Il Garante privacy sanziona per illecito trattamento dati il comune di Villabate. Prima sanzione per mancata valida nomina del DPO.

Il reclamo presentato da un ex dipendente Comunale

La vicenda origina dal reclamo presentato da un ex dipendente comunale riguardo alcune comunicazioni relative al pignoramento del quinto del suo stipendio. Il responsabile di settore del Comune ha comunicato al nuovo datore di lavoro questi dati. Tra le informazioni comunicate l’esistenza del debito stesso, le informazioni sul pignoramento dello stipendio, la somma residua a pagare e altri dati relativi al precedente rapporto di lavoro. Non solo: il Comune ha comunicato anche all’istituto bancario creditore sia la cessazione del rapporto di lavoro del debitore sia altre informazioni personali (proroga del periodo di aspettativa, causale cessazione del rapporto di lavoro ecc…). Il reclamante decideva quindi di ricorrere al Garante Privacy ritenendo illegittime queste comunicazioni. Il reclamante lamentava inoltre la mancata nomina da parte del Comune del DPO e la mancata comunicazione dei relativi dati di contatto.

L’Istruttoria del Garante Privacy

Il Garante privacy avviava istruttoria a seguito del reclamo. Comunicato l’avvio del procedimento all’Amministrazione Comunale, invitava la stessa a produrre scritti e documenti difensivi.

L’amministrazione, nella documentazione difensiva, ha spiegato che:

“la Pubblica amministrazione è tenuta a creare la cartella personale del dipendente, che prende il nome di «stato matricolare» ai sensi dell’art. 55 D.P.R. n. 3 del 10 gennaio 1957. Allo stesso “fascicolo personale del dipendente” fa espresso riferimento il Dlgs. n. 165/2001 all’art. 11, comma 7 per cui si ritiene che in esso vadano conservate tutte le informazioni del dipendente, ivi compresi, i pignoramenti pendenti presso terzi”.

Di conseguenza ha ritenuto, secondo i principi di buona fede e correttezza, di dover comunicare all’Istituto di credito creditore che il reclamante non era più dipendente del Comune. La buona fede, spiega l’amministrazion comunale, è comprovata dal fatto che la medesima comunicazione ha raggiunto anche il reclamante stesso.

DPO: la nomina in ritardo e il conflitto di interessi

Riguardo al DPO invece il comune aveva indicato inizialmente nel ruolo il responsabile del settore Affari Generali, ma in modo informale. La formalizzazione è arrivata con determinazione sindacale, nella quale però l’amministrazione ribadiva la temporaneità della nomina “nelle more di individuare idonea figura esterna”. Insomma, il Comune ha nominato DPO, temporaneamente, un soggetto con conflitto di interessi insanabile: tutto ciò che non deve avere un DPO. Dall’istruttoria emergevano anche la nomina tardiva a DPO di altro soggetto terzo, la mancata comunicazione all’Autorità e la mancata pubblicazione dei dati di contatto.

Da questo punto di vista il Garante ha ribadito come:

  • le difficoltà finanziarie del comune
  • la scarsa dotazione di personale
  • la nomina temporanea

non siano validi scusanti per superare le violazioni contestate, ovvero la mancata designazione di idonea figura per DPO, il conflitto di interessi in atto, l’omissione delle comunicazioni, la mancata pubblicazione dei dati di contatto.

L’esito dell’istruttoria del Garante Privacy

Alla luce delle comunicazioni inviate dal Comune all’Istituto bancario, il Garante ha rilevato come non vi fosse né giustificazione né necessità di una serie di informazioni. Tra queste l’avvenuta cessazione del rapporto di lavoro col reclamante, la proroga del periodo di aspettativa, gli estremi del nuovo datore di lavoro ecc…

Da questo punto di vista, il Garante ha ritenuto che la comunicazione dei dati del reclamante all’istituto bancario è avvenuta

“in maniera non conforme al “principio di liceità, correttezza e trasparenza” e in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento”.

Riguardo al DPO, il provvedimento del Garante ribadisce che la sua nomina è un obbligo per i soggetti pubblici. Il titolare del trattamento ha l’obbligo, inoltre, di rendere pubblici i dati di contatto e a comunicarli all’Autorità Garante. Non solo, il DPO, si legge nel provvedimento può

“svolgere altri compiti e funzioni”, fermo restando che “il titolare del trattamento [deve assicurarsi] che tali compiti e funzioni non diano adito a un conflitto di interessi”.

L’assenza di conflitto di interesse si collega, ovviamente, agli obblighi di indipendenza del DPO rispetto al titolare del trattamento. Concretamente vuol dire che il DPO non può svolgere anche compiti che gli consentano di definire anche finalità o modalità del trattamento dati personali. Non a caso, nelle FAQ relative, il Garante aveva già spiegato che

“in ambito pubblico, oltre ai ruoli manageriali di vertice, possono sussistere situazioni di conflitto di interesse rispetto a figure apicali dell’amministrazione investite di capacità decisionali in ordine alle finalità e ai mezzi del trattamento di dati personali posto in essere dall’ente pubblico”

La sanzione del Garante

Alla luce delle evidenze ottenute in istruttoria il garante ha ingiunto al Comune una multa di 6.000 euro e la pubblicazione del provvedimento sul sito web del Garante per

l’illiceità del trattamento effettuato dal Comune per violazione degli artt. 5, par. 1, lett. a), 6, 37, par. 1, lett. a), e par. 7, nonché 38, par. 6, del Regolamento, nei termini di cui in motivazione;

Qui è disponibile il provvedimento completo


Cerchi piattaforme per adempiere a 360° al GDPR ed evitare sanzioni? Vedi qui!
Oppure ti serve formazione? O un consulente privacy? Abbiamo quel che cerchi!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.