Il Garante estende la definizione di dato personale e rende il parere del DPO utile per ridurre sanzioni privacy

Il provvedimento del Garante privacy ha esteso la identificabilità indiretta dell’interessato alle iniziali del nome e del cognome e indicato l’importanza del parere del DPO per ridurre potenziali sanzioni ai sensi del GDPR.

Il 2 luglio 2020, il Garante per la protezione dei dati personali ha pubblicato un provvedimento che ha fornito indicazioni pratiche circa l’estensione della definizione di dato personale e il ruolo del DPO come consulente del titolare del trattamento rispetto all’adozione delle misure di protezione dei dati ai sensi della normativa privacy il cui parere può portare ad una riduzione delle sanzioni ai sensi del GDPR.

Il caso che ha permesso al Garante privacy di esprimersi in materia riguarda una dipendente di un Comune toscano che era stata licenziata dopo molti anni di servizio perché, ai tempi della selezione, il suo profilo risultava incompatibile con il requisito dell’assenza di condanne penali e procedimenti penali a carico dei candidati. In particolare, la dipendente era già stata oggetto di un procedimento penale in corso e aveva subito una condanna penale non definitiva, seppure le stesse non risultassero nell’autocertificazione dalla stessa fornita in cui dichiarava di possedere tutti i requisiti richiesti per ricoprire la carica.

A seguito dell’indagine condotta dall’ufficio procedimenti disciplinari del Comune, l’ente aveva provveduto al licenziamento della dipendente e alla rettifica dei verbali con cui era stata finalizzata l’assegnazione del ruolo. La dipendente aveva fatto ricorso al TAR per chiedere l’annullamento della determinazione comunale, cui seguiva la pubblicazione presso l’albo pretorio online dell’atto di conferimento dell’incarico da parte del Comune a un legale per la difesa in giudizio. L’oggetto dell’atto riportava, inter alia, le iniziali del nome e del cognome della dipendente e i riferimenti al contenuto della determinazione comunale, tra cui, quindi, la mancata soddisfazione del requisito dell’assenza di condanne e procedimenti penali.

Queste circostanze portavano la dipendente a presentare un reclamo dinnanzi al Garante privacy per violazione dei propri dati personali.

Il Garante riconosceva:

  1. i) l’effettiva identificabilità indiretta dell’interessata dalle iniziali del suo nome e cognome da parte di un numero indefinito di soggetti come, per esempio, familiari, conoscenti o colleghi di lavoro, anche in considerazione delle dimensioni del Comune (13749 abitanti) e del proprio organico (84 lavoratori a tempo indeterminato); e
  2. ii) l’ingiustificata divulgazione di dati relativi alle condanne e ai procedimenti penali, in quanto riconducibili all’interessata e desumibili dal contenuto della determinazione comunale.

Il provvedimento del Garante privacy comportava, quindi, una condanna dell’ente pubblico ad una sanzione amministrativa pecuniaria di € 4.000.

Nella determinazione del quantum della sanzione ha svolto un ruolo essenziale la richiesta da parte dell’ente, in qualità di titolare del trattamento, del parere del DPO previamente alla pubblicazione dell’atto e la circostanza che l’ente si fosse conformato a detto parere. Il Garante privacy ha considerato tale aspetto come circostanza attenuante rivelatrice della buona fede del Comune.

Questa decisione illustra come la definizione di dato personale sia dinamica e vada contestualizzata rispetto alle specifiche situazioni. Le iniziali di un individuo che in astratto potrebbero non essere considerate un dato personale, lo possono diventare in una situazione dove il numero di persone coinvolte e le peculiarità della questione comportano che l’individuo sia identificabile.

Allo stesso modo, il provvedimento rileva perché il Garante enfatizza come – alla luce del principio dell’accountability – l’avvenuta formalizzazione del parere del DPO e l’adozione di una condotta in linea con le indicazioni fornite dal responsabile della protezione dei dati possano incidere anche sul valore dell’eventuale sanzione successivamente comminata.

Su di un simile argomento, può essere interessante l’articolo “La Corte di Cassazione si pronuncia sulla rilevanza del danno da violazione della normativa privacy”.