Un recente provvedimento del Garante (Provvedimento del 24 gennaio 2024 n. 9986304), offre lo spunto per richiamare l’attenzione delle P.A. sulle modalità di pubblicazione dei propri provvedimenti o dei dati o informazioni relativi alla propria attività. Un’attenzione ulteriormente rafforzata, poi, va posta con riferimento alle pubblicazioni sui social network, posto che proprio da una pubblicazione su facebook di un ente locale durante il periodo Covid trova origine il provvedimento sanzionatorio del Garante.

Il caso esaminato.

Un Ente Locale (Comune) ha diffuso dati anagrafici e di contatto, nonché relativi alla salute di alcuni cittadini, mediante la pubblicazione sulla propria pagina Facebook, dei post che contenevano:

• una mappa delle abitazioni dei soggetti positivi o in isolamento,
• uno screenshot della mail della ASL con esiti dei tamponi effettuati ai “XX”,-
• nota ASL contenente l’esito negativo del tampone riferito a un soggetto del quale è indicato l’indirizzo e il sesso, cfr.
• nota ASL relativa alla dimissione di un paziente, con dati personali, non adeguatamente oscurati; ingrandendo l’immagine si leggono infatti le generalità, l’indirizzo, i recapiti telefonici, la diagnosi e la data dell’effettuazione dei due tamponi che hanno dato esito negativo.

Con particolare riferimento a quanto accertato, il Garante evidenziava il rischio che, anche nel caso della pubblicazione della documentazione in cui non sono riportati i dati identificativi completi degli interessati (per esempio, la mappa o la comunicazione riportante solo le iniziali puntate, etc.), soprattutto in realtà territoriali come quella di un Comune di ridotte dimensioni, gli interessati siano, comunque, identificabili in quanto correlati agli indirizzi di abitazione.

Per di più tale documentazione è rimasta pubblicata per molto tempo sino all'accertamento del Garante.

La disciplina sulla pubblicazione dei dati personali da parte degli Enti Pubblici.

Il trattamento dei dati personali effettuato da soggetti pubblici è, di regola, lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e), del Regolamento).

Con riferimento al trattamento dei dati per finalità di pubblico interesse nell’ordinamento italiano risulta applicabile l’art. 2-ter, del Codice, nel testo vigente all’epoca dei fatti (antecedente alle modifiche apportate dal citato d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205).

In tale quadro, i soggetti pubblici possono diffondere dati personali se tale operazione è prevista per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri e sono ammesse unicamente se previste da una norma di legge, di Regolamento o da un atto amministrativo generale.

Il dato può essere diffuso se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri attribuiti agli Enti che procedono con la pubblicazione. In tale ultimo caso, tuttavia, ne deve essere data notizia al Garante almeno dieci giorni prima dell'inizio della comunicazione o diffusione.

Il titolare del trattamento, pur in presenza di una condizione di liceità, è poi, in ogni caso, tenuto a rispettare i principi di cui all’art. 5 del Regolamento, tra i quali, i suindicati principi di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento).

Per quanto concerne i trattamenti aventi ad oggetto categorie particolari di dati personali di cui all'articolo 9, par. 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del par. 2, lett. g), del medesimo articolo, “sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (art. 2-sexies, comma 1, del Codice).

In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, n. 15 del Regolamento), in ragione delle maggiori garanzie riconosciute dal Regolamento e dal Codice, stante la particolare delicatezza di tale categoria di dati, è espressamente previsto che “non possono essere diffusi” (art. 2-septies, comma 8, del Codice e art. 9, paragrafo 4, del Regolamento).

Alla luce della disciplina sopra richiamata, è evidente che la pubblicazione dei dati personali e sanitari sulla pagina facebook costituisce un illecito.

La sanzione comminata dal Garante.

Alla luce della rilevata illiceità, il Garante comminava al Comune una sanzione nella misura di euro 3.000 (tremila) per la violazione degli artt. 5, par. 1, lett. a), 6, par. 1 lett. c) ed e), e 9 del Regolamento, e degli artt. 2-ter, 2-sexies, e 2-septies, par. 8 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), il Garante tiene in considerazione sia la specifica natura del trattamento – concernente la diffusione di dati personali mediante una pagina Facebook, pubblicamente accessibile, del Comune – sia la prolungata durata dello stesso. In senso favorevole al titolare il Garante ha invece considerato che la pubblicazione ha riguardato un numero esiguo di interessati (tre casi) e che il predetto Comune ha, comunque, oscurato i dati personali contenuti nella documentazione pubblicata online, sebbene tale operazione, come riscontrato dall’Ufficio nel corso dell’istruttoria, non risulti essere stata effettuata in modo completo o adeguato.

Altre forme di pubblicazione

• Albo Pretorio

La disposizione di ordine generale sulla tenuta dell’albo pretorio negli enti locali è contenuta nel “Testo unico delle leggi sull’ordinamento degli enti locali”, il quale sancisce che “Tutte le deliberazioni del comune e della provincia sono pubblicate mediante affissione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge” e che “Tutte le deliberazioni degli altri enti locali sono pubblicate mediante affissione all’albo pretorio del comune ove ha sede l’ente, per quindici giorni consecutivi, salvo specifiche disposizioni” (art. 124, commi 1 e 2, del d. lgs. n. 267/2000).

Va aggiunto che, accanto a tale regola, nel corso del tempo si sono susseguite molteplici disposizioni di natura statale, regionale e locale che sanciscono a carico degli enti locali ulteriori obblighi di pubblicazione di atti e documenti nella bacheca dell’albo pretorio per periodi di tempo differenziati, producendo una frammentazione della disciplina in materia (ad es. la pubblicazione degli annunci di matrimonio, dell’elenco dei Giudici Popolari).

Ciò premesso, come precisato dal Garante della Privacy con il Provvedimento Garante del 15 maggio 2014 n. 243 doc. web n. 3134436 (“Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”), l’amministrazione locale che debba di pubblicare sull’albo pretorio online un atto contenente dati personali è tenuta a verificare, preliminarmente, per i dati comuni, l’esistenza di una norma di legge o di regolamento (ad es. l’obbligo di pubblicazione ai sensi dell’art. 124 TUEL) oppure, per i dati appartenenti a particolari categorie e giudiziari, la sussistenza di di una norma di legge (ai sensi degli artt. 2-sexies del Codice e dell’art. ) del Reg. UE 2016/679) che le prescriva l’affissione di quell’atto all’albo pretorio.

Ad es. non sussiste norma che preveda la pubblicazione di dati giudiziari contenuti nelle delibere di Giunta per l’affidamento di incarichi ad Avvocati di fiducie per la difesa dell’Ente in giudizio. Pertanto in tali delibere deve essere indicato solo il numero di R.G. (Registro Generale) del procedimento e non il nominativo della controparte.

In ogni caso, anche quando si rinviene l’obbligo di pubblicazione del dato comune, i soggetti pubblici sono tenuti a ridurre al minimo l’utilizzazione di dati personali e di dati identificativi ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l’interessato solo in caso di necessità (c.d. “principio di necessità” e di minimizzazione di cui all’art. 5 del GDPR)

Pertanto, anche in presenza dell’obbligo di pubblicazione ai sensi dell’art, 124 TUEL, è consentita la diffusione dei soli dati personali la cui inclusione in atti e documenti sia realmente necessaria e proporzionata al raggiungimento delle finalità perseguite dall’atto. Ad es. con riferimento ai provvedimenti relativi agli immobili, è necessario indicare l’ubicazione dell’immobile non necessariamente il nominativo dei proprietari né, a maggior ragione la residenza.

Inoltre, una volta trascorso il periodo temporale previsto per la pubblicazione degli atti e documenti nell’albo pretorio (ad. es i quindici giorni ai sensi dell’art. 124 TUEL), gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita, perché non supportata da idonei presupposti normativi la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall’art. 124 del citato d. lgs. n. 267/2000.

In tal senso se il Comune vuole rendere visibile un Albo Storico, deve essere reso visibile solo l’oggetto dei provvedimenti pubblicati (purché non contengano dati personali) e non il link al provvedimento completo se l’Amministrazione non è certa che tale atto non contenga dati personali.

Infine il Garante raccomanda alle amministrazioni pubbliche responsabili dell’inserzione degli atti nell’albo pretorio online, di adottare gli opportuni accorgimenti tecnici per evitare l’indicizzazione nei motori di ricerca generalisti della documentazione contenente dati personali e pubblicata sull’albo pretorio online dei siti istituzionali degli enti locali.

• Amministrazione Trasparente

Come evidenziato anche dal Garante della Privacy nelle linee guida del 15 maggio 2014 sopra richiamate, la finalità di Amministrazione Trasparente è diversa da quella dell'Albo Pretorio.

Amministrazione Trasparente, infatti, ha la finalità di rendere trasparente l'azione della Pubblica Amministrazione, mentre Albo Pretorio ha funzione di dare pubblicità ed efficacia a singoli provvedimenti, tanto che per quest'ultimo la durata della pubblicazione è limitata a 15 o 20 giorni.

Ciò premesso, non si rinvengono obblighi di pubblicazione specifici di dati personali in Amministrazione Trasparente, se non con l'eccezione di alcune sezioni specifiche, come quelle relative alle informazioni sui componenti degli organi di indirizzo politico (Giunta e Consiglio Comunale) o dei responsabili dei servizi dell’Ente.

I dati comuni devono essere poi inseriti con riferimento ai dati dei consulenti destinatari di incarichi, o ai componenti di Commissioni di gara, pubblicando anche il CV ma avendo cura, prima di pubblicare sul sito istituzionale il curriculum europeo, di eseguire una selezione delle informazioni in esso contenute, ed omettendo le informazioni non pertinenti (come ad es. l’indirizzo di residenza, il luogo o la data di nascita).

Anche con riferimento ai Bandi di Concorso, si evidenzia che può essere pubblicato esclusivamente il nominativo dei vincitori del concorso con l’indicazione della posizione in graduatoria senza ulteriori dati (come ad es. residenza o data o luogo di nascita o Codice Fiscale).

Con riferimento ai provvedimenti di attribuzione di vantaggi economici (sez. Sovvenzioni, contributi, sussidi, vantaggi economici) non devono essere pubblicati dati comuni (nominativi) ma altre soluzioni (ad es. utilizzare degli OMISSIS o numeri di protocollo) ove dalla pubblicazione sia possibile ricavare informazioni relative allo stato di salute e alla situazione di disagio economico-sociale degli interessati.

Inoltre, con riferimento ai nominativi di aziende in cui la denominazione coincide con la persona fisica, il Garante ha avuto modo di precisare che (provvedimento n.217/13 doc. web 2439150) “l’apposizione sui contrassegni della ragione sociale dell’azienda individuale, essendo idonea a identificare direttamente l’interessato (art. 4, comma 1, lett. b), del Codice), configura un trattamento di dati personali riguardanti le persone fisiche.”

Ciò significa che quando la denominazione della ditta individuale corrisponde alla denominazione della persona fisica, tale dato deve essere trattato alla stregua del dato della persona fisica (ad es. la ditta individuale dell'artigiano).

Le firme autografe

Sia per l’Albo Pretorio che per la sezione Amministrazione Trasparente sia, in genere, per altre pubblicazioni è necessario ricordare che ai sensi dell'art. 4, par. 1, n. 1, del Regolamento (UE) 2016/679, per "dato personale" si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato). Inoltre, "si considera identificabile la persona fisica che puo' essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o piu' elementi caratteristici della sua identita' fisica, fisiologica, genetica, psichica, economica, culturale o sociale".

La firma autografa rientra in tale definizione.

Pertanto, tra i dati da oscurare o non pubblicare in Amministrazione Trasparente rientra anche la firma autografa. Si tratterebbe di un dato eccedente le finalità di pubblicazione, posto che il valore del provvedimento è dato dall’originale conservato agli atti dell’Ente e sottoscritto a mano (per quei documenti ancora cartacei) o firmato digitalmente.