Il Garante Privacy ha sanzionato il Comune di Afragola: ha pubblicato online dati personali non pertinenti alla finalità di trasparenza.

Premessa: il reclamo di un ex dipendente

La vicenda origina dal reclamo di un ex dipendente del Comune di Afragola. Ha lamentato la diffusione dei propri dati personali sul sito web del Comune nonostante il rapporto di lavoro fosse cessato da tempo. I dati personali sono contenuti nel curriculum vitae del reclamante, comprensivi di indirizzo di residenza, numero di cellulare e indirizzi di posta elettronica. La pubblicazione del CV sul sito web istituzionale ne aveva comportato anche l'indicizzazione sui motori di ricerca. Il reclamante ribadiva anche come avesse di presentato al Comune l'istanza di opposizione alla pubblicazione dei propri dati personali, in reagione del fatto che ciò avrebbe potuto nuocere alla propria sicurezza e a quella della famiglia. Il Comune non avrebbe fornito alcuna risposta a tale istanza.

Il Garante privacy si attiva: l'attività istruttoria 

Il Garante, ricevuto il reclamo, si è attivato ed ha inviato una nota al Comune invitandolo a dare seguito alle richieste dell'interessato. Ricordiamo che, a fine di protezione dei dati personali, il Garante detiene una serie di poteri che gli consentono tali attività. Nella nota, in dettaglio, il Garante concede al Comune 20 giorni per "aderire alle richieste dell'interessato" e per fornire riscontri. 

La nota ribadiva inoltre la particolare situazione personale del reclamante, quindi il Garante invita il Comune ad
"accogliere in maniera tempestiva l’istanza di opposizione alla diffusione presentata dallo stesso".

Il Comune diffida la società che gestisce il sito web, responsabile dei dati personali online

La pagina "Amministrazione trasparente" del Comune di Afragola è tenuta da una società terza che la gestisce per contro del Comune stesso sul sito web istituzionale. Il Segretario Generale del Comune ha inviato, per conoscenza anche al Garante, una nota alla società diffidandola e invitandola alla celere rimozione dei dati personali del reclamante. In dettaglio si richiedeva la cancellazione di indirizzi email, residenza e numero di cellulare del reclamante.

Insomma, la tesi difensiva del Comune vedeva nella negligenza della società terza, che all'epoca, gestiva la pagina "Amministrazione Trasparente", l'origine del problema.

L'esito dell'istruttoria del Garante Privacy: scatta la sanzione

Il Garante ha potuto ricostruire come:

• i dati personali sono stati pubblicati in assenza di base giuridica valida;
• che i dati personali sono rimasti online ben oltre l'arco temporale previsto dalla disciplina di settore;
• che il Comune e la società terza non avevano proceduto ad alcuna selezione dei dati pubblicati;
• che il Comune non aveva dato alcun seguito alla richiesta di esercizio dei propri diritti da parte dell'interessato.

Quanto alla difesa del Comune, che scarica sulla società terza la responsabilità, il Garante Privacy ha ribadito che spetta al titolare del trattamento, qui il Comune, impartire le disposizioni necessarie alla corretta gestione dei propri dati. Il Comune può affidare a terzi il servizio, ma ne resta responsabile ed ha la responsabilità di indicare la corretta gestione del ciclo di vita dei dati. Ma il Comune non ha mai fornito alla società affidataria tali indicaizoni.

I dati personali del reclamante quindi sono stati diffusi:

"avvenuta in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e “minimizzazione dei dati”.

La determinazione della sanzione da parte del Garante Privacy

Nel determinare l'ammontare della sanzione il Garante ha tenuto di conto che la violazione non ha riguardato "categorie particolari di dati" ed ha coinvolto un solo interessato.

Il Comune dovrà quindi pagare 10.000 di sanzione entro 30 giorni dalla notifica del provvedimento. Ha inoltre già fornito rassicurazioni in merito alle modalità con le quali, in futuro, pubblicherà documenti e atti contenenti dati personali sul proprio sito web istituzionale.

Il provvedimento completo è disponibile qui