Il fornitore non è sempre responsabile del trattamento

Privacy e trasparenza della pubblica amministrazione: quale equilibrio?

Occupandomi di privacy, e svolgendo le funzioni di DPO per diverse aziende, ho spesso ricevuto dai clienti la fatidica domanda «Avvocato, oggi che si parla tanto di questo diritto all’oblio e di data retention, quanto tempo possiamo tenere i dati?».

A parte il fatto che anche prima dell’entrata in vigore del GDPR il diritto all’oblio già esisteva e i dati personali non potevano essere trattati (conservati) per tempo indefinito, rispondere a questa domanda non è mai stato facile. Da un lato il cliente esige un termine chiaro e univoco, dall’altro le casistiche sono così varie che più che individuare un termine (il solito 10 anni, per riferimento alla prescrizione civile in tema di responsabilità aquiliana), procedo sempre con la scorsa del registro dei trattamenti attribuendo a ciascuno di essi un tempo ragionato (es.: marketing; contratti; whistleblowing, ecc.).

Si tratta insomma, di fare sempre ricorso al citatissimo “bilanciamento di interessi”. Formula quanto mai indefinita che, in linea con il principio di accountability del GDPR, spetta al titolare riempire di contenuto, essendo poi in grado di fornire valide ragioni della scelta compiuta.

Mi sia perdonata questa lunga premessa, ma utile per introdurre la sentenza della Cassazione qui in commento la quale indica un termine chiaro di trattamento, quanto meno in ordine agli obblighi di trasparenza della PA, e in particolare sugli obblighi di pubblicazione delle delibere degli egli enti territoriali.

Il caso è presto detto.

Il Comune di Santa Ninfa (TP), in ossequio dell’art. 124 del D.Lgs. 267/2000 (Testo unico delle leggi sull’ordinamento degli enti locali), pubblicava sul proprio albo pretorio on line una delibera contenente anche informazioni personali di una dipendente. Informazioni estranee alle funzioni di quest’ultima, e lì le manteneva ben oltre il termine di quindici giorni indicato dalla norma[1].

Interveniva il Garante per la protezione dei dati personali con ordinanza di ingiunzione che sanzionava il Comune per Euro 4.000. L’ordinanza veniva impugnata innanzi al Tribunale di Sciacca che rigettava l’opposizione. Veniva quindi riproposta impugnazione innanzi alla Cassazione ()[2], ma l’esito del giudizio non cambiava.

Ha sostenuto il Comune che il termine quindicinale dell’art. 124 del D.Lgs. 267/2000 può essere superato se letto in coordinamento con l’art. 11 del D.Lgs. 150/2009 (ottimizzazione della produttività del lavoro pubblico e di efficienza e trasparenza delle pubbliche amministrazioni)[3]

La Corte ha invece sottolineato che il bilanciamento di interessi è ben traguardato nel termine quindicinale e che l’art. 11 del D.Lgs. 150/2009 non vale a superare tale limite in quanto norma riguardante solo aspetti organizzativi dell’Amministrazione municipale, nonché «indicatori relativi agli andamenti gestionali e all’utilizzo delle risorse» e i «risultati dell’attività di misurazione e valutazione svolta dagli organi competenti».

Ebbene, la delibera pubblicata accennava a circostanze di vita privata, non coperte quindi dall’esenzione di cui all’art. 19, comma 3 bis, D.Lgs. 196/2003: «Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto a una funzione pubblica e la relativa valutazione sono rese accessibili dall’amministrazione di appartenenza. Non sono invece ostensibili, se non nei casi previsti dalla legge, le notizie concernenti la natura delle infermità e degli impedimenti personali o familiari che causino l’astensione dal lavoro, nonché le componenti della valutazione o le notizie concernenti il rapporto di lavoro tra il predetto dipendente e l’amministrazione, idonee a rivelare taluna delle informazioni di cui all’articolo 4, comma 1, lettera d)» (applicabile ragione temporis)

Concludendo, la sentenza in commento non si occupa propriamente di diritto all’oblio (il che implicherebbe la cancellazione definitiva dei dati e non la mera rimozione dal web e conservazione in archivio), ma di qualcosa di molto vicino (i principi di minimizzazione e limite di conservazione di cui all’art. 5 GDPR, comma 1, lett. c) ed e)). È un termine chiaro che indica un periodo bilanciato tra interessi contrapposti: trasparenza della PA da un lato e riservatezza dei cittadini dall’altro.

[1] Che al comma 1 prevede: «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge».

[2] AI sensi dell’art. 10, comma 10, del D.Lgs. 150/2011, richiamato dall’art. 152, comma 1-bis, del D.Lgs. 196/2003. Entrambe queste norme sono state modificate dall’art. 17 del D.Lgs. 101/2018 (legge di revisione del codice privacy dopo l’entrata in vigore del GDPR).

[3] «La trasparenza è intesa come accessibilità totale, anche attraverso lo strumento della pubblicazione sui siti istituzionali delle amministrazioni pubbliche, delle informazioni concernenti ogni aspetto dell’organizzazione, degli indicatori relativi agli andamenti gestionali e all’utilizzo delle risorse per il perseguimento delle funzioni istituzionali, dei risultati dell’attività di misurazione e valutazione svolta dagli organi competenti, allo scopo di favorire forme diffuse di controllo del rispetto dei principi di buon andamento e imparzialità. Essa costituisce livello essenziale delle prestazioni erogate dalle amministrazioni pubbliche ai sensi dell’articolo 117, secondo comma, lettera m), della Costituzione». Articolo abrogato con l’entrata in vigore del D.Lgs. 33/2013 (Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni), che ha specificato e ampliato gli obblighi di trasparenza della PA.

Cass. Sez. II, 3 settembre 2020, n. 18292

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

Print Friendly

Condividi su

Potrebbe interessarti anche
Mario Valentino vs. Valentino

Secondo articolo della serie a commento delle Linee Guida n. 8/2020 adottate dall’European Data Pr...

Privacy

Il fornitore non è sempre responsabile del trattamento

Con questo articolo inizia una breve serie di contributi a commento delle Linee Guida n. 8/2020 adot...

Privacy

Il fornitore non è sempre responsabile del trattamento

La Legge n. 5 dell’11 gennaio 2018 (Nuove disposizioni in materia di iscrizione e funzionamento de...

Privacy

X