Diffusione dati personali e amministrazione trasparente: la responsabilità del Comune
La trasparenza consiste nella pubblicità di atti, documenti, informazioni e dati propri di ogni amministrazione, resa oggi più semplice e ampia dalla circolazione delle informazioni sulla rete internet a partire dalla loro pubblicazione sui siti istituzionali delle amministrazioni. Lo scopo è quello di favorire forme diffuse di controllo sull’azione amministrativa, sull’utilizzo delle risorse pubbliche e sulle modalità con le quali le pubbliche amministrazioni agiscono per raggiungere i propri obiettivi. (Vedi sezione Faq sul sito istituzionale dell’Autorità Garante).
Le linee guida del Garante (doc web. 3134436) pubblicate sulla Gazzetta Ufficiale n. 134 del 12 giugno 2014) distinguono gli obblighi di pubblicazione in: obblighi di pubblicazione per finalità di trasparenza (quelli previsti dal decreto trasparenza) e obblighi di pubblicazione per altre finalità (contenuti in altre disposizioni di settore non riconducibili a finalità di trasparenza, quali ad es. le pubblicazioni matrimoniali).
In merito alle tempistiche di pubblicazione il decreto trasparenza pone un termine generale di mantenimento online delle informazioni pari a 5 anni. Le uniche eccezioni riguardano:
- gli atti che producono ancora i loro effetti alla scadenza dei cinque anni, che devono rimanere pubblicati fino a che non cessa la produzione degli effetti (es. le informazioni riferite ai vertici e ai dirigenti della P.A., che vengono aggiornati e possono restare online oltre i cinque anni, fino alla scadenza del loro mandato);
- i dati riguardanti i titolari di incarichi politici, i dirigenti, i consulenti e i collaboratori (che devono rimanere pubblicati per i 3 anni successivi alla scadenza dell’incarico);
- i dati per i quali è previsto un termine diverso dalla normativa in materia di privacy.
Alla luce dell’accennato quadro normativo di recente il Garante ha sanzionato un Comune che ha diffuso dati personali comuni di un interessato senza un’adeguata base giuridica. L’Autorità era intervenuta su reclamo di una persona che lamentava la diffusione di dati personali contenuti all’interno di un curriculum vitae pubblicato sul sito web istituzionale di un Comune, con cui da tempo aveva cessato l’attività lavorativa. Nel corso dell’istruttoria il Garante ha accertato che il curriculum era rimasto disponibile online oltre l’arco temporale previsto dalla disciplina di settore e che la circostanza aveva comportato la diffusione dei dati in assenza di base giuridica. Il Comune, tra l’altro, non aveva neanche operato un’attenta selezione dei dati in esso contenuti (indirizzo di residenza, numero di cellulare e indirizzo di posta elettronica personali).
Quanto alla tesi difensiva avanzata dal Comune, secondo la quale la pubblicazione del curriculum del reclamante sarebbe dipesa dalla condotta negligente del fornitore cui era stata affidata all’epoca la gestione della pagina “Amministrazione Trasparente” del sito, il Garante ha ricordato che spetta al titolare del trattamento, quindi nel caso in esame al Comune, impartire adeguate indicazioni ai fini della corretta gestione del ciclo di vita dei dati a chi li tratta per suo conto. Indicazioni che l’Ente aveva mancato di dare alla società affidataria del servizio informatico. La diffusione dei dati personali del reclamante era pertanto avvenuta in maniera non conforme ai principi di “liceità, correttezza-trasparenza” e “minimizzazione dei dati”.