Nozione ampia di “dato personale” e sanzione ridotta con parere del DPO
1. Riflessioni e indicazioni pratiche
Il Garante per la protezione dei dati personali (“Garante”) ha recentemente emesso un provvedimento nei confronti di un Comune dal quale emergono importanti spunti di riflessione e indicazioni pratiche su aspetti di primaria importanza in ambito data protection, in particolare, in merito a:
- definizione di dato personale e concetto di identificabilità indiretta;
- nozione di dati personali relativi a condanne penali e reati;
- ruolo del Data Protection Officer (“DPO”) come misura di sicurezza e legittimo affidamento del titolare del trattamento rispetto alle indicazioni ricevute dal primo.
Nonostante l’ambito pubblico del citato provvedimento, le riflessioni che seguono hanno rilievo anche per il settore privato.
Dal provvedimento che passiamo in rassegna possono trarsi spunti e indicazioni utili per diverse categorie di interessati: titolari del trattamento (pubblici o privati), consulenti, operatori del settore in generale e, soprattutto, DPO.
Di seguito le considerazioni che riteniamo più rilevanti:
nozione di “dato personale” e identificabilità indiretta - dall’istruttoria condotta dall’Autorità emerge chiaramente quanto il concetto di “dato personale” – come definito all’articolo 4.1) del GDPR – abbia portata ampia, tale da ricomprendere nella definizione anche le sole iniziali della dipendente interessata, per il fatto di essere anche solo potenzialmente identificabile da un numero indefinito di soggetti (quali i colleghi di lavoro, i familiari e i conoscenti della dipendente). La sola possibilità concreta che tali soggetti possano identificare l’interessata in via indiretta, mediante la correlazione e la combinazione di informazioni disponibili o la deduzione, comporta infatti l’estensione della nozione di dato personale anche alle iniziali del nome e del cognome della dipendente. Si parla in questo caso di “identificabilità indiretta” del soggetto al quale appartengono i dati, elemento da tenere in debita considerazione quando si è in dubbio se l’oggetto del trattamento sia o meno un dato personale;
nozione di dati personali relativi a condanne penali e reati - non vi è nel GDPR una definizione specifica di “dati personali relativi a condanne penali e reati” (come avviene per i dati personali in generale), tuttavia il provvedimento in oggetto (così come altri adottati in passato dal Garante) consente di comprendere quale sia la portata della nozione di tali dati. Anche in questo caso la linea interpretativa è estremamente ampia e, in parte, funge da guida il precedente concetto di “identificabilità indiretta”. Il Garante, nel caso di specie, ha ritenuto che le determinazioni oggetto del ricorso al TAR – citate nell’oggetto dell’Atto di incarico pubblicato sull’albo pretorio online – rientrassero nella nozione di “dati personali relativi a condanne penali e reati”, perché rendevano nota la circostanza che la dipendente era stata esclusa dalla procedura selettiva per carenza dei requisiti specifici relativi all’assenza di condanne penali e procedimenti pendenti a carico. La linea interpretativa del Garante si indirizza chiaramente verso una nozione ampia di tali dati, indipendentemente dal fatto che siano fornite o raccolte informazioni specifiche sul tipo di reato o sugli estremi del procedimento penale. Pertanto, perché si possa parlare di dati relativi a condanne penali e reati appare sufficiente che, nell’ambito di un contesto specifico, sia possibile la mera associazione tra una persona fisica identificabile (anche indirettamente) e una vicenda di natura giudiziaria a carattere penale che la riguardi.
ruolo del DPO e legittimo affidamento del titolare - altro passaggio del provvedimento che rappresenta un importante spunto di riflessione è quello relativo alla “quantificazione ridotta” della sanzione effettuata dal Garante sulla base del fatto che il Comune aveva richiesto il parere del proprio DPO prima di pubblicare gli atti amministrativi citati, ottenendo da quest’ultimo il benestare – almeno in un primo momento – sulla legittimità dell’utilizzo delle iniziali del nome e cognome della dipendente. La posizione del Garante non è di poco conto, soprattutto nel passaggio in cui testualmente afferma che: “[…] si è tenuto favorevolmente atto che il Comune di Greve in Chianti aveva provveduto a coinvolgerei il proprio – DPO – e a conformarsi in buona fede al parere dello stesso.”.
2. Il caso
Una dipendente di un piccolo Comune toscano – assunta mediante procedura di selezione per dipendenti della PA a copertura di un solo posto presso l’Ente – è stata licenziata, dopo anni di servizio, perché da un’indagine condotta dall’Ufficio Procedimenti Disciplinari del Comune è emerso che, al tempo della selezione, la dipendente non aveva i requisiti richiesti per ricoprire la posizione lavorativa, ovvero: assenza di condanne penali e procedimenti penali in corso.
In particolare, ad avviso del Comune, la dipendente avrebbe partecipato alla selezione pur avendo un procedimento penale in corso e avendo ottenuto a suo carico una sentenza di condanna penale non definitiva, nonostante il rilascio dell’autocertificazione con la quale dichiarava di possedere i requisiti richiesti.
Oltre al licenziamento, l’Ente competente, con specifica determinazione comunale: (i) escludeva la dipendente dalla selezione – per carenza dei requisiti – e (ii) rettificava i verbali mediante i quali era stata a suo tempo formalizzata l’assegnazione del posto di lavoro.
Con ricorso al TAR, la dipendente chiedeva l’annullamento della suddetta determinazione.
Per essere rappresentato e difeso davanti al TAR, il Comune incaricava un legale pubblicando il relativo atto di conferimento dell’incarico sull’albo pretorio online (“Atto d’incarico”), nel rispetto degli obblighi di pubblicità e trasparenza previsti per gli enti pubblici.
Nello specifico, l’oggetto dell’Atto d’incarico riportava le seguenti informazioni:
- le iniziali del nome e del cognome della dipendente,
- il fatto che quest’ultima avesse presentato ricorso al TAR,
- i riferimenti al contenuto della determinazione della quale la dipendente chiedeva l’annullamento,
- il riferimento al fatto che la selezione per la posizione lavorativa controversa richiedesse come requisiti l’assenza di condanne penali o procedimenti penali pendenti a carico dei candidati.
La dipendente, con riferimento all’Atto d’incarico, formulava reclamo davanti al Garante lamentando la violazione dei propri dati personali, da parte del Comune, a causa: (i) dell’inserimento dei propri dati – anche relativi a condanne penali e reati – nell’oggetto dell’Atto d’incarico e (ii) dell’ingiustificata divulgazione di tali dati con la pubblicazione sull’albo pretorio online, accessibile a chiunque.
3. La decisione del Garante
Durante l’attività istruttoria condotta dal Garante, il Comune si è difeso sostenendo, in particolare, che:
- l’utilizzo delle sole iniziali del nome e del cognome della dipendente nell’oggetto dell’Atto d’incarico non consentisse l’identificabilità della persona specifica e la relativa associazione alla vicenda e ai motivi del licenziamento (nonché alle ulteriori determinazioni ad esso collegate);
- la pubblicazione delle informazioni contenute nell’oggetto dell’Atto d’incarico sull’albo pretorio online fosse obbligatoria per legge, in conformità alla normativa sulla pubblicità e trasparenza per gli atti degli enti pubblici (articolo 15, Decreto Legislativo 33/2013 e articolo 124 del Decreto Legislativo 267/2000);
- non vi fosse alcun riferimento a condanne penali o reati nell’atto amministrativo oggetto di reclamo, dal momento che i riferimenti presenti erano riconducibili ad un mero requisito di partecipazione, senza che da ciò potesse desumersi alcuna notizia di condanna o procedimenti pendenti a carico della dipendente;
- l’Ente, prima della pubblicazione, aveva richiesto il parere del DPO del Comune, il quale, almeno in un primo momento, aveva avvallato la scelta di utilizzare le iniziali del nome e del cognome della dipendente, ritenendola adeguata alla disciplina di protezione dei dati.
Il Garante ha ritenuto non rilevanti le difese del Comune e, considerando sussistenti le violazioni di dati personali contestate, ha comminato una sanzione amministrativa di 4.000,00 euro a carico dell’Ente.
4. Conclusioni
Dal nostro punto di vista, il provvedimento analizzato fornisce linee guida operative sul concetto di “dato personale” e su quali (e quante) informazioni possano essere ricondotte a tale definizione, con un focus anche sulle categorie particolari dei dati relativi alle condanne penali e reati.
Tale elemento, da un lato, è di fondamentale importanza per consulenti, DPO e, in generale, per gli operatori di settore, dall’altro, rappresenta un’importante nota informativa e di consapevolezza per coloro ai quali appartengono i dati personali, spesso ignari dei trattamenti a loro applicati, così come ai titolari più virtuosi che – in linea con l’approccio applicativo del GDPR – si interrogano sul fatto che una determinata attività comporti il trattamento di dati personali o meno.
Infine, è estremamente significativo il fatto che il Garante abbia dato (non poco) rilievo all’affidamento e alla buona fede del titolare che ha richiesto il parere del DPO prima di adottare una decisione in materia di trattamento di dati personali. La conseguenza avuta sulla quantificazione della sanzione è senz’altro un dato importantissimo, soprattutto per i titolari, ma, a nostro parere, il provvedimento in oggetto apre la strada a uno scenario nuovo (ancora non battuto dalla giurisprudenza), legato al tema della responsabilità del DPO nei confronti del titolare e alla possibilità di quest’ultimo (unico destinatario delle sanzioni privacy) di rivalersi sul proprio DPO per inadempimento contrattuale davanti al giudice ordinario.
In questo senso acquistano sempre più importanza: (i) la “reale” preparazione del DPO, (ii) l’aggiornamento continuo e, soprattutto, (iii) la settorializzazione delle competenze, aspetto imprescindibile vista la diversità applicativa della materia sul trattamento e la protezione dei dati personali.
Per concludere, se è vero che il DPO funge da consulente e da “misura di sicurezza e protezione” per il titolare, allora la scelta e la nomina di tale figura devono necessariamente essere precedute da un’attenta analisi e valutazione delle competenze necessarie, affinché l’apporto al titolare (ente pubblico o privato che sia) si traduca in un mezzo efficace di sicurezza e prevenzione.
(Autorità Garante per la protezione dei dati personali, provvedimento n.118 del 2 luglio 2020, consultabile sul sito dell’Autorità al seguente link: [doc. web n. 9440025])