Vietata la pubblicazione dei dati personali sull’albo on line oltre i 15 giorni previsti
Da poco tempo è stato introdotto l’obbligo per le PA di istituire un Albo Pretorio on line e l’attività sanzionatoria del Garante Privacy in materia di pubblicazione e diffusione sul web di dati personali da parte di enti pubblici non si è fatta attendere. nell’ambito della collaborazione con lo Studio legale Lisi Graziano Garrisi e Francesca Giannuzzi segnalano un recente provvedimento di condanna di un Comune che ci ricorda quanto sia delicata l’attività di chi deve pubblicare on line. In ballo "multe" fino a 180.000 euro.
3 Aprile 2012
Graziano Garrisi e Francesca Giannuzzi*
Da poco tempo è stato introdotto l’obbligo per le PA di istituire un Albo Pretorio on line e l’attività sanzionatoria del Garante Privacy in materia di pubblicazione e diffusione sul web di dati personali da parte di enti pubblici non si è fatta attendere: si segnala al riguardo un recente provvedimento di condanna in capo a un Comune che ci ricorda quanto sia delicata l’attività di chi deve pubblicare on line.
Il Garante Privacy, infatti, nel provvedimento n. 73 del 23 febbraio 2012 ha vietato al Comune di Veronella di diffondere ulteriormente in Internet i dati personali di una cittadina contenuti in una delibera comunale pubblicata nel sito web istituzionale del Comune, all’interno della sezione dedicata all’albo pretorio. In particolare, nella citata delibera erano presenti nome, cognome, indirizzo di residenza della signora, nonché il numero e il dispositivo della sentenza della Commissione Tributaria Provinciale di Verona di rigetto del ricorso (presentato dalla stessa contro il Comune avverso un avviso di accertamento ICI), con la notizia della contestuale condanna alle spese. A nulla sono valse le giustificazioni addotte dal Sindaco, secondo cui i dati contenuti dalla delibera comunale non rappresentavano dati sensibili e la loro diffusione rientrava nella finalità istituzionale di arginare il fenomeno dell’evasione dell’imposta comunale sugli immobili; lo stesso precisava, inoltre, di aver provveduto a modificare le modalità di pubblicazione delle delibere che trattano di autorizzazione a resistere in giudizio o ricorsi. Il Garante, però, non ha ritenuto tali argomentazioni sufficienti, dal momento che la pubblicazione integrale della delibera in questione è avvenuta per più dei 15 giorni previsti dall’art. 124, comma 1, del d.lgs. 18/8/2000 n. 267 recante il “Testo unico delle leggi sull’ordinamento degli enti locali”. Infatti, i soggetti pubblici che, per effetto dell’art. 32, comma 1, della legge 18/6/2009 n. 69, dal 1° gennaio 2010 devono assolvere l’obbligo di pubblicazione di atti e provvedimenti amministrativi aventi effetto di pubblicità legale con la pubblicazione degli stessi nei propri siti informatici (c.d. “albo pretorio on line”), devono comunque rendere accessibili i documenti sul proprio sito web solo nell’arco temporale individuato dalla specifica norma (in questo caso il TUEL), in modo da garantire il diritto all’oblio degli interessati.
Trascorsi, come nel caso di specie, 15 giorni, il Comune di Veronella avrebbe pertanto dovuto rimuovere la notizia o comunque privarla degli elementi identificativi dell’interessata, in ottemperanza a quanto dal Garante medesimo previsto nelle “Linee Guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web”, pubblicate in G. U. n. 64 del 19 marzo 2011. La conservazione della deliberazione comunale in versione integrale nell’albo pretorio on line del Comune di Veronella ha comportato, dunque, una diffusione illecita dei dati personali per l’arco temporale successivo ai 15 giorni previsti dall’art. 24 del TUEL. Da qui, il divieto da parte del Garante Privacy, sulla scorta di quanto previsto dall’art. 143 del D. Lgs. n. 196/2003, di diffondere ulteriormente in Internet i dati della signora contenuti nella predetta delibera e la prescrizione in capo al Comune di Veronella di apportare gli opportuni accorgimenti affinché le modalità di pubblicazione delle deliberazioni contenenti dati personali sul sito web istituzionale e, in particolare, sull’albo pretorio on line rispettino le indicazioni – relative al mantenimento della diffusione dei dati in Internet – fornite dal Garante con il provvedimento del 2 marzo 2011 recante le "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web", pubblicato in G. U. n. 64 del 19 marzo 2011.
Evidentemente nel caso di specie, gli accorgimenti organizzativi e tecnici adottati dal Comune in ordine alle delibere riguardanti ricorsi e consistenti nel sostituire i nominativi dei ricorrenti con degli omissis non avevano sortito alcun effetto sulla delibera della Giunta Comunale contenente i dati personali della signora, visto che, nonostante le predette modifiche, tale delibera continuava a essere pienamente visibile sul sito del Comune.
Con l’esame del caso concreto si può notare come le citate Linee Guida del 2 marzo offrano un valido strumento alle Pubbliche Amministrazioni obbligate a pubblicare on line determinati documenti, sia perché chiariscono e delimitano il rapporto “trasparenza/riservatezza” nell’agire amministrativo (rapporto da sempre sotto la lente d’ingrandimento del Garante Privacy dapprima con le “Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali”, poi con le “Linee guida in materia di trattamento dei dati personali contenuti anche in atti e documenti amministrativi effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web”), sia perché costituiscono un aiuto tecnico non trascurabile, offrendo una spiegazione in merito a quali accorgimenti operativi attuare per ottemperare alle prescrizioni ivi contenute.
Si ricorda, tra l’altro, che ai sensi della Circolare n. 13/2011 del Ministero degli Interni (che offre chiarimenti sul procedimento di pubblicazione), l’amministrazione deve provvedere a che le informazioni disponibili sul sito web “siano pubblicate in un formato e con modalità tali da non consentirne la modificazione da parte degli utenti della rete”; per ottenere tale scopo viene consigliata l’apposizione della firma digitale da parte del Responsabile. In tale procedimento di pubblicazione, dal punto di vista organizzativo, un ruolo molto importante è affidato al soggetto che richiede la pubblicazione, che sarà responsabile del contenuto del documento da pubblicare, oltre che al Responsabile della pubblicazione che avrà il delicato compito di verificare sempre se il documento sia conforme o meno alla normativa vigente. È necessario, altresì, che le amministrazioni locali garantiscano il diritto all’oblio dell’interessato e assolvano all’obbligo della pubblicità legale solo dopo aver compiuto una selezione attenta dei dati personali da diffondere attraverso l’albo on line, sulla base dei principi di pertinenza, non eccedenza e indispensabilità delle finalità perseguite dai singoli atti (ovvero dell’art. 11 del Codice Privacy richiamato sia dalle Linee Guida del Garante Privacy sia dalle Linee Guida DigitPA).
Le sanzioni in caso di omessa adozione delle misure di sicurezza previste in questi casi dalla normativa e, in particolare, dalla disciplina in materia di corretto trattamento dei dati personali sono notevoli: infatti, se in questo caso non vengono applicate le opportune misure per evitare di diffondere ulteriormente in Internet i dati personali dell’interessata, sia attraverso la pubblicazione nell’albo pretorio online che in qualsiasi altra area del sito web istituzionale, si rischia il pagamento di sanzioni fino a 180.000 euro (nel caso di specie il Garante Privacy ha richiamato l’art. 170 del Codice in base al quale “chiunque essendovi tenuto non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni” e l’art. 162, comma 2-ter del Codice secondo il quale “in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro”). Nel caso del Comune di Veronella la stessa Autorità ha dichiarato che sta valutando, con separato provvedimento, se ricorrono gli estremi per contestare al Comune una sanzione amministrativa per l’illecito commesso. Da non trascurare saranno, inoltre, gli aspetti legati alla eventuale richiesta di risarcimento del danno da parte della signora interessata che in sede civile potrà far valere i suoi diritti ai sensi dell’art. 15 del Codice Privacy e del 2050 del Codice Civile[1].
*Graziano Garrisi e Francesca Giannuzzi – Digital&Law Department – Studio Legale Lisi – (www.studiolegalelisi.it)
[1] Sullo specifico tema trattato e facendo un parallelismo con il vecchio albo pretorio cartaceo, anche la Corte di Cassazione si è pronunciata di recente (sentenza n. 2034 del 13 febbraio 2012), circa dei danni non patrimoniali riconosciuti a un dipendente di un Comune i cui dati (atto amministrativo contenente le infermità del dipendente) erano stati pubblicati in bacheca comunale: in questo caso la suprema Corte ha riconosciuto il risarcimento per diffusione di dati sensibili poiché il riferimento alla patologia da cui era affetto il dipendente (e per la quale gli era stata negata la dipendenza da causa di servizio) non era stata oscurata.