I dati personali contrassegnati dalle iniziali e pubblicati sul web nell'albo pretorio o nella sezione dell'amministrazione trasparente non sono ritenuti correttamente tutelati.

PROVVEDIMENTO N. 1

Il Garante della privacy con provvedimento del 2 luglio 2020, ha accolto il reclamo nei confronti del Comune di Greve in Chianti e dell’Unione Comunale del Chianti Fiorentino a cui esso appartiene, che avevano pubblicato sui rispettivi siti web, nella sezione amministrazione trasparente o nell’albo online, atti amministrativi riferibili al reclamante, diffondendo anche dati personali relativi a condanne penali e a reati.
Nel corso dell’istruttoria, le due amministrazioni hanno sostenuto che la pubblicazione fosse obbligatoria ai sensi della normativa sulla trasparenza e sulla pubblicità legale degli atti e che, in ogni caso, la persona interessata fosse difficilmente identificabile, in quanto negli atti amministrativi oggetto di pubblicazione erano riportati solo il numero di matricola o le iniziali del cognome e del nome.
Una delle due amministrazioni, tra l’altro, aveva affermato che la pubblicazione era stata avallata anche dal Responsabile per la protezione dei dati - Rpd/Dpo - dell’ente.
Il Garante ha però rilevato che le normative citate non consentivano la diffusione di quei dati personali, tra cui quelli relativi a condanne penali e reati. L’interessato, inoltre, poteva facilmente essere identificato dai colleghi, da conoscenti e da numerosi altri soggetti in ambito locale.
Il Comune e l’Unione di Comuni hanno ricevuto due sanzioni pecuniarie rispettivamente di 4.000 e 6.000 euro.

PROVVEDIMENTO N. 2

Un altro provvedimento sanzionatorio del 2 luglio 2020 e' stato emessso nei confronti del Comune di Manduria che aveva inviato, per posta elettronica ad alcune testate locali, un “decreto di citazione” con i dati, riferibili anche a vicende penali e a misure di sicurezza e prevenzione, di cinque persone, tra cui tre testimoni citati a comparire.
L’ente locale aveva giustificato la trasmissione del documento ai giornalisti con il fine di tutelare la propria immagine ed esercitare il legittimo diritto di critica nei confronti di alcuni attacchi pubblicati sulla stampa.
Anche in questo caso, però, il Garante ha rilevato che la comunicazione di tali dati non fosse giustificata dalla presunta “esecuzione di un compito connesso all’esercizio di pubblici poteri” o da un’altra base normativa, come quella sulla trasparenza. Al Comune è quindi stata comminata una sanzione di 2.000 euro.

Il Garante, nell’approvare i provvedimenti e le relative sanzioni, ha ribadito agli enti locali che il trattamento di dati personali effettuati da soggetti pubblici è lecito solo se necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento oppure per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Ha inoltre aggiunto che la diffusione di dati personali, come la pubblicazione su Internet, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o di regolamento.

In ogni caso, l’ente locale è tenuto a rispettare i principi indicati dal Regolamento europeo in materia di protezione dei dati personali, in particolare, quelli di liceità, correttezza e trasparenza nonché di minimizzazione, in base al quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

PSEUDONIMIZZAZIONE STRUMENTO DI PROTEZIONE E DESENSIBILIZZAZIONE

Si ricorda che, ai sensi dell'articolo 32 del Regolamento UE GDPR n. 2016/679 per la protezione dei dati personali, l'unico sistema desensibilizzante dei dati particolari e giudiziari e' costituito dalla pseudonimizzazione e cifratura dei dati personali.

La «pseudonimizzazione» identifica il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

La pseudonimizzazione neutralizza anche la situazione in cui il consenso dell'interessato sia stato ottenuto per una finalità diversa da quella per la quale i dati personali sono stati raccolti costituendo garanzie adeguate adottate dal titolare del trattamento per la protezione dei dati personali.

Per la protezione dei dati fin dalla progettazione - privacy by design - e protezione per impostazione predefinita - privacy by default -  il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso .

L’Agenzia europea per la sicurezza delle reti e dell'informazione - ENISA, sin dal 2004, collabora con l’Unione Europea e si occupa di rendere l’Europa cyber-sicura. Nelle sue "Tecniche e buone pratiche di pseudonimizzazione" raccomanda un elevato livello di competenza capace di elaborare un processo di pseudonimizzazione resistente che riduca al minimo le minacce di attacchi di discriminazione o di re-identificazione, garantendo al contempo il livello di funzionalità necessaria ai fini della pseudonimizzazione dei dati.

Pseudonimizzazione Tecniche 2020 10 31 18 28 59

Secondo i considerando n. 28, 29, 78, 156 del GDPR, l’applicazione della pseudonimizzazione ai dati personali  riduce i rischi per gli interessati e aiuta i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati.

Il titolare del trattamento che effettua il trattamento dei dati personali dovrebbe indicare i soggetti, al suo interno, autorizzati alla pseudonimizzazione.

La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni presenti nel GDPR.
Al fine di poter dimostrare la conformità con il GDPR, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default.
Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali e pseudonimizzare i dati personali il più presto possibile.

Anche il trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici dovrebbe essere soggetto a garanzie adeguate per i diritti e le libertà dell’interessato, in conformità del GDPR.
Tali garanzie dovrebbero assicurare che siano state predisposte misure tecniche e organizzative al fine di garantire, in particolare, il principio della minimizzazione dei dati.
L’ulteriore trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è da effettuarsi quando il titolare del trattamento ha valutato la fattibilità di conseguire tali finalità trattando dati personali che non consentono o non consentono più di identificare l’interessato, purché esistano garanzie adeguate, come ad esempio la pseudonimizzazione dei dati personali.

Dott. Igino Addari
DPO