Non si possono pubblicare in rete i documenti di riconoscimento e i curricula integrali degli utenti. E questa regola vale anche per gli enti pubblici alle prese con gare d’appalto e selezioni di concorso.
Lo ha chiarito il Garante per la protezione dei dati personali con il provvedimento n. 193 del 17 maggio 2023. Alcuni cittadini hanno segnalato all’autorità la diffusione dei loro documenti di riconoscimento inoltrati per diversi motivi al Ministero dei trasporti. Il Garante ha aperto un’istruttoria che si è conclusa con l’applicazione di una pesante sanzione amministrativa per illecito trattamento dei dati personali. Al riguardo, specifica l’ordinanza, dalla verifica preliminare effettuata da questo dipartimento è emerso che all’url indicato nella segnalazione era effettivamente possibile rinvenire diversi documenti contenenti dati e informazioni personali , fra cui anche copie di documenti di riconoscimento e tessere sanitarie presenti su indirizzi web riferibili al dominio del Ministero delle infrastrutture e della mobilità sostenibili. Nello specifico, facendo una selezione a campione, è stato verificato che era accessibile e direttamente scaricabile il file con le informazioni riguardanti una società di ingegneria, che comprendeva anche il curriculum vitae dettagliato di due soggetti identificati in atti e la copia integrale a colori delle rispettive carte d’identità all’url era accessibile e direttamente scaricabile il file relativo alla nota del mit prot. n. omissis del omissis , con tutti i relativi allegati dove erano riportati dati e informazioni personali, compresa la copia integrale di due documenti d’identità e di una tessera sanitaria di due soggetti identificati in atti all’url era accessibile e direttamente scaricabile il documento prot. n. omissis del omissis del mit, contenente fra l’altro la copia integrale di due documenti di identità e di una tessera sanitaria di due soggetti identificati in atti . Questa diffusione di dati personali non è conforme al regolamento europeo sulla protezione dei dati. In proposito, prosegue il collegio, risulta che il trattamento effettuato in violazione della disciplina in materia di protezione dei dati personali ha avuto ad oggetto la diffusione online di dati personali non appartenenti a categorie particolari né a condanne penali o reati contenuti secondo quanto dichiarato in circa 81 documenti. La violazione accertata è di carattere evidentemente colposo, in quanto derivante come riportato nelle memorie difensive e in sede di audizione da un mero e involontario errore umano. La condotta risulta, in ogni caso, limitata nel tempo, episodica e non sistematica … . In ogni caso, l’ente, a seguito della richiesta dell’ufficio, si è attivato per rimuovere i dati personali dei soggetti interessati ed ha collaborato con questa autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi . In ragione di questa istruttoria il Ministero dei trasporti è stato comunque sanzionato con l’applicazione di una misura pecuniaria di 24 mila euro oltre alla pubblicazione integrale del provvedimento.
Garante Privacy, Provvedimento del 17 maggio 2023