Può la finalità di controllo sull’azione della PA giustificare la totale ostensione di dati personali?

Il Garante per la protezione dei dati personali ingiungeva ad una Regione il pagamento di una sanzione amministrativa pari ad € 20.000,00 per aver realizzato, in violazione del Codice di protezione dei dati personali, con una deliberazione la diffusione di dati personali con modalità non previste dalla legge. In particolare, veniva contestato il fatto di aver, con siffatta delibera, rese pubbliche le ragioni della messa in mobilità di un dipendente.

L'Ente regionale proponeva opposizione con cui domandava, previa sospensione dell'efficacia, l'annullamento oppure la revoca dell'ordinanza ovvero, in subordine, la riduzione o il contenimento della sanzione amministrativa, deducendo la manifesta contraddittorietà ed illogicità della motivazione dell'ordinanza-ingiunzione. Instaurato il contraddittorio, nella resistenza dell'Autorità garante per la protezione dei dati personali, il Tribunale competente confermava integralmente l'ordinanza-ingiunzione opposta, con condanna della Regione alla refusione delle spese processuali. A sostegno della decisione adottata, il Tribunale rilevava come la irrogazione della sanzione intimata era stata in specie preceduta da ampio dialogo e scambio di rilievi critici tra le parti, dapprima pervenuti al Garante per la protezione dei dati personali da parte di un dipendente della Regione il quale lamentava la persistente pubblicazione sul sito web istituzionale, nella sezione “Deliberazioni”, dei dati personali relativi a sé e contenuti in quella delibera avente ad oggetto la “mobilità per esigenze organizzative di un dipendente nell'ambito organico della Giunta regionale”. La delibera conteneva valutazioni esplicite sulla professionalità e sul contegno del soggetto segnalante.

La deliberazione censurata, in effetti, dava atto di tensioni e rapporti conflittuali connessi alla presenza del dipendente, assegnato a posizione caratterizzata da estrema delicatezza, nell'ambiente lavorativo che incidevano negativamente sulla organizzazione e sulla funzionalità complessiva degli uffici nonché sul prestigio e sul decoro del dipartimento, con conseguenti difficoltà di funzionamento degli uffici in relazione alla presenza del dipendente, disponendone, infine, il trasferimento per accertata incompatibilità ambientale. La Regione dal proprio canto si difendeva allegando di aver provveduto alla pubblicazione in ottemperanza alle norme di attuazione dello Statuto speciale regionale secondo cui gli atti deliberativi degli organi regionali dovevano essere pubblicati ed assumendo, peraltro, che nell'atto pubblicato non ci fossero dati sensibili né dati giudiziari. Il giudice del gravame rilevava che l'Autorità garante aveva chiaramente ed esaurientemente replicato con provvedimento, mai impugnato, il quale recava la prescrizione di conformare la successiva pubblicazione di atti e documenti in Internet alle disposizioni del Codice per i dati personali e a quelle dettate con le linee guida diffuse in materia, rispettando, in particolare, il principio secondo cui la diffusione di dati personali è lecita quando prevista da una norma di legge o di regolamento; del resto, la stessa normativa regionale - pure richiamata dalla Regione in risposta alla richiesta di giustificazioni dal Garante - non consentiva di legittimare la pubblicazione integrale del provvedimento censurato. Avverso la sentenza del Tribunale veniva proposto ricorso per Cassazione.

La Suprema Corte, in via preliminare, precisa di dover fare applicazione al caso in esame ratione temporis le disposizioni del Codice della privacy, d.lgs. n. 196/2003, nella stesura anteriore alle modifiche introdotte con il d.lgs. n. 101/2018 di adeguamento dell'ordinamento nazionale al Regolamento UE n. 2016/679 (noto come GDPR). Prosegue rammentando che la Pubblica amministrazione avrebbe dovuto, comunque, attenersi al principio imperativo ed inderogabile della minimizzazione e necessità della diffusione, privilegiando, se del caso, la pubblicazione di dati anonimi e osservando modalità che permettessero di identificare l'interessato solo in caso di necessità.

Secondo i Giudici di legittimità, dunque, correttamente il Tribunale aveva ritenuto che la diffusione dei dati relativi al nominativo del dipendente in mobilità e l'indicazione del luogo di destinazione integrassero la violazione contestata, considerato che la delibera della medesima Autorità - con la quale era stata impartita alla Regione la prescrizione di conformare la successiva pubblicazione di atti e documenti in Internet alle disposizioni del Codice in materia di protezione dei dati personali - non ha formato oggetto di impugnazione, per cui l'Ente locale non poteva che ottemperare. Aggiunge la Suprema Corte, per completezza argomentativa, che, in realtà, già prima della consumazione delle violazioni de quibus la normativa disponeva che nei casi in cui norme di legge o di regolamento consentivano la pubblicazione di atti o documenti, le Pubbliche amministrazioni erano tenute a rendere non intelligibili i dati personali non pertinenti o, se trattasi di dati sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione.

Le finalità di consentire il controllo sull'agire dell'Amministrazione mediante la trasparenza delle informazioni devono, infatti, essere attuate mediante forme di pubblicità la cui conoscenza sia ragionevolmente ed effettivamente connessa all'esercizio di un controllo, nel rispetto dei limiti di proporzionalità e pertinenza, non giustificandosi una totale ed indiscriminata ostensione dei dati stessi, nemmeno nel regime del d. lgs. n. 33/2013.

Per questi motivi la Corte rigetta il ricorso, condannando l'Ente ricorrente al pagamento delle spese del giudizio in favore del Garante per la protezione dei dati personali.

(Fonte: Diritto e Giustizia)