Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 120 del 2 luglio 2020
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9440075
Volume consigliato
Il fatto
Nel provvedimento oggetto di commento, il Garante per la protezione dei dati personali ha emesso un’ordinanza ingiunzione nei confronti della regione Campania a seguito della pubblicazione sul proprio sito Web istituzionale, di alcuni dati personali di due soggetti. In particolare, a seguito di una segnalazione ricevuta, il Garante aveva avuto modo di verificare che nel sito Internet della regione Campania tutti gli utenti potevano visualizzare e scaricare liberamente un documento, firmato da un soggetto rappresentativo dell’Ente pubblico, che conteneva il nominativo e la residenza di due persone nei cui confronti la regione Campania aveva maturato un debito, in considerazione di quanto disposto da una sentenza giudiziaria civile, nonché l’ammontare del debito stesso.
Il Garante aveva quindi avviato l’istruttoria nei confronti della Regione e, ritenendo che quest’ultima avesse effettuato un trattamento di dati personali non rispettoso della normativa in materia di privacy, notificava alla stessa l’avvio del procedimento sanzionatorio e la invitava a fornire eventuali scritti difensivi o documenti per giustificare la propria condotta.
La Regione, accogliendo l’invito del Garante, inviava i propri scritti difensivi, sostenendo di aver correttamente adempiuto agli obblighi sulla medesima gravanti in materia di protezione dei dati personali e in generale di aver rispettato la relativa normativa. Nello specifico, la Regione chiedeva l’archiviazione della procedura avviata nei suoi confronti, per le seguenti ragioni:
- in primo luogo, sosteneva di aver già provveduto ad oscurare i dati personali dei soggetti che erano contenuti nella pagina Internet e che comunque agli stessi soggetti non erano derivati danni dalla diffusione dei loro nominativi ed indirizzi;
- in secondo luogo, sosteneva che ella era stata costretta ad inserire sul proprio sito internet istituzionale i dati oggetto di contestazione, in quanto la normativa in materia di riconoscimento dei debiti fuori bilancio delle Regioni imponeva la pubblicazione di tutti documenti relativi al debito stesso;
- in terzo luogo, sosteneva che gli stessi interessati non avevano azionato la procedura prevista dalla normativa di settore volta ad oscurare i dati personali contenuti all’interno di sentenze o provvedimenti giudiziari, omissione questa che rendeva legittima la diffusione di tali dati contenuti all’interno della sentenza relativa al caso di specie;
- infine, sosteneva che la pubblicazione dei dati all’interno del sito Internet era avvenuta molto tempo prima dell’entrata in vigore del decreto attuativo che, nell’agosto del 2018, aveva dato esecuzione al regolamento europeo 679/2016 (cosiddetto GDPR) e che, pertanto, nel momento in cui la Regione aveva tenuto la condotta incriminata, non essendo applicabile detta normativa, l’ente pubblico non poteva essere assoggettato a sanzioni amministrative in virtù del principio di legalità vigente nel nostro ordinamento (secondo cui non si possono applicare sanzioni amministrative per fatti che sono stati commessi prima dell’entrata in vigore della disposizione normativa che prevede dette sanzioni).
La decisione del Garante
Il Garante per la protezione dei dati personali non ha ritenuto accoglibili le argomentazioni difensive svolte dalla Regione Campania e conseguentemente ha confermato l’impostazione già formulata con il provvedimento che ha iniziato il procedimento sanzionatorio di cui al caso di specie, irrogando una sanzione pecuniaria alla Regione per l’importo di euro 4.000 e disponendo la pubblicazione dell’ordinanza stessa sul sito Internet istituzionale del Garante per la protezione dei dati personali.
Preliminarmente, l’autorità ha ribadito quali principi vigenti nel nostro ordinamento in materia di protezione dei dati personali, siano stati violati dalla Regione Campania con la condotta incriminata. In particolare, il Regolamento europeo (GDPR) prevede che gli enti pubblici, fra i quali rientrano anche le regioni, possano trattare in maniera lecita dati personali soltanto se tale trattamento è necessario per adempiere a un obbligo legale cui è soggetto l’Ente oppure per eseguire compiti di interesse pubblico o connessi all’esercizio di pubblici poteri di cui è investito l’Ente.
Inoltre, se è vero che lo stesso Regolamento europeo prevede che i singoli Stati membri possano prevedere delle disposizioni specifiche relativamente a tale aspetto, è altresì vero che il Codice della privacy italiano, secondo la formulazione vigente all’epoca dei fatti, prevedeva che la diffusione di dati personali (all’interno della quale rientra sicuramente la pubblicazione dei dati nelle pagine Internet), può essere effettuata da soggetti pubblici (come le regioni) soltanto nel caso in cui tale diffusione sia prevista da una norma di legge o di regolamento.
Inoltre, anche nei casi in cui la pubblicazione sia ammessa, l’ente pubblico deve comunque rispettare tutti i principi in materia di protezione dei dati personali come quello di liceità, correttezza e trasparenza del trattamento nonché quello di minimizzazione dei dati, secondo cui i dati che vengono pubblicati devono essere comunque leciti, corretti e trasparenti nonché devono essere pertinenti e limitati al minimo necessario, rispetto alle finalità che si vogliono raggiungere con la loro pubblicazione.
Dopodiché il garante ha analizzato le singole argomentazioni difensive della regione, respingendole tutte.
In primo luogo, ha evidenziato come gli articoli che stabiliscono il controllo da parte della Corte dei Conti dei debiti fuori bilancio degli enti pubblici, non prevedono che questi ultimi possano diffondere on-line i dati personali dei creditori.
In secondo luogo, le disposizioni specifiche relative all’oscuramento dei dati personali contenuti nelle sentenze giudiziarie, non possono essere richiamate per disciplinare la pubblicazione on-line di atti e documenti da parte di Enti pubblici. Infatti, tale normativa disciplina una fattispecie diversa, che riguarda la facoltà dell’interessato di chiedere, qualora vi siano dei legittimi motivi, l’oscuramento dei propri dati personali contenuti all’interno della sentenza per i casi in cui detta sentenza debba essere riprodotta. Pertanto, non si può applicare ai casi in cui vengano pubblicati documenti diversi, che richiamano i dati contenuti nella sentenza.
Infine, l’autorità ha rigettato anche l’ultima argomentazione sostenuta dalla Regione e relativa al momento di entrata in vigore dei decreti attuativi del Regolamento europeo, in quanto ha evidenziato come, nonostante la pubblicazione dei dati personali oggetto di contestazione fosse avvenuta prima dell’entrata in vigore dello stesso Regolamento europeo, comunque tale pubblicazione si è protratta sino a un momento successivo alla data in cui lo stesso è diventato applicabile. Infatti, dall’istruttoria effettuata dall’autorità, è risultato che i dati personali sono stati oscurati sul sito Web della regione Campania soltanto in un momento successivo al 25 maggio 2018 (momento in cui, appunto, il regolamento europeo è divenuto applicabile in Italia, così come nel resto d’Europa). Pertanto, poiché la violazione in esame ha natura permanente e cessa soltanto nel momento in cui finisce la condotta illecita (cioè nel momento in cui i dati vengono rimossi), si può ritenere che detta condotta sia proseguita fino a dopo che il regolamento europeo era già divenuto applicabile e pertanto ha violato detta ultima normativa.
In conclusione, il Garante ha quindi confermato che il trattamento di dati personali effettuato nel caso di specie dalla regione Campania è configurabile come illecito, in considerazione del fatto che la pubblicazione dei dati personali dei propri creditori all’interno del sito Web istituzionale viola il principio di minimizzazione dei dati nonché i principi di liceità, correttezza e trasparenza del trattamento.
Volume consigliato
Scrivi un commento
Accedi per poter inserire un commento