Com’è noto, se un documento contiene dati personali, è importante che l’amministrazione, prima di procedere alla pubblicazione sul proprio sito, verifichi la natura dei dati e le finalità della pubblicazione stessa.
Le cautele da adottare, infatti, cambiano a seconda che si tratti di un documento o provvedimento con dati comuni, o sensibili – giudiziari, o supersensibili (salute e vita sessuale) e alle finalità della pubblicazione. Lo stesso dicasi per la durata della pubblicazione, che se avviene per finalità di trasparenza è di norma di cinque anni, ai sensi del D.Lgs n. 33 del 2013, mentre se è effettuata ai soli fini dell’esecutività o efficacia dell’atto (albo on line) deve essere limitata al solo tempo previsto dalla legge (cfr, ad esempio, gli artt. 124 e 134 del TUEL, secondo cui le deliberazioni degli enti locali, a cui per giurisprudenza sono equiparate anche le determinazioni dirigenziali, devono essere pubblicate per quindici giorni consecutivi e diventono esecutive dopo il decimo giorno dalla loro pubblicazione).
Lo ha riaffermato di recente il Garante per la protezione dei dati personali con la newsletter del 24 aprile scorso, con la quale ha ricordato, fra l’altro, di avere vietato ad una Regione (doc. web n . 3882453) l’ulteriore pubblicazione sul proprio sito web dei dati personali di un dipendente presenti nella delibera di Giunta con la quale il lavoratore era stato trasferito ad altro ufficio per incompatibilità ambientali.
Per il Garante, “la pubblicazione dei dati personali del lavoratore sul sito della Regione oltre il termine di 15 giorni previsto dalla legge, non essendo prevista da alcuna norma, determina una diffusione illecita di dati personali”. Non solo. Il Garante ha ritenuto, anche, “non conforme al principio di pertinenza e non eccedenza del Codice privacy la messa online della delibera contenente una serie di informazioni risultate eccessive, nonché lesive della dignità del lavoratore (nome e cognome del dipendente, valutazioni sulla professionalità e sul comportamento, motivi del trasferimento, dettagli su rapporti conflittuali, difficoltà di funzionamento dell’ufficio attribuiti alla sua presenza)” .
La Regione potrebbe decidere di pubblicare tutte le deliberazioni con analogo contenuto, ma dovrebbe anonimizzare i dati personali degli interessati.
Per evitare sanzioni, è opportuno che gli enti ripassino di continuo attentamente le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati“, approvate con deliberazione dell’Autorità n. 243 del 15 maggio 2014.
Su questo argomento, si rinvia anche all’articolo in questa Rivista dello stesso Autore sull’accesso civico.