Ë’ illecita la pubblicazione, sul sito web istituzionale di un Comune, del curriculum di un ex dipendente senza oscurare i dati personali dell’interessato.
家是什么意思，以便将刑事相关性与离开家的代理人的行为联系起来

I fatti
La valutazione del Garante
La decisione del Garante

>>>Ordinanza ingiunzione n. 198 该 26 maggio 2022<<<
1. I fatti
Il Garante per la protezione dei dati personali riceveva un reclamo con il quale un ex dipendente di un Comune riferiva di aver potuto verificare che sul sito web istituzionale dell’ente pubblico era presente il suo curriculum vitae, contenente una serie di dati personali quali l’indirizzo di residenza, 名称, il cognome e il numero di telefono mobile, nonostante il rapporto di lavoro fosse ormai cessato da diversi anni.
还, il reclamante lamentava di aver presentato al Comune una istanza di opposizione alla diffusione dei propri dati personali e di non aver ricevuto risposta dal Comune.
Nel corso dell’istruttoria, il Garante accertava la effettiva presenza del curriculum nel sito web riconducibile al Comune nonché la sua indicizzazione nei motori di ricerca.
In considerazione di ciò, l’Autorità invitava il Comune ad aderire alle richieste di rimozione dei dati formulate dall’interessato.
A fronte dell’invito ricevuto dal Garante, il Comune inviava una prima lettera alla software house esterna che si occupava della gestione del sito web, intimandole di rimuovere i dati personali del reclamante presenti all’interno del curriculum, nonché una seconda lettera al Dirigente comunale con la richiesta di spiegare le motivazioni della pubblicazione del curriculum e del ritardo nella risposta all’interessato nonché di verificare la possibilità di rimuovere i dati personali. 后来, il Dirigente comunale rispondeva che la pubblicazione era avvenuta in quanto richiesta dalla normativa in materia di trasparenza della PA (per portare a conoscenza l’affidamento dell’incarico di lavoro a favore del reclamante) e che il Comune aveva provveduto a rimuovere dal sito ogni riferimento a detto incarico, in quanto erano decorsi i termini previsti dalla suddetta normativa sulla trasparenza. 最后, il Dirigente spiegava che la rimozione dei dati non poteva avvenire in maniera autonoma da parte del Comune, in quanto questi era supportato nella gestione delle pubblicazioni sul sito web da una software house esterna.
Il Garante per la protezione dei dati personali, ritenendo che la condotta di cui sopra potesse configurare una violazione della normativa in materia di privacy, avviava il procedimento sanzionatorio nei confronti del Comune e lo invitava a presentare le proprie memorie difensive.
Il Comune si difendeva sostenendo che non vi era stata alcuna condotta colposa da parte dell’Ente pubblico, in quanto l’intervento di pubblicazione e rimozione dei dati sul sito web non era nella disponibilità del Comune, bensì di una software house esterna che al momento non collaborava più con il Comune. 因此, proprio detta software house avrebbe dovuto automaticamente rimuovere il curriculum alla scadenza dei termini previsti dalla normativa sulla trasparenza della PA.

Potrebbero interessarti anche:

Dati personali sull’incarico ad un avvocato: il Garante interviene
Il Garante sottolinea il confine tra trasparenza e violazione della privacy
Il Garante privacy ha negato l’accesso civico ai dati personali di soggetti liquidati dal Comune per sinistri

2. La valutazione del Garante
Preliminarmente, il Garante ha ricordato che i soggetti pubblici possono trattare i dati personali degli interessati, nel contesto lavorativo, qualora il trattamento sia necessario per gestire il rapporto di lavoro con l’interessato e per adempiere a obblighi o compiti previsti dalla legge, nonché qualora il trattamento sia necessario per eseguire compiti di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
In secondo luogo, il Garante ha ricordato che i soggetti pubblici possono diffondere dati personali, all’interno della quale rientra certamente la pubblicazione dei medesimi all’interno di un sito web, soltanto quando ciò sia previsto da una norma di legge o, nei casi previsti dalla legge, da una norma di regolamento.
Anche in tali casi, in cui è ammesso per il soggetto pubblico diffondere i dati personali degli interessati, il trattamento deve essere effettuato nel rispetto dei principi generali in materia di privacy: cioè quelli di liceità, correttezza, trasparenza e minimizzazione dei dati.
Nel caso di specie, è emerso dall’istruttoria che il Comune aveva pubblicato il curriculum vitae del reclamante oltre il termine di tre anni dalla fine del rapporto di lavoro con l’Ente pubblico, stabilito dalla normativa in materia di trasparenza della PA.
Ciò significa, secondo il Garante, che – successivamente all’arco temporale indicato dalla suddetta normativa – vi è stata una diffusione di dati personali in assenza di una idonea base giuridica.
还, dall’istruttoria è altresì emerso che il curriculum vitae pubblicato conteneva dei dati non necessari per adempiere all’obbligo di trasparenza imposto all’Ente pubblico dalla citata normativa: cioè l’indirizzo di residenza, il numero di cellulare e gli indirizzi di posta elettronica privati.
A tale ultimo proposto, il Garante ha evidenziato come l’obbligo di pubblicazione del curriculum vitae del soggetto cui è stato affidato un incarico da parte di un Ente pubblico, non può comunque comportare la diffusione di dati personali che non siano pertinenti rispetto alle finalità di trasparenza che ha come obiettivo la predetta normativa.
In considerazione di ciò, l’Ente pubblico, prima di pubblicare sul sito web il curriculum vitae, deve selezionare i dati contenuti al suo interno e non pubblicare quelli che eccedono rispetto alla finalità di trasparenza, come ad esempio il codice fiscale ecc.
Nel caso di specie, 代替, come detto, il curriculum conteneva diversi dati eccedenti le finalità di trasparenza e quindi il Comune non ha compiuto la selezione e eliminazione dei dati non pertinenti.
Secondo il Garante, 此外, non è possibile accogliere la tesi difensiva del Comune secondo cui sarebbe stato compito della software house esterna che gestiva la pagina web rimuovere detti dati non pertinenti. Ciò in quanto il Comune è il titolare del trattamento e pertanto spetta a quest’ultimo decidere le finalità e le modalità dei trattamenti che pone in essere, con la necessaria conseguenza che egli ne assume la responsabilità (光盘. principio di accountability), anche nel caso in cui le operazioni siano poste in essere da un altro soggetto per suo conto (il c.d. responsabile del trattamento) e in base alle istruzioni impartite dal titolare medesimo.
In considerazione di ciò, il Comune avrebbe dovuto impartire alla software house esterna le istruzioni circa la cancellazione dei dati personali oggetto del trattamento (cioè della pubblicazione on line del curriculum) nonché vigilare affinchè la software house eseguisse correttamente dette istruzioni.
Nel caso di specie, 代替, il Comune non ha dimostrato di aver fornito dette istruzioni alla software house esterna, né durante il rapporto contrattuale con la medesima, né alla cessazione di detto rapporto.
因此, la illecita diffusione dei dati personali del reclamante è imputabile al Comune.
3. La decisione del Garante
In base alle valutazioni di cui sopra, il Garante per la protezione dei dati personali ha quindi ritenuto che il trattamento dei dati è stato effettuato in violazione dei principi di liceità, correttezza, trasparenza e minimizzazione dei dati nonché in assenza di una idonea base giuridica.
Conseguentemente ha ritenuto di sanzionare il Comune comminando una sanzione pecuniaria amministrativa dell’importo di €. 10.000.
推荐音量

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

Stefano ComelliniAvvocato in Bologna e patrocinante in Cassazione, si occupa prevalentemente di Diritto Industriale, di Diritto dell’Informatica e delle Telecomunicazioni e di Diritto della Privacy. Svolge, altresì, l’attività di Data Protection Officer. Relatore in convegni, è autore dei testi “Il Responsabile della Protezione dei Dati (数据保护官员 – DPO)”, “Il Regolamento generale sulla Protezione dei Dati personali e la nomina del DPO nella Pubblica Amministrazione”, “La moneta elettronica. Altri sistemi di pagamento elettronici e valute virtuali (Criptovalute)” e “Blockchain, Criptovalute, I.C.O. e Smart Contract”, pubblicati da Maggioli Editore.

Stefano Comellini, 2020, 马格斯出版商

12.90 €
10.97 €

购买

成为Legge.it的作者
找到更多!

你也可能对此有兴趣

Romance Scam, che cos’è e come difendersi

di Luisa Di Giacomo
17 三月 2022

Data Breach alla regione Lazio: la gravità dipende dalla reazione

di Luisa Di Giacomo
6 八月 2021

Cookie e altri strumenti di tracciamento: guida pratica per un banner a prova di GDPR

di Luisa Di Giacomo
22 十月 2021

Google analytics dopo le diffide ricevute dalle Pubbliche Amministrazioni italiane: chi ha ragione e cosa fare ora

di Luca Iadecola
25 五月 2022

The post Pubblicazione di curriculum senza oscurare i dati: intervento del Garante appeared first on Diritto.it.
来源: Diritto.it