La vicenda trae origine dalla pubblicazione sul sito della Regione Campania di un documento riguardante un credito vantato nei suoi confronti da due soggetti. I quali decidono di chiedere l’intervento del Garante per la protezione dei dati personali, sostenendo che tale pubblicazione violava la loro riservatezza, perché sulla sentenza erano stati riportati in forma estesa i loro nominativi e le loro residenze.
La difesa della Regione
La Regione Campania a seguito della segnalazione del Garante ha provveduto immediatamente ad oscurare quei dati dal documento ed ha approntato un’articolata difesa del suo operato, sostenendo che la pubblicazione in oggetto fosse pienamente lecita.
Secondo la regione la pubblicazione si basava su una norma di legge l’ Art.73 D.lgs 118/2011[1]. Essa prevede l’obbligo di pubblicare sul sito della Regione tutti gli atti riguardanti i suoi debiti fuori bilancio compresi quelli derivanti da sentenze esecutive, di cui fa parte l’atto sopra citato. Questo anche per consentire un adeguato controllo di natura contabile agli enti preposti. L’indicazione dei nominativi sarebbe prevista anche da un’altra norma: l’art. 185 c0.2. let e) ex D. Lgs. 267/2000[2] laddove citando gli elementi che deve contenere il mandato di pagamento vi inserisce l’indicazione del creditore.
Nello specifico la P.A. ha rilevato che non era stato indicato il relativo codice fiscale degli interessati e che gli stessi non si erano preventivamente rivolti al medesimo ente chiedendo di oscurare i loro nominativi ex. art. 52, comma 1, del D. Lgs. 30 giugno 2003, n. 196, ma direttamente al garante.
Inoltre l’ente regionale ha evidenziato il suo tempestivo intervento non appena ricevuta la segnalazione del garante ed il fatto che gli interessati non avevano subito alcun danno dalla diffusione dei loro dati. Allo stesso tempo ha reso noto di aver nominato un responsabile della protezione dei dati personali e di aver intrapreso iniziative di formazione del suo personale in materia di protezione dei dati personali.
Infine ha sostenuto l’inapplicabilità del Reg. Privacy 2016/679 al caso di specie, in quanto la sua entrata in vigore sarebbe posteriore ai fatti avvenuti.
Conclusioni del garante
Il garante ha replicato respingendo totalmente le difese dell’ente. Esso sostiene che l’obbligo di pubblicazione della tipologia di documentazione sopra citata non ricomprende anche la pubblicazione online dei dati personali degli interessati.
La possibilità per gli interessati di chiedere l’oscuramento dei loro dati personali non riguarda quest’ipotesi di pubblicazione online, ma quella in cui i loro dati sono indicati in una sentenza destinata ad essere riprodotta.
Riguardo all’applicabilità del regolamento, lo stesso era pienamente in vigore all’epoca della condotta. Questo perché si tratta di una condotta permanente. Il cui momento di consumazione si identifica con quello della sua cessazione, tale termine è stato identificato nel momento dell’oscuramento dei dati da parte dell’ente stesso e quindi in un momento successivo all’entrata in vigore del Reg. (25.05.2018).
Di conseguenza la pubblicazione di tali dato ha violato la normativa a tutela della privacy. In particolare l’art. 19, comma 3, del Codice[3] privacy ex D.lgs 196/2003 che sancisce che la diffusione di dati personali anche online da parte dei soggetti pubblici è lecita, solo se avviene in base ad una norma di legge, o di regolamento. Tale condotta è avvenuta anche in violazione dei principi di minimizzazione dei dati[4], di liceità, correttezza e trasparenza[5], in virtù dei quali l’uso dei dati personali deve essere limitato a quanto necessario rispetto alle finalità per i quali sono trattati.
La condotta collaborativa della Regione è stata valutata positivamente solo ai fini della commisurazione della pena, pari solo ad €4000.
Rilievi critici
La prima cosa che rileva è l’impossibilità della regione di evitare la condanna, nonostante la sua tempestiva condotta riparatrice. Non vi sono spazi per distinguere tra errore inescusabile, o scusabile, sebbene lo stesso garante qualifichi la condotta della P.A. come colposa.
Secondariamente, questo tipo di pubblicazione è abbastanza frequente in Italia, non solo da parte di molti enti pubblici sui loro siti, ma anche sui siti che ordinariamente pubblicano sentenze ed altri atti giudiziari. Queste pubblicazioni avvengono sempre in base ad una norma di legge, o di regolamento?
Ci si chiede se sia necessario rendere quest’obbligo di non pubblicazione dei nominativi anche a questi siti ufficiali, o comunque un intervento espresso del garante sul punto. Questo anche considerando il fatto che la riproduzione a cui fa riferimento la norma sulla richiesta preventiva di oscuramento dei nominativi, di fatto riguarda spesso sentenze pubblicate online e non solo riprodotte in modalità cartacea. Quindi almeno in alcune ipotesi, si pensi alle sentenze dei T.A.R., sfuma la differenza rilevata nel garante tra una pubblicazione online di un documento e la riproduzione di una sentenza, in entrambi possono esservi dei dati personali, anche sensibili. Ci si chiede se questa richiesta di oscuramente dovrebbe rimanere eventuale, o diventare obbligatoria.
Tuttavia d’altro canto non bisogna dimenticare che le sentenze vengono pubblicate in nome del popolo italiano, per un’esigenza di trasparenza, di pubblicità e di controllo del sistema giudiziario da parte dei cittadini. Celare i dati personali di tutti coloro che sono coinvolti in una controversia potrebbe scontrarsi con questi principi ed esigenze, considerando anche il fatto che le udienze, anche penali sono pubbliche, anche in virtù dell’interesse pubblico al corretto funzionamento del sistema giudiziario. Infatti il Reg. europeo sopra citato sembra recepire quest’ipotesi opposta. In particolare quando riconosce come lecito il trattamento di dati personali da parte di un ente pubblico, se avviene per l’esecuzione di un compito di interesse generale, o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento[6]. Se in alcune circostanze si potrebbe garantire di più un soggetto (sarebbe questo il caso dei dati sensibili), in altre si rischierebbe di dare al sistema giudiziario un alone di segretezza, del tutto estraneo ad un sistema democratico, finendo per allontanare ancor di più le istituzioni giudiziarie dai cittadini.
Gaetano Guarino
[1] “il Consiglio regionale riconosce con legge, la legittimità dei debiti fuori bilancio derivanti da: a) sentenze esecutive […]”, imponendo in capo agli enti la pubblicazione di tutti i documenti posto a supporto della relativa richiesta»;
[2] “e) indicazione del creditore e, se si tratta di persona diversa, del soggetto tenuto a rilasciare quietanza, nonché il relativo codice fiscale o la partita IVA”,
[3] (vigente all’epoca dei fatti e il cui contenuto è ora riprodotto nei medesimi termini nel nuovo art. 2-ter, commi 1 e 3, del Codice)
[4] artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD
[5] (art. 5, par. 1, lett. a e c, del RGPD).
[6] Art. 6 par.1, lett. C ed E..