La disciplina in materia di protezione dei dati personali contenuti in atti e documenti pubblicati sul web e i relativi obblighi derivanti dalla loro pubblicazione, è stata chiarita dal Garante della Privacy con le linee guida adottate con provvedimento del 15 maggio 2014.

Le stesse linee guida hanno inoltre lo scopo di individuare le cautele che i soggetti pubblici sono tenuti ad adottare nei casi in cui diffondano dati personali sui propri siti web istituzionali per finalità di pubblicità dell’azione amministrativa o per finalità di trasparenza.

Prima di procedere alla pubblicazione sul proprio sito web la P.A. deve infatti individuare se esiste un presupposto di legge o di regolamento che legittima la diffusione del documento o del dato personale; verificare, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni; sottrarre alla reperibilità sulla rete da parte dei motori di ricerca i dati sensibili e giudiziari.

In ogni caso, è precluso diffondere dati personali che possano rivelare lo stato di salute o altre informazioni da cui sia possibile evincere, anche indirettamente, lo stato di malattia dei soggetti interessati, comprese eventuali invalidità, disabilità o handicap fisici e/o psichici.

Le linee guida del Garante si occupano nello specifico di determinati obblighi di pubblicazione riguardanti, tra gli altri, anche i curricula professionali (ad esempio, dei titolari di incarichi di indirizzo politico o amministrativi di vertice), nei limiti dei dati pertinenti alle finalità di trasparenza perseguite.  

Proprio in relazione alla pubblicazione dei curricula, il Garante ha recentemente sanzionato un comune che aveva diffuso dati personali di un interessato senza un’adeguata base giuridica.

In pratica, a seguito del reclamo di un soggetto che aveva rilevato la presenza del proprio curricula sul sito istituzionale del comune nonostante avesse, da tempo, cessato il rapporto lavorativo, il Garante aveva accertato che il curricula del reclamante era rimasto disponibile online oltre l’arco temporale previsto dalla vigente normativa (fatte salve alcune eccezioni, il decreto trasparenza pone il termine 5 anni come periodo generale massimo di mantenimento online delle informazioni anche se, una volta raggiunti gli scopi per i quali i dati personali sono stati resi pubblici, gli stessi devono essere oscurati anche prima del termine dei 5 anni) e ciò aveva comportato la diffusione dei dati in assenza di base giuridica. 

Il Comune, tra l’altro, non aveva neanche operato un’attenta selezione dei dati in esso contenuti (indirizzo di residenza, numero di cellulare e indirizzo di posta elettronica personali).

A nulla è valsa la tesi difensiva del comune secondo cui il curricula era rimasto in rete per una condotta negligente della società cui all’epoca era stata affidata la gestione della pagina del sito denominata “amministrazione trasparente”. 

Il Garante ha infatti ribadito che è compito del titolare del trattamento, ergo, nel caso di specie, del comune, impartire a chi li tratta adeguate indicazioni per la corretta gestione dei dati in conformità ai principi di “liceità, correttezza-trasparenza, minimizzazione dei dati”.