È illecita la comunicazione ad una testata giornalistica, da parte di un Comune, dei dati personali di un dipendente comunale che ha avviato una procedura stragiudiziale nei confronti del Comune stesso rivendicando mansioni superiori

Scarica PDF Stampa
 

Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 116 del 2 luglio 2020

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9440000

Il fatto

Una dipendente del Comune di Manduria aveva presentato un reclamo al Garante per la protezione dei dati personali, nel quale sosteneva che l’ente pubblico avesse comunicato i suoi dati personali in maniera illegittima. In particolare, la dipendente comunale affermava che la commissione straordinaria del Comune avesse inviato un comunicato stampa a due testate giornalistiche locali e a due testate di rilievo regionale, all’interno del quale era indicato il nominativo della dipendente stessa e si faceva riferimento al fatto che quest’ultima avesse attivato una procedura stragiudiziale nei confronti del Comune per ottenere il riconoscimento di mansioni superiori e quindi il pagamento di una somma di denaro (nel caso di specie, per aver ella svolto delle mansioni dirigenziali in virtù di alcuni decreti che erano stati firmati dal precedente sindaco).

Il garante, ritenuta la possibile sussistenza di una violazione della normativa in materia di trattamento dei dati personali, avviava l’istruttoria nei confronti del Comune, invitando quest’ultimo a fornire memorie difensive e documenti a sostegno della propria posizione.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  25.60 €

L’ente pubblico, quindi, aveva formulato una richiesta di archiviazione del procedimento introdotto nei suoi confronti, in considerazione delle seguenti argomentazioni:

  • in primo luogo, poiché la nota stampa inviata ai giornali dalla commissione straordinaria, era avvenuta come replica ad un articolo giornalistico pubblicato da un ex amministratore del Comune stesso, il quale aveva sostenuto che la odierna reclamante avesse richiesto il trasferimento ad un altro ente pubblico a causa di alcune problematiche amministrative avute con il comune di Manduria;
  • in conseguenza di ciò, la nota stampa era stata inviata dai Commissari straordinari alle testate giornalistiche esclusivamente per tutelare l’immagine del Comune ed esporre la versione dei fatti dell’ente pubblico;
  • inoltre, il Comune sosteneva che il riferimento al nominativo della propria dipendente fosse già presente all’interno del primo articolo giornalistico pubblicato dal precedente amministratore e che comunque il Comune aveva effettuato la comunicazione dei dati soltanto per eseguire un compito connesso all’esercizio di pubblici poteri, cioè per tutelare l’immagine dell’ente pubblico macchiata dall’articolo pubblicato dal precedente amministratore;
  • inoltre, il Comune sosteneva di aver effettuato un bilanciamento di interessi fra la tutela della privacy della propria dipendente e l’obbligo di trasparenza gravante sul Comune, valutando che quest’ultimo dovesse prevalere rispetto alla prima, poiché la pubblicazione del nominativo della dipendente aveva una rilevanza pubblica connessa all’attività pubblica svolta dalla reclamante quale dipendente comunale;
  • infine, il Comune evidenziava come sussistesse comunque un obbligo a carico dell’Ente di pubblicare i dati personali della reclamante, secondo quanto previsto dalle disposizioni che impongono di pubblicare i dati relativi ai titolari di incarichi di collaborazione o consulenza con gli enti pubblici.

La decisione del Garante

Il Garante ha rigettato le argomentazioni difensive svolte dal Comune di Manduria e conseguentemente ha confermato l’illeicità del trattamento dati effettuato dall’Ente pubblico, sanzionandolo con il pagamento di un importo di euro 2.000.

Preliminarmente, l’autorità ha ribadito in quali casi un Ente pubblico, come un Comune, possa trattare i dati personali dei propri dipendenti, evidenziando in particolare che, anche qualora operino come datori di lavoro, gli enti pubblici possono trattare in maniera legittima i dati personali dei propri dipendenti soltanto se tale trattamento è necessario per adempiere a un obbligo legale cui è soggetto l’Ente oppure per eseguire compiti di interesse pubblico o connessi all’esercizio di pubblici poteri di cui è investito l’Ente.

Inoltre, se è vero che il Regolamento europeo (GDPR) prevede che i singoli Stati membri possano prevedere delle disposizioni specifiche relativamente a tale aspetto, è altresì vero che il Codice della privacy italiano prevede che la comunicazione di dati personali da parte di Enti pubblici può essere effettuata soltanto nel caso in cui vi sia una norma di legge o di regolamento che lo preveda.

Inoltre, anche nei casi in cui la comunicazione sia ammessa, l’ente pubblico deve comunque rispettare tutti i principi in materia di protezione dei dati personali come quello di liceità, correttezza e trasparenza del trattamento nonché quello di minimizzazione dei dati, secondo cui i dati che vengono pubblicati devono essere comunque leciti, corretti e trasparenti nonché devono essere pertinenti e limitati al minimo necessario, rispetto alle finalità che si vogliono raggiungere con la loro pubblicazione.

Sulla base di tali premesse, il Garante per la protezione dei dati personali ha respinto le argomentazioni difensive del Comune, in quanto non è possibile ritenere che la comunicazione alle testate giornalistiche dei dati personali della propria dipendente, da parte del Comune, sia stata effettuata per eseguire un compito connesso all’esercizio di pubblici poteri, né che tale comunicazione sia prevista dal diritto dell’unione o dal diritto italiano.

In secondo luogo, non si può neanche ritenere che la comunicazione a delle testate giornalistiche dei dati di una propria dipendente, da parte del Comune, rientri nella fattispecie disciplinata dalla normativa sulla trasparenza amministrativa, che impone all’Ente pubblico l’obbligo di pubblicare i dati relativi ai rapporti con i titolari di incarichi di collaborazione o consulenza con l’Ente stesso. Ciò in quanto il Comune, nel caso di specie, ha effettuato una comunicazione di dati personali a soggetti terzi (cioè le testate giornalistiche), mentre non ha effettuato una diffusione di dati personali attraverso la pubblicazione di una propria determina all’interno dell’albo pretorio (che configura, appunto, la fattispecie prevista dalla normativa sulla trasparenza dell’attività amministrativa degli enti pubblici richiamata dal Comune di Manduria). In ogni caso, evidenzia il Garante, che la citata normativa in materia di trasparenza riguarda la pubblicazione dei dati relativi ai titolari di incarichi di collaborazione o consulenza, pertanto non trova applicazione nel caso in cui si pubblichino i dati relativi al personale dipendente (come risulta inquadrata la reclamante nel caso di specie). Infine, l’autorità evidenzia come la comunicazione dei dati personali da parte del Comune di Manduria è stata effettuata non per finalità di trasparenza dell’azione amministrativa, ma per finalità di tutela dell’immagine del Comune stesso.

In considerazione di quanto sopra, l’autorità garante per la protezione dei dati personali ha ritenuto che la normativa richiamata dal Comune non sia applicabile al caso di specie e pertanto che non sussista alcuna norma giuridica che legittimi il trattamento e lo renda lecito. Pertanto, posto che nel caso in cui manchi una specifica disposizione normativa che lo autorizzi il Comune non può comunicare i dati personali dei propri dipendenti a soggetti terzi, si deve ritenere che la comunicazione di dati personali della dipendente attuata dal Comune di Manduria alle testate giornalistiche sia avvenuta in assenza di un idoneo presupposto di liceità.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  25.60 €

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento