ETHICA SOCIETAS-Rivista di scienze umane e sociali
Massimiliano Mancini NOTIZIE Privacy

3.000 EURO DI SANZIONE DAL GARANTE PER IL COMUNE DI MONTE S.ANGELO (FG) Massimiliano Mancini

Sanzionato l’ente per aver pubblicato l’elenco degli esclusi alla selezione pubblica (provv.151 del 28/04/2022)

di Massimiliano Mancini

Abstract: Il Comune di Monte Sant’Angelo (FG) è stato sanzionato dal Garante, che ha rigettato le giustificazioni con le quali si sosteneva l’obbligo di pubblicazione ai sensi del D.Lgs.33/2013 e l’assenza di “dati sensibili”, per aver pubblicato gli esiti di una selezione pubblica indicando anche gli esclusi. Sanzione di €.3.000, ordinanza di rimozione immediata e pubblicazione del provvedimento contro il Comune non escludendosi la possibilità che i candidati esclusi, i cui nomi sono stati ilegittimamente pubblicati, possano chiedere un risarcimento in sede civile. La trasparenza non è un diritto assoluto, poiché l’obbligo di pubblicazione sussiste sono nei confronti dei soggetti destinatari del provvedimento finale (quindi i soli vincitori della selezione), inoltre a differenza della precedente normativa nazionale il GDPR non protegge solo i c.d. “dati sensibili” ma tutti i dati personali.

Keywords: #garanteprivacy #garanteprotezionedatipersonali #sanzioniprivacy #sanzionigaranteprivacy #GDPR #pubblicazioneattiillecita #diffusioneillecita #albopretorio  #ComuneMonteSantAngelo #MonteSantAngelo #Puglia #FG #MassimilianoMancini #ethicasocietas #ethicasocietasupli

Vista di Monte Sant’Angelo dal sito della città (http://www.comune.monte-sant-angelo.fg.it/)

Il fatto illecito

Il Comune di Monte Sant’Angelo ha pubblicato sul sito istituzionale le “graduatorie degli ammessi con riserva alla prova preselettiva e l’elenco degli ammessi e non ammessi alla successiva prova scritta” di una procedura selettiva, a cui il reclamante aveva partecipato.

Nonostante il reclamo del cittadino l’amministrazione ha rigettato la richiesta poiché il Comune ha replicato con propria nota all’interessato che “da visura della graduatoria approvata con determina dirigenziale, non si evidenzia[vano] i dati sensibili” del reclamante, affermando che il Comune era comunque tenuto ad osservare i termini di pubblicazione degli atti in conformità alle disposizioni del d.lgs. n. 33 del 14 marzo 2013.

A seguito di tale diniego è stato formalizzato reclamo al Garante.

Il diritto

1) non si proteggono solo i c.d. “dati sensibili” ma tutti i dati personali.

Il Garante ha ribadito che la vigente normativa europea sulla privacy, sovraordinata a qualsiasi norma nazionale, protegge allo stesso modo ogni “dato personale” ossia “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, dovendosi considerare “identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome […]” (art. 4, par. 1, n. 1 Reg.UE 2016/679 [1] ).

2) è lecito il trattamento per adempiere agli obblighi di legge, ma la legge impone la pubblicità del provvedimento e dei destinatari finali.

La disciplina sulla protezione dei dati personali prevede che i soggetti pubblici possono trattare i dati personali degli interessati, anche quando operano nell’ambito di procedure concorsuali e selettive del personale, solo se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, c.1, lett. c ed e Reg.UE 2016/679 [2]).

Le norme di settore, riguardo alla pubblicità degli esiti delle prove concorsuali, stabiliscono, in generale, la pubblicità dei provvedimenti finali delle procedure selettive, disponendo, che siano pubblicate le sole graduatorie definitive dei vincitori di concorso e non anche l’elenco degli ammessi e non ammessi alla selezione o a prove intermedie (cfr. art. 7, d.P.R. 10 gennaio 1957, n. 3; nonché art. 15, d.P.R. 9 maggio 1994, n. 487, in particolare, commi 5, 6 e 6 bis e, più in generale, sulla pubblicità delle procedure di reclutamento del personale delle pubbliche amministrazioni, art. 35, comma 3, d. lgs. 30 marzo 2001, n. 165).

Quindi il Comune può diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD [3] ).

Il Garante al proposito ha pubblicato le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati» adottate con provvedimento generale n. 243 del 15/5/2014, pubblicato in G.U. n. 134 del 12/6/2014, nelle quali si vieta espressamente la pubblicazione degli atti e documenti nell’albo pretorio oltre i termini di legge.

La decisione del Garante

Nonostante le giustificazioni fornite dal Comune di San Marco in Lamis (FG) il Garante ha ritenuto il comportamento illecito ribadendo che per quanto attiene i propri atti: «gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi […]. A tal proposito, ad esempio, la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall´art. 124 del citato d. lgs. n. 267/2000, può integrare una violazione del suddetto art. 19, comma 3, del Codice [n.d.r. oggi riprodotto nell’art. 2-ter, commi 1 e 3, del Codice], laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione […]. [In tal caso] se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali[,] provvede[ndo] a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati».

La sanzione

Il Garante ha inflitto al Comune di San Marco in Lamis, in persona del legale rappresentante pro-tempore (SIndaco):

  • di pagare la somma di € 3.000,00 (tremila) a titolo di sanzione amministrativa pecuniaria, entro 30 giorni dalla notifica del provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
  • la pubblicazione del provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;
  • l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

SCARICA L’ORDINANZA INGIUNZIONE: Sanzione per Comune di Monte Sant’Angelo , GarantePrivacy n.151 del 28/02/22.

Sito web del Comune di Monte Sant’Angelo dal sito della città (http://www.comune.monte-sant-angelo.fg.it/) al 14/06/2022

NOTE

[1] Reg.UE 2016/679 GDPR, art. 4 (Definizioni) «Ai fini del presente regolamento s’intende per: 1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o
identificabile («interessato»); si considera identificabile la persona fisica che può essere
identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; […omissis…]».

[2] Reg.UE 2016/679 GDPR, art. 6  (Liceità del trattamento) «3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
[…omissis…]
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
[…omissis…]
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;».

[3] Reg.UE 2016/679 GDPR art. 5 (Principi applicabili al trattamento di dati personali) lett. c «1. I dati personali sono: …omissis…
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);».

 

ALTRE SANZIONI PER ENTI PUBBLICI:

3.000 EURO DI SANZIONE DAL GARANTE PER IL COMUNE DI S.MARCO IN LAMIS (FG)

30.000 EURO DI MULTA DAL GARANTE PER IL COMUNE DI FORMIA (LT)

75.000 EURO DI MULTA DAL GARANTE PER IL MISE E LA REGIONE LAZIO

GLI ALTRI ARTICOLI SULLA PRIVACY DELLO STESSO AUTORE:

IL DIRITTO DI ACCESSO E LA TRASPARENZA NON SONO VALORI ASSOLUTI

DELLE VIOLAZIONI ALLA PRIVACY RISPONDONO I DIPENDENTI DELL’ENTE

RIPRESE ILLECITE POLIZIA SANZIONATA DAL GARANTE

I PIÙ FREQUENTI CASI DI DATA BREACH

IL FINE NON GIUSTIFICA I MEZZI

Proprietà artistica e letteraria riservata © Ethica Societas UPLI (2022)

Related posts

RINVIO DELLA RIFORMA CARTABIA, Luigi De Simone

@Direttore

IN PUGLIA LA PRIMA POLIZIA POLIZIA REGIONALE ULTRATECNOLOGICA [CON VIDEO], Massimiliano Mancini

@Direttore

ILLEGITTIME E OMISSIVE LE SANZIONI AMMINISTRATIVE PER VIOLAZIONE DI REGOLAMENTI COMUNALI IN TEMA DI RIFIUTI, Massimiliano Mancini

@Direttore