Di Michele Mavino
Il provvedimento del Garante dell’11 settembre scorso richiama con forza le amministrazioni pubbliche al rigoroso rispetto dei principi del GDPR quando utilizzano i social network istituzionali come strumenti di comunicazione verso la collettività. L’Autorità affronta infatti due profili distinti ma strettamente connessi: da un lato, la diffusione illecita di immagini riferibili a minori e a soggetti affetti da disabilità, dall’altro, l’omessa pubblicazione dei dati di contatto del Responsabile della protezione dei dati (RPD).
Sotto il primo aspetto, il Garante ribadisce un principio cardine: per i soggetti pubblici la diffusione di dati personali online costituisce un’operazione di trattamento particolarmente invasiva, ammessa solo in presenza di una specifica base giuridica normativa ai sensi dell’art. 2-ter del Codice privacy. La pubblicazione su Facebook di immagini di minori e di persone in condizioni di fragilità – ancorché inserite nel contesto di eventi pubblici – viene correttamente qualificata come “diffusione”, con conseguente necessità di una previsione di legge o di regolamento che la consenta espressamente. In assenza di tale presupposto, il trattamento risulta intrinsecamente illecito.
Di particolare rilievo è il passaggio in cui l’Autorità smonta la tesi difensiva del Comune circa la presunta irrilevanza delle immagini perché “non lesive” o “pixelate”. Il Garante richiama infatti il concetto sostanziale di identificabilità, già affermato dal Gruppo Articolo 29 e costantemente ribadito nella propria prassi: anche immagini parzialmente oscurate possono consentire l’identificazione dell’interessato attraverso elementi di contesto, soprattutto in realtà territoriali di dimensioni ridotte. Tale impostazione è coerente con precedenti provvedimenti dell’Autorità e con l’orientamento europeo che privilegia una valutazione concreta del rischio per i diritti e le libertà delle persone fisiche, in particolare quando sono coinvolti minori o soggetti vulnerabili (considerando 75 GDPR).
Ancora più netta è la posizione in relazione ai dati relativi alla salute: il Garante ribadisce che tali informazioni, anche quando veicolate indirettamente tramite immagini, non possono mai essere oggetto di diffusione, ai sensi dell’art. 2-septies, comma 8, del Codice. Si tratta di un divieto assoluto, che prescinde dalle finalità perseguite dall’amministrazione e che trova conferma in numerosi precedenti sanzionatori dell’Autorità.
Di grande interesse pratico per gli enti locali è poi il chiarimento sul ruolo del consenso: il provvedimento conferma che, quando il trattamento è riconducibile a compiti di interesse pubblico, il consenso non solo non è necessario, ma spesso non è neppure idoneo a costituire una valida base giuridica, in ragione dello squilibrio strutturale tra amministrazione e cittadino. Questo passaggio assume un valore didattico rilevante, poiché contrasta una prassi ancora diffusa nelle amministrazioni, che tendono a “coprirsi” mediante liberatorie o autorizzazioni informali.
Il secondo profilo censurato – l’omessa pubblicazione dei dati di contatto del RPD – evidenzia come il Garante attribuisca un peso significativo anche agli adempimenti organizzativi e di trasparenza. La mancata indicazione dei recapiti del RPD sul sito istituzionale viene considerata una violazione autonoma e tutt’altro che formale, in quanto incide direttamente sulla possibilità per gli interessati di esercitare i propri diritti. Anche su questo punto l’Autorità si pone in linea con precedenti recenti, sottolineando che la pubblicazione dei dati del RPD deve essere immediata, facilmente accessibile e chiaramente visibile.
