A Langhirano hanno un problema con la privacy

Il Garante Protezione Dati Personali sanziona il Comune

Il Comune di Langhirano è stato sanzionato dal Garante della Privacy per violazione dei dati personali nel registro di accesso agli atti, dal 2017 al 2023. Con provvedimento n. 378 del 10 luglio scorso il Garante ha emesso un’ordinanza ingiunzione verso il Comune di Langhirano comminando una sanzione di 12mila euro, riducibili alla metà se il pagamento avverrà entro trenta giorni.

Il provvedimento non è ancora stato pubblicato sul sito del Garante (non appena lo sarà, renderemo il link diretto al documento).

Questo caso segue di pochi mesi un provvedimento analogo, rivolto all’Unione Montana Appennino Parma Est, che peraltro ha sede a Langhirano, sanzionata per uso illecito della videosorveglianza nel comando della polizia locale.

In questo momento l’Amministrazione Comunale di Langhirano è ancora nei termini per decidere se opporsi al provvedimento del Garante o pagare la sanzione.

Tutto ha origine nell’autunno 2023 quando una cittadina langhiranese ha presentato un esposto al Garante per la Protezione dei Dati Personali poiché riteneva illegittimo che il suo nome comparisse nel registro dell’accesso agli atti del Comune di Langhirano, dopo aver fatto richiesta di documenti e pratiche, accanto ai documenti ricevuti.

Il Garante ha aperto un’istruttoria verificando che in effetti comparivano “in molti casi dei dati personali dei soggetti cui si riferiscono gli atti richiesti”.

Richiamando il protocollo sulle linee guida dell’accesso agli atti, definito dal Garante Privacy con ANAC (Autorità Nazionale Anti Corruzione) in vigore dal 10 gennaio 2017 e che nel punto in esame specifica che il «registro contiene l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione ed è pubblicato, oscurando i dati personali eventualmente presenti, e tenuto aggiornato almeno ogni sei mesi nella sezione Amministrazione trasparente” ha quindi chiesto chiarimenti al Comune di Langhirano, imputando di aver “tenuto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD” e notificando “le violazioni effettuate”.

L’ente locale ha mandato una memoria difensiva con una serie di punti. Per sintesi ne riportiamo solo uno, quello centrale, ossia che il Comune ha istituito in quel modo il Registro degli accessi “frutto di un’interpretazione ampia del principio di trasparenza anche in relazione al dibattito politico-culturale sul tema di quegli anni”. E precisando che le generalità indicate negli accessi agli atti non erano mai accompagnate da altri dati (codici fiscali, indirizzo, ecc.) tali da permettere di identificare una persona in modo chiaro e incontrovertibile.

Il Garante ha però rigettato questa interpretazione sul tema della trasparenza, accertando “l’avvenuta diffusione online dei dati personali descritti in assenza di una idonea base giuridica” e fornendo esempi dove diversi soggetti erano chiaramente identificabili. Inoltre richiamando di nuovo le linee guida Anac il Garante aggiunge una esplicita circolare del Ministero della Pubblica Amministrazione in cui si precisa che «ciascuna amministrazione indicherà gli estremi delle richieste ricevute e il relativo esito, omettendo la pubblicazione di dati personali eventualmente presenti» (par.8.2.b). L’ampia interpretazione del principio di trasparenza sostenuta dal Comune non può quindi giustificare la diffusione di dati personali online, in quanto non soddisfa nessuno dei presupposti di liceità previsti dall’art. 2-ter del Codice.”

Il Garante nel valutare il provvedimento sanzionatorio prende comunque atto della collaborazione offerta dal Comune di Langhirano che, nelle more del procedimento, già dall’aprile 2024 aveva rimosso dal “registro accesso agli atti” tutti i nominativi delle richieste.

Non manca peraltro di rilevare che “quanto all’illecita diffusione online di dati personali si tiene conto del fatto che la stessa ha avuto a oggetto la diffusione online di dati personali in un caso anche idonei a rivelare lo stato di salute (art. 9 del RGPD), riferiti a diverse centinaia di persone (soggetti che hanno effettuato l’accesso e talvolta anche soggetti a cui i documenti si riferiscono, contenuti nei registri nei registri 7degli accessi anni 2017-2023) mantenuti sul sito web istituzionale almeno fino data dell’invio delle memorie difensive del Comune (aprile 2024). Tale condotta deriva in ogni caso – secondo quanto dichiarato dal Comune – da un’ampia interpretazione del principio di trasparenza e risulta quindi essere di natura evidentemente colposa. Si ritiene pertanto che, nel caso di specie, il livello di gravità della condotta tenuta dal titolare del trattamento sia medio”.

Il dispositivo finale di ordine e ingiunzione vede una sanzione amministrativa pecuniaria di 12mila euro, “salva la facoltà per il trasgressore di definire la controversia mediante il pagamento di un importo pari alla metà della sanzione irrogata, entro il termine di legge”. (dra.fra.)