[doc. web. n. 9440025]

L’Autorità Garante per la Protezione dei dati personali ha recentemente emesso un’ordinanza ingiunzione nei confronti di un Comune toscano particolarmente interessate per la definizione di identificabilità indiretta del dato personale.

Il caso prende le mosse dal licenziamento di una dipendente di un Comune toscano, assunta mediante procedura di selezione per dipendenti della PA, perché da un’indagine condotta dall’Ufficio Procedimenti Disciplinari del Comune è emerso che, al tempo della selezione, la dipendente non aveva i requisiti richiesti per ricoprire la posizione lavorativa.

Nello specifico, il requisito mancante verteva sull’assenza di condanne penali e procedimenti penali in corso, poiché, ad avviso del Comune, la dipendente avrebbe partecipato alla selezione pur avendo un procedimento penale in corso e avendo ottenuto a suo carico una sentenza di condanna penale non definitiva, nonostante la presentazione di un’autocertificazione con la quale dichiarava di possedere i requisiti richiesti.  

L’Ente competente dispone il licenziamento della dipendente e, con specifica determinazione comunale: in primo luogo escludeva la dipendente dalla selezione – per carenza dei requisiti; in secondo luogo rettificava i verbali mediante i quali era stata a suo tempo formalizzata l’assegnazione del posto di lavoro.

La dipendente ricorreva al TAR, chiedendo l’annullamento della suddetta determinazione.

Nel rispetto degli obblighi di pubblicità e trasparenza previsti dalla vigente normativa per gli enti pubblici, il Comune conferiva mandato un legale pubblicando il relativo atto di conferimento dell’incarico sull’albo pretorio online, al fine di poter essere rappresentato dinanzi al TAR, indicando, nello specifico, le seguenti informazioni:

1. le iniziali del nome e del cognome della dipendente,
2. il fatto che quest’ultima avesse presentato ricorso al TAR,
3. i riferimenti al contenuto della determinazione della quale la dipendente chiedeva l’annullamento,
4. il riferimento al fatto che la selezione per la posizione lavorativa controversa richiedesse come requisiti l’assenza di condanne penali o procedimenti penali pendenti a carico dei candidati.

Viste le informazioni contenute nel suddetto atto di incarico, la dipendente presentava reclamo davanti al Garante lamentando la violazione della normativa in materia di protezione dei dati personali da parte del Comune.

Secondo la dipendente, erano stati pubblicati illecitamente i propri dati personali – anche relativi a condanne penali e reati, tramite la pubblicazione sull’albo pretorio online, accessibile a chiunque.

Durante il procedimento dinanzi l’Autorità Garante, il Comune ha rappresentato le seguenti difese:

1. l’utilizzo delle sole iniziali del nome e del cognome della dipendente nell’oggetto dell’atto di incarico era tale da non consentire l’identificabilità diretta della persona specifica e la relativa associazione alla vicenda e ai motivi del licenziamento e alle ulteriori determinazioni ad esso collegate;
2. la pubblicazione delle informazioni contenute nell’oggetto dell’Atto di incarico sull’albo pretorio online era obbligatoria per legge, in conformità alla normativa sulla pubblicità e trasparenza per gli atti degli enti pubblici (articolo 15, Decreto Legislativo 33/2013 e articolo 124 del Decreto Legislativo 267/2000);  
3. non vi fosse alcun riferimento a condanne penali o reati nell’atto amministrativo oggetto di reclamo, dal momento che i riferimenti presenti erano riconducibili ad un mero requisito di partecipazione, senza che da ciò potesse desumersi alcuna notizia di condanna o procedimenti pendenti a carico della dipendente;

Il Garante ha comminato una sanzione amministrativa di 4.000,00 euro a carico dell’Ente, ritenendo non sussistenti le difese del Comune sulla scorta delle seguenti motivazioni:

Con riferimento alla circostanza che la reclamante non fosse identificabile, il Garante ha affermato che “per identificazione non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione” (Gruppo di Lavoro Art. 29, Parere 05/2014 sulle tecniche di anonimizzazione, WP216). Nel caso specifico, la menzione delle iniziali del cognome e del nome della dipendente all’interno della determinazione era, infatti, idonea a consentirne l’identificazione, quantomeno da parte dei dipendenti del Comune e dei familiari o conoscenti della reclamante, anche in considerazione delle dimensioni del Comune (circa 13749 abitanti) e del proprio organico (84 lavoratori a tempo indeterminato, secondo quanto riportato nel conto annuale 2018, redatto nel 2019, pubblicato sul sito web del Comune), dovendo ritenersi residuale la possibilità che vi fossero altri lavoratori con le medesime iniziali all’interno del citato Ente Pubblico-

In ogni caso, considerato che la determinazione in questione richiamava una precedente determinazione del Comune, in esecuzione della quale era stata indetta una selezione per la copertura a tempo pieno e indeterminato di un solo posto per una specifica figura professionale presso il Comune, era facilmente desumibile anche il ruolo svolto all’interno dell’Ente dalla reclamante, rendendone facilmente possibile l’identificazione, essendo questa la candidata selezionata all’esito di tale procedura.

A sostegno di ciò, il Garante ha richiamato un orientamento consolidato secondo cui “la prassi seguita da alcune amministrazioni di sostituire il nome e cognome dell´interessato con le sole iniziali è di per sé insufficiente ad anonimizzare i dati personali contenuti negli atti e documenti pubblicati online” e che “il rischio di identificare l’interessato è tanto più probabile quando, fra l’altro, accanto alle iniziali del nome e cognome permangono ulteriori informazioni di contesto che rendono comunque identificabile l’interessato”, essendo necessario, al fine di rendere effettivamente anonimi i dati pubblicati online, “oscurare del tutto il nominativo e le altre informazioni riferite all’interessato che ne possono consentire l’identificazione anche a posteriori”.

Con la conseguenza che, il Garante ha ritenuto che le determinazioni oggetto del ricorso al TAR, citate nell’oggetto dell’Atto di incarico pubblicato sull’albo pretorio online, rientrassero nella nozione di “dati personali relativi a condanne penali e reati”, perché, quantomeno indirettamente, rendevano nota la circostanza che la dipendente era stata esclusa dalla procedura selettiva per carenza dei requisiti specifici relativi all’assenza di condanne penali e procedimenti pendenti a carico. La linea interpretativa del Garante si indirizza chiaramente verso una nozione ampia di tali dati, indipendentemente dal fatto che siano fornite o raccolte informazioni specifiche sul tipo di reato o sugli estremi del procedimento penale. Pertanto, perché si possa parlare di dati relativi a condanne penali e reati appare sufficiente che, nell’ambito di un contesto specifico, sia possibile la mera associazione tra una persona fisica identificabile (anche indirettamente) e una vicenda di natura giudiziaria a carattere penale che la riguardi.

Il provvedimento in esame mostra ancora una volta come la normativa in materia di protezione dei dati personali debba essere sempre tenuta presente in ogni campo di attività dell’Ente o impresa. L’elevato tecnicismo della materia, visti anche i suoi numerosi collegamenti con gli altri settori del diritto, impongono al titolare una rigorosa analisi delle procedure di anonimizzazione e minimizzazione del dato, magari coadiuvato dall’assistenza di professionisti del settore.