Data protection

La disciplina di protezione dei dati personali nell’ambito del contesto lavorativo pubblico. Gli obblighi che il datore di lavoro deve rispettare.

Il caso

Il Garante per la protezione dei dati personali (di seguito, “Garante”) è stato chiamato ad indagare riguardo ad un reclamo presentato ai sensi dell’art. 77 del Regolamento, nel quale veniva rappresentato che sono state pubblicate sull’albo pretorio di un Comune, presso cui presta la propria attività lavorativa, alcune deliberazioni contenenti dati personali che lo riguardano[1].

In particolare è stato rappresentato che nei predetti atti “sono chiaramente riportati nome e cognome, dati anagrafici e dati personali dell’istante, nonché chiari riferimenti a vicende connesse al rapporto di lavoro con l’Ente”.

La normativa applicabile.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri[2]. Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”[3]

Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2 del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione online) da parte di soggetti pubblici è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento o da atto amministrativo generale (art. 2-ter del Codice).

In particolare, con riguardo all’esercizio dei diritti, gli artt. da 15 a 22 del Regolamento attribuiscono all’interessato il diritto di chiedere al titolare del trattamento l’accesso ai dati personali e, al ricorrere dei relativi presupposti, la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguarda o di opporsi al loro trattamento, nonché il diritto alla portabilità dei dati.

Il titolare del trattamento è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati personali (art. 5 del Regolamento).

Il Garante nel corso dell’attività istruttoria ha rilevato una serie di violazioni che si riportano di seguito.

Il mancato riscontro alla richiesta di esercizio dei diritti dell’interessato.

L’art. 12[4] del Regolamento prevede che il titolare del trattamento debba fornire all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 del Regolamento senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa (par. 3). Se non ottempera alla richiesta dell’interessato, il titolare del trattamento deve informare l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale (par. 4).

Nel caso di specie dalla documentazione in atti è emerso che, sebbene a seguito della istanza del XX del reclamante il Comune si sia attivato, anche mediante il coinvolgimento del proprio Responsabile della protezione dei dati, e di conseguenza abbia proceduto alla eliminazione dei dati personali del reclamante contenuti nelle predette delibere, non ha, in ogni caso, provveduto a fornire alcun riscontro all’interessato nei modi previsti dal Regolamento.

Come sopra ricordato i titolari del trattamento che siano destinatari di richieste di esercizio dei diritti di cui agli articoli 15-22 del Regolamento da parte degli interessati, devono sempre, ove ne ricorrano i presupposti, fornire riscontro agli interessati nei termini e nei modi previsti dal Regolamento[5]. Per tali ragioni si evidenzia che il Comune, seppure ha dichiarato di aver provveduto alla eliminazione dei dati personali del reclamante nelle delibere in oggetto non ha, invece, fornito il dovuto riscontro all’interessato, in violazione dell’art. 12, par. 3 del Regolamento.

La diffusione di dati personali dei lavoratori.

Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria nonché dall’accertamento compiuto sulla base degli elementi acquisiti, a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, il Comune ha pubblicato sul proprio sito web istituzionale diversi atti e documenti contenenti dati personali e informazioni riferite, in particolare, a vicende riguardanti il rapporto di lavoro con l’interessato.

Con riguardo alla base giuridica che avrebbe giustificato la diffusione dei dati personali del reclamante, il Comune non ha comprovato l’esistenza di una specifica norma che obblighi l’ente a pubblicare i dati personali del reclamante con il quale era in corso un contenzioso – in relazione al rapporto di lavoro intercorrente con l’ente – nelle delibere di “conferimento degli incarichi legali per la difesa e la rappresentanza giudiziale” del Comune.

Deve evidenziarsi che in numerosi casi il Garante ha nel tempo dichiarato l’illiceità della diffusione di dati personali dei lavoratori, con particolare riguardo alla pubblicazione di informazioni relative a contenziosi instaurati tra gli interessati e l’amministrazione datrice di lavoro.

In particolare il Garante ha da tempo rappresentato in numerosi provvedimenti che il sistema di protezione dei dati personali richiede per qualsiasi operazione di trattamento (art.4, punto 2 del Regolamento) compresa la diffusione (art.2-ter comma 4 lett. b) del Codice) la necessità di disporre di un’idonea base giuridica. Da tempo sono state fornite indicazioni in ordine ai presupposti (e al ricorrere di questi, delle specifiche modalità) per la lecita pubblicazione, anche online, di atti e documenti che contengono dati personali riferiti ai lavoratori. Il Garante, in proposito, ha in numerose occasioni chiarito che anche la presenza di uno specifico regime di pubblicità non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali[6].

 Ciò è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto[7].

Si osserva, in particolare, che la pubblicazione degli atti sul sito web istituzionale nella sezione “Albo pretorio” e in quella “Amministrazione trasparente” risponde ad esigenze e finalità differenti. A tale riguardo si osserva che l’automatica pubblicazione in entrambe le sezioni da parte del Comune, così come emerge dalla documentazione in atti, senza aver previamente verificato se la pubblicazione di tali atti risponda a un obbligo di trasparenza oppure a specifiche disposizioni di settore può determinare una pubblicazione priva di idonea base giuridica[8]

In particolare la specifica normativa in materia di pubblicità degli atti amministrativi nella sezione “Albo Pretorio”[9] – che regola la pubblicazione per 15 giorni delle deliberazioni dell’Ente -, si limita a prevedere che gli obblighi di pubblicazione di atti e provvedimenti amministrativi aventi effetto di pubblicità legale si intendono assolti con la pubblicazione nei propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati, ma nulla prevede riguardo la pubblicazione di dati personali degli interessati con particolare riferimento a informazioni connesse allo specifico rapporto di lavoro.

Alla luce delle considerazioni che precedono, la pubblicazione sul sito web istituzionale delle delibere sopra richiamate ha determinato una diffusione di dati personali dell’interessato con riguardo a vicende inerenti al rapporto di lavoro dello stesso con il Comune, in assenza di idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e c), 6, par.1, lett. c) ed e) del Regolamento e dell’art. 2-ter del Codice.

Adozione di provvedimenti correttivi (art. 58, par. 2, lett. f) del Regolamento).

Allo stato, il Comune seppure ha provveduto, all’oscuramento delle generalità del reclamante, quest’ultimo può risultare comunque identificabile in ragione dei riferimenti in chiaro al numero di registro generale del procedimento e all’autorità giudiziaria di riferimento (es. XX), riportati nell’oggetto delle delibere. La pubblicazione delle predette delibere con modalità inidonee ad assicurare che il reclamante non venga identificato – ovvero senza il riferimento in chiaro al nome e al cognome, ma con l’indicazione di elementi che potrebbero consentire comunque di risalire indirettamente all’identità dell’interessato anche in ragione delle ridotte dimensioni territoriali del Comune e della condivisione di informazioni in un ristretto e specifico contesto lavorativo – continua a determinare, seppur indirettamente, una diffusione di dati personali del reclamante.

L’art. 58, par. 2, lett. f), del Regolamento prevede che il Garante ha i poteri correttivi di “imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento”.

In tale quadro, si ritiene necessario, in ragione dell’illiceità del trattamento effettuato, disporre, ai sensi dell’art. 58, par. 2, lett. f), la limitazione del trattamento in corso vietando al Comune ogni ulteriore diffusione di dati che possano, anche indirettamente, consentire l’identificazione del reclamante con riferimento alle delibere sopra indicate o con riferimento a ogni ulteriore delibera riferita allo stesso riguardanti, in particolare, informazioni relative a eventuali contenziosi instaurati tra l’interessato e l’amministrazione datrice di lavoro.

Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi del combinato disposto di cui agli artt. 11 e 14  del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune per aver diffuso online i dati personali del reclamante mediante la pubblicazione, sul proprio sito web istituzionale, di diverse delibere riferite a vicende riguardanti il rapporto di lavoro del reclamante con il Comune, in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, 6 del Regolamento e 2-ter del Codice e per non aver fornito il dovuto riscontro a una richiesta di esercizio dei diritti dell’interessato, in violazione dell’art. 12, par. 3 del Regolamento.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni sono tutte soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie sul sito internet del Garante (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

[1] Registro dei provvedimenti n.  133 del 13 marzo 2025. Link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10127776

[2] Cfr. Artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento.

[3] Cfr. art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice.

[4] Articolo 12 Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato (C58-C60, C64) 1. Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai Garante per la protezione dei dati personali minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato. 2. Il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22. Nei casi di cui all’articolo 11, paragrafo 2, il titolare del trattamento non può rifiutare di soddisfare la richiesta dell’interessato al fine di esercitare i suoi diritti ai sensi degli articoli da 15 a 22, salvo che il titolare del trattamento dimostri che non è in grado di identificare l’interessato. 3. Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato. 4. Se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale. 5. Le informazioni fornite ai sensi degli articoli 13 e 14 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 15 a 22 e dell’articolo 34 sono gratuite. Se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può: a) addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta; oppure b) rifiutare di soddisfare la richiesta. Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta. 6. Fatto salvo l’articolo 11, qualora il titolare del trattamento nutra ragionevoli dubbi circa l’identità della persona fisica che presenta la richiesta di cui agli articoli da 15 a 21, può richiedere ulteriori informazioni necessarie per confermare l’identità dell’interessato. 7. Le informazioni da fornire agli interessati a norma degli articoli 13 e 14 possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone sono leggibili da dispositivo automatico. 8. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 92 al fine di stabilire le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate. Garante per la protezione dei dati personali.

[5] Cfr. Cons. 59 e art. 12 del Regolamento.

[6]   Ex multis:  Provv. del 17 ottobre 2024, n.612 doc web 10073751 e precedenti in esso citati.

[7]  Cfr. artt. 5, par. 2; 24 e 25, par. 2, Regolamento.

[8]  Cfr. “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” del 15 maggio 2014 n. 243 doc. web n. 3134436 e “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” del 14 giugno 2007, doc. web n. 1417809.

[9]  Cfr. art. 124 del d.lgs. n. 267 del 18 agosto 2000 – Testo Unico delle leggi sull’ordinamento degli enti locali; v. anche art. 32, comma l, della L. n.69 del 18 giugno 2009.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

amministratore condominio
istruzione scolastica

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

NIS2
La direttiva NIS2 e le scadenze da rispettare per la sua applicazione.
24 Gennaio 2025
Gli obblighi di trasparenza in capo all’Ente riguardo alla pubblicazione dei concorsi e rispetto della riservatezza per le persone con disabilità.
Gli obblighi di trasparenza in capo all’Ente riguardo alla pubblicazione dei concorsi e rispetto della riservatezza per le persone con disabilità.
26 Agosto 2024
disaster recovery
Adozione di un Piano di disaster recovery e di business continuity alla luce dell’art. 32.1, lett. b) e c) e art. 83.4, lett. a) del Regolamento UE 2016/679 (GDPR).
8 Marzo 2024

Start typing and press Enter to search