Il Garante sanziona un Comune perché senza DPO e per la pubblicazione oltre i 15 giorni nell’albo pretorio

Importante provvedimento del Garante Privacy, che sanziona un Comune perché senza DPO e per la pubblicazione oltre i 15 giorni nell’albo pretorio.

Il Garante (link all’ordinanza di ingiunzione) decide a seguito di un reclamo scaturito dalla pubblicazione sul sito web istituzionale di un Comune, nella sezione Amministrazione trasparente/Provvedimenti/Provvedimenti indirizzo-politico, visibile e liberamente scaricabile di una delibera di Giunta comunale che riportava dati e informazioni personali del reclamante, fra cui la circostanza di essere stato destinatario di un atto di denuncia-querela da parte del Sindaco.

Il caso

Al riguardo, il Comune si è giustificato affermando che la pubblicazione della deliberazione si era resa necessaria al fine di tutelare la reputazione dell’Ente da affermazioni che il segnalante aveva divulgato in veste istituzionale di Consigliere all’interno della Casa Comunale nelle sua veste pubblica. La deliberazione, pertanto, autorizzava il Sindaco ad agire nei confronti, non di un privato cittadino, ma di un Consigliere comunale nella sua veste pubblica.

La successiva permanenza del dato personale, all’interno della deliberazione, a giudizio del Comune, trovava giustificazione negli automatismi in essere tra la pubblicazione all’albo dei documenti firmati digitalmente e il mantenimento degli stessi nella sezione “Amministrazione trasparente”.

Peraltro, a seguito di una verifica risulta che quell’ente non si era ancora dotato di DPO (Responsabile per la protezione dei dati).

Il Garante sanziona un Comune perché senza DPO e per la pubblicazione oltre i 15 giorni nell’albo pretorio

Al riguardo il Garante ha ribadito che una volta trascorso il periodo temporale previsto dalle singole discipline per la pubblicazione degli atti e documenti nell’albo pretorio:

– «gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi […]. A tal proposito, ad esempio, la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall ́art. 124 del citato d. lgs. n. 267/2000, può integrare una violazione del suddetto art. 19, comma 3, del Codice [n.d.r. oggi riprodotto nell’art. 2-ter, commi 1 e 3, del Codice], laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione […]. [In questa ipotesi] se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali. In tali casi, quindi, è necessario provvedere a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» (parte seconda, par. 3.a).

A causa di queste infrazioni, aggravate dall’assenza del DPO, il Garante ha ordinato il pagamento di 10.000,00 euro.