Trasparenza siti web: il Garante Privacy sanziona un Comune per pubblicazione illecita di dati personali
Il Garante per la protezione dei dati personali ha inflitto una sanzione amministrativa di 12.000 euro ad un Ente per aver pubblicato illegittimamente sui propri canali istituzionali i dati personali di centinaia di cittadini contenuti nei registri delle richieste di accesso civico e documentale.
L'istruttoria ha accertato che il Comune aveva pubblicato nella sezione "Amministrazione trasparente" del proprio sito web sette file contenenti complessivamente 1.455 istanze di accesso agli atti presentate tra il 2017 e il 2023. Nei documenti comparivano in chiaro: nomi e cognomi dei richiedenti e dei destinatari; numeri di protocollo e date delle istanze; oggetto dettagliato delle richieste; descrizioni specifiche che in molti casi rivelavano dati personali di terzi soggetti.
Particolarmente grave il caso di una richiesta relativa a "contributo per rimozione barriere architettoniche", dalla quale si potevano dedurre informazioni sullo stato di salute del cittadino interessato, configurando una violazione del divieto di diffusione dei dati sanitari previsto dall'art. 2-septies del Codice Privacy.
Il provvedimento del Garante evidenzia come la condotta del Comune abbia violato multiple disposizioni. Sul piano della protezione dei dati personali, la diffusione è avvenuta in violazione dell'art. 2-ter del Codice Privacy, che disciplina la base giuridica per il trattamento di dati personali da parte delle pubbliche amministrazioni. Come chiarito dalla normativa, la diffusione di dati personali da parte di soggetti pubblici è ammessa solo quando prevista da norma di legge o regolamento e necessaria per l'adempimento di compiti istituzionali.
Sul piano della trasparenza amministrativa, il Comune ha disatteso le indicazioni dell'ANAC e del Ministero della Pubblica Amministrazione. Le Linee guida dell'Autorità Nazionale Anticorruzione specificano infatti che il registro degli accessi deve contenere "l'elenco delle richieste con l'oggetto e la data e il relativo esito", ma con l'obbligo di "oscurare i dati personali eventualmente presenti" in sede di pubblicazione.
Il Comune ha tentato di giustificare la propria condotta invocando una "interpretazione ampia del principio di trasparenza", argomentazione che il Garante ha fermamente respinto. L'Autorità ha chiarito che nessuna norma prevede l'obbligo di pubblicazione dei dati personali dei richiedenti l'accesso o dei soggetti cui si riferiscono gli atti richiesti.
Inoltre, il Comune aveva sostenuto che non si trattasse di dati personali in quanto non erano presenti "codice fiscale, indirizzo di residenza, numero civico, luogo e data di nascita". Tale tesi è stata rigettata dal Garante, che ha ricordato come il RGPD definisca dato personale "qualsiasi informazione riguardante una persona fisica identificata o identificabile", includendo espressamente il "nome" tra gli identificativi diretti.
La decisione del Garante si inserisce in un orientamento giurisprudenziale consolidato che ha chiarito i limiti della trasparenza amministrativa quando vengono in rilievo dati personali. La giurisprudenza amministrativa ha infatti stabilito che la presenza di dati personali nei documenti da pubblicare non costituisce ostacolo all'accesso, ma impone all'amministrazione di procedere all'oscuramento dei dati non pertinenti rispetto alle finalità di trasparenza, in applicazione del principio di minimizzazione del trattamento.
Nell'irrogare la sanzione di 12.000 euro, il Garante ha considerato diversi elementi aggravanti e attenuanti. Tra i primi, la diffusione online di dati personali riferiti a diverse centinaia di persone, mantenuti sul sito istituzionale per anni e in un caso idonei a rivelare lo stato di salute dell'interessato.
Come circostanze attenuanti sono state valutate la tempestiva collaborazione del Comune, che ha immediatamente rimosso i dati dal sito web, l'assenza di precedenti violazioni e il fatto che non erano pervenute segnalazioni da parte degli interessati.
Il provvedimento rappresenta un importante monito per tutte le pubbliche amministrazioni sull'applicazione corretta dei principi di trasparenza. La pubblicazione di registri degli accessi, pur essendo una pratica raccomandata dalle linee guida, deve sempre avvenire nel rispetto della normativa sulla protezione dei dati personali.
Le amministrazioni devono pertanto: oscurare sistematicamente i dati personali presenti nei registri degli accessi prima della pubblicazione; limitare le informazioni pubblicate a quelle strettamente necessarie per le finalità di trasparenza; evitare interpretazioni estensive del principio di trasparenza che possano comportare violazioni della privacy; formare adeguatamente il personale sui corretti adempimenti in materia di trasparenza e protezione dati.
Il caso in esame dimostra come il bilanciamento tra trasparenza e privacy richieda particolare attenzione tecnica e giuridica, non potendo essere risolto attraverso mere valutazioni discrezionali dell'amministrazione. La trasparenza amministrativa, pur costituendo un principio fondamentale dell'ordinamento, deve sempre essere perseguita nel rispetto dei diritti fondamentali dei cittadini, primo fra tutti quello alla protezione dei dati personali.