Il Garante per la protezione dei dati personali ha sanzionato con 12.000 euro un ente comunale del Nord Italia (premere qui per leggere) per aver pubblicato sul proprio sito istituzionale, nella sezione “Amministrazione trasparente”, registri di accesso agli atti contenenti dati personali di centinaia di cittadini.
La vicenda mette in luce la delicata tensione tra obblighi di trasparenza amministrativa e tutela della riservatezza, ribadendo che la diffusione indiscriminata di nominativi e informazioni personali online non è mai giustificata.
I fatti: registri pubblicati integralmente online
Durante le verifiche, l’Autorità ha accertato che erano liberamente consultabili file contenenti nomi, cognomi e dettagli delle richieste di accesso agli atti presentate da cittadini tra più anni. In alcuni casi, le descrizioni riportavano anche dati indirettamente idonei a rivelare lo stato di salute degli interessati (ad esempio richieste legate a contributi per la rimozione di barriere architettoniche).
La pubblicazione di tali registri era indicizzata dai motori di ricerca, esponendo così dati personali a una diffusione potenzialmente illimitata.
La difesa dell’ente
Il Comune ha sostenuto di aver agito in buona fede, ritenendo di interpretare in senso ampio il principio di trasparenza. Ha sottolineato l’assenza di reclami da parte dei cittadini, la rimozione tempestiva dei file dopo l’avvio dell’istruttoria e il fatto che non fossero diffusi dati come codici fiscali o indirizzi.
Tali argomentazioni non hanno però convinto il Garante, che ha evidenziato come anche il semplice nome e cognome costituiscano dati personali e che la diffusione online di tali informazioni richiede una base giuridica adeguata, assente nel caso concreto.
Il quadro normativo violato
Il Garante ha richiamato le norme chiave del Regolamento (UE) 2016/679 e del Codice Privacy:
- Art. 5, par. 1, lett. a) e c) GDPR: liceità, correttezza, trasparenza e minimizzazione dei dati;
- Art. 6 GDPR: mancanza di una base giuridica per la diffusione online;
- Art. 9 GDPR e art. 2-septies Codice Privacy: divieto di diffusione dei dati relativi alla salute;
- Art. 2-ter Codice Privacy: diffusione illecita di dati personali da parte di soggetti pubblici;
- Art. 7-bis, comma 3, d.lgs. 33/2013: eventuali pubblicazioni facoltative devono avvenire previa anonimizzazione.
Le Linee guida ANAC e la Circolare FOIA del 2019 richiedono esplicitamente che i registri degli accessi siano pubblicati solo dopo aver oscurato i dati personali.
La decisione del Garante
Il trattamento è stato qualificato come illecito e sproporzionato, con violazioni che hanno interessato centinaia di cittadini. L’Autorità ha considerato la condotta colposa, originata da un’errata interpretazione del principio di trasparenza, ma comunque priva dei requisiti di liceità.
L’ente ha collaborato, rimosso i dati e non aveva precedenti sanzioni: circostanze che hanno consentito una riduzione della sanzione a 12.000 euro, ritenuta proporzionata e dissuasiva. È stata inoltre disposta la pubblicazione del provvedimento sul sito del Garante.
Spunti operativi per la P.A.
Il caso ribadisce tre principi essenziali per gli enti pubblici:
- trasparenza non equivale a diffusione indiscriminata: i registri degli accessi devono riportare solo oggetto, data e esito, oscurando i nominativi;
- anonimizzazione obbligatoria: ogni dato personale non strettamente necessario va rimosso prima della pubblicazione on-line;
- formazione e linee guida interne: uffici e dipendenti devono essere istruiti per bilanciare trasparenza e riservatezza, riducendo il rischio di violazioni.
Conclusione
La sanzione dimostra come la pubblicazione di documenti sul web senza adeguata ponderazione rappresenti una minaccia concreta per i diritti fondamentali dei cittadini. La trasparenza amministrativa deve sempre rispettare il perimetro fissato dalla normativa sulla protezione dei dati: chiarezza e accessibilità sì, esposizione indiscriminata no.
The post LA SANZIONE DEL MERCOLEDÌ: trasparenza on-line eccessiva, Comune sanzionato per 12.000 euro first appeared on Osservatorio Italiano sul Diritto delle Nuove Tecnologie.
