratta oltre il termine (che nel caso di specie era di quindici giorni) per un errore materiale a causa di problemi organizzativi e di come si fosse attivato per ovviare anche che ciò non tornasse a ripetersi nell’ottica di contemperare la funzione pubblica nel rispetto sia della necessaria trasparenza, sia dei diritti degli interessati. Invocava quindi l’assoluta buona fede.

Il Garante inoltre, in una decisione molto puntuale nell’esame dei fatti, ha rilevato come non fosse necessario rendere pubblici data e luogo di nascita dei due coniugi, dati identificativi dell’immobile e delle opere abusive, violando così il principio di minimizzazione, oltre al prolungamento dell’esposizione degli stessi. Il fatto comunque non è stato ritenuto di particolare gravità e, anche per questo, si è adottata la sanzione minima prevista all’epoca della commissione dello stesso.

Questa vicenda dovrebbe far riconsiderare alle amministrazioni locali, nell’esecuzione della loro attività, le loro procedure sull’utilizzo di dati non indispensabili alla stessa ovvero ultronei, nonché ad un rigoroso controllo dei tempi necessari. Le prossime sanzioni potranno essere quelli a tanti zeri previste dal GDPR.