Privacy: il Garante ammonisce un comune per invio di una pec con destinatari in chiaro
AGEL 15 Febbraio 2023, di redazioneIl provvedimento è scaturito da un reclamo di un partecipante alla prova concorsuale
Con un reclamo, presentato ai sensi dell’art. 77 del Regolamento, due partecipanti a una procedura concorsuale, indetta da un Comune, hanno rappresentato, che a fronte di una richiesta via pec al responsabile del procedimento per richiedere un cambio turno con riferimento ad una prova preselettiva, il Comune ha fornito loro riscontro mediante invio di una pec cumulativa che rivela l’indirizzo pec degli altri candidati, e quello di chi ha proposto il reclamo.
A seguito del reclamo il Garante si è attivato e sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a), 6 e 37, par. 7, del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).
Il Garante in premessa alle conclusioni adottate, ad esito dell’istruttoria operata, ricostruisce il quadro normativo in materia, ed in particolare si legge quanto segue:
In base alla disciplina di protezione dei dati, i soggetti pubblici possono trattare dati personali se il trattamento è necessario, in particolare, “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).
La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di comunicazione di dati personali a terzi, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (v. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo).
Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, nonché “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).
Nel caso specifico tuttavia, il Garante, in considerazione del fatto che l’episodio risulta essere stato isolato e determinato da un mero errore umano, che il trattamento non ha avuto ad oggetto particolari categorie di dati (cfr. art. 9 del Regolamento), non ha riguardato i dati anagrafici degli interessati e che il titolare del trattamento è un ente di piccole dimensioni, dotato di limitate risorse organizzative e finanziarie, oltre al fatto che la condotta è stata posta in essere nel contesto dell’emergenza epidemiologica da SARS-CoV-2, si è, nella sostanza, così pronunciato:
le circostanze del caso concreto inducono a qualificare la condotta una “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018;
pertanto ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce il Comune, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).
Fonte: Garante per la protezione dei dati personali (Provvedimento del 15 dicembre 2022)
