Una dipendente del Comune di Greve in Chianti si è rivolta all'Autorità garante per la privacy per la violazione dei propri dati personali;

nello specifico, il reclamo è scaturito dal licenziamento della dipendente comunale a seguito di un’indagine condotta dall’Ufficio Procedimenti Disciplinari dell’Ente, dal quale è emerso che, al tempo della selezione, la dipendente non aveva i requisiti richiesti per ricoprire la posizione lavorativa, ovvero: assenza di condanne penali e procedimenti penali in corso, nonostante avesse rilasciato autocertificazione con la quale dichiarava di esserne in possesso.  

Il Comune, ha quindi emanato specifica determinazione con la quale oltre al licenziamento, escludeva la dipendente dalla selezione e rettificava i verbali mediante i quali era stata a suo tempo formalizzata l’assegnazione del posto di lavoro.

In risposta, la dipendente ha fatto ricorso al TAR, chiedendo l’annullamento della suddetta determinazione.

L’Ente ha quindi nominato un legale per curare la difesa davanti al TAR, pubblicando il relativo atto di conferimento dell’incarico sull’albo pretorio online (“Atto d’incarico”), nel rispetto degli obblighi di pubblicità e trasparenza previsti per gli enti pubblici.

Poiché all’interno dell’Atto d’incarico erano riportate diverse informazioni relative alla dipendente quali le iniziali di nome e cognome, il ricorso al TAR, i riferimenti alla determinazione di cui veniva chiesto l’annullamento ed il riferimento al requisito di assenza di condanne o procedimenti penali pendenti a carico dei candidati, la dipendente ha formulato reclamo al Garante.

Il Comune in sua difesa ha sostenuto che, prima di procedere con la pubblicazione dell’Atto ha consultato il proprio DPO, secondo cui l’utilizzo delle sole iniziali del nome e del cognome della dipendente non consentisse l’identificabilità della persona specifica e la relativa associazione alla vicenda ed ai motivi del licenziamento (nonché alle ulteriori determinazioni ad esso collegate), per cui rispettava la disciplina di protezione dei dati;

la pubblicazione delle informazioni contenute nell’oggetto dell’Atto d’incarico sull’albo pretorio online fosse obbligatoria per legge, in conformità alla normativa sulla pubblicità e trasparenza per gli atti degli enti pubblici (art. 15, D. Lgs. 33/2013 e art. 124 del D.Lgs 267/2000); e che non vi fosse alcun riferimento a condanne penali o reati nell’atto amministrativo oggetto di reclamo, dal momento che i riferimenti presenti erano riconducibili ad un mero requisito di partecipazione, senza che da ciò potesse desumersi alcuna notizia di condanna o procedimenti pendenti a carico della dipendente;

Dal provvedimento n. 118 del 2 luglio 2020 emanato dal Garante privacy, emergono importanti indicazioni sulla definizione di dato personale e identificabilità indiretta,dati relativi a reati e condanne penali e sul ruolo del DPO.

Il Garante infatti, a conclusione dell’attività istruttoria ha ritenuto non rilevanti le difese del Comune e, considerando sussistenti le violazioni di dati personali contestate, ha comminato una sanzione amministrativa (ridotta poiché il l’Ente ha agito di accordo con il proprio DPO) di 4.000,00 euro a carico dell’Ente.

Nella sua decisione, l'Autorità ha ripreso il concetto di “dato personale” – come dall’art 4.1 GDPR – nella sua più ampia concezione, che ricomprende anche le sole iniziali della dipendente interessata, per il fatto di essere anche solo potenzialmente identificabile da un numero indefinito di soggetti (quali i colleghi di lavoro, i familiari e i conoscenti della dipendente).

La sola possibilità concreta che tali soggetti possano identificare l’interessata in via indiretta, mediante la correlazione e la combinazione di informazioni disponibili o la deduzione, comporta infatti l’estensione della nozione di dato personale anche alle iniziali del nome e del cognome della dipendente. Facendo quindi riferimento all’identificabilità indiretta del soggetto.

L’Autorità ha inoltre utilizzato la stessa linea interpretativa in riferimento ai dati personali relativi a condanne penali. Infatti, il Garante ha ritenuto che le determinazioni oggetto del ricorso al TAR – citate nell’oggetto dell’Atto di incarico pubblicato sull’albo pretorio online – rientrassero nella nozione di “dati personali relativi a condanne penali e reati”, perché rendevano nota la circostanza che la dipendente era stata esclusa dalla procedura selettiva per carenza dei requisiti specifici relativi all’assenza di condanne penali e procedimenti pendenti a carico.

La linea interpretativa del Garante si indirizza chiaramente verso una nozione ampia di tali dati, indipendentemente dal fatto che siano fornite o raccolte informazioni specifiche sul tipo di reato o sugli estremi del procedimento penale. Pertanto, perché si possa parlare di dati relativi a condanne penali e reati appare sufficiente che, nell’ambito di un contesto specifico, sia possibile la mera associazione tra una persona fisica identificabile (anche indirettamente) e una vicenda di natura giudiziaria a carattere penale che la riguardi.

Infine, nel parere emerge l’importanza del ruolo del DPO che ha permesso la “quantificazione ridotta” della sanzione effettuata dal Garante sulla base del fatto che il Comune aveva richiesto il parere del proprio DPO prima di pubblicare gli atti amministrativi citati, ottenendo da quest’ultimo il benestare – almeno in un primo momento – sulla legittimità dell’utilizzo delle iniziali del nome e cognome della dipendente.