La prima deve sempre essere anteposta alla seconda.
Di Michele Mavino
Il provvedimento del 26 febbraio 2026 del Garante per la protezione dei dati personali affronta una questione particolarmente rilevante per le amministrazioni pubbliche – e, più in generale, per tutti i soggetti tenuti agli obblighi di trasparenza – ossia il delicato bilanciamento tra pubblicità degli atti e tutela dei dati personali, con specifico riferimento alla diffusione online di informazioni relative al rapporto di lavoro.
Nel caso di specie, l’Autorità ha ritenuto illecito il trattamento posto in essere da una Fondazione, consistente nella pubblicazione, nella sezione “Amministrazione trasparente”, di una delibera di licenziamento contenente dati personali identificativi del dipendente interessato. La decisione si fonda su un principio ormai consolidato, vale a dire che la trasparenza amministrativa non costituisce, di per sé, una base giuridica autonoma e generalizzata per la diffusione indiscriminata di dati personali, soprattutto quando si tratta di informazioni idonee a incidere sulla dignità e sulla reputazione professionale dell’interessato .
Il Garante ribadisce, con chiarezza, che qualsiasi operazione di diffusione – e quindi anche la pubblicazione sul web – deve trovare un preciso fondamento normativo, ai sensi degli artt. 5 e 6 del Regolamento (UE) 2016/679 e dell’art. 2-ter del Codice privacy. In assenza di una disposizione che imponga espressamente la pubblicazione di una determinata categoria di dati (come nel caso delle sanzioni disciplinari individuali), il trattamento non può ritenersi lecito. In questo senso, il d.lgs. n. 33/2013, pur prevedendo obblighi di pubblicità, non legittima automaticamente la divulgazione di qualsiasi informazione, ma richiede una valutazione puntuale circa la pertinenza e la necessità dei dati resi accessibili .
Di particolare interesse operativo è il richiamo al principio di minimizzazione. Anche laddove sussista un obbligo di pubblicazione, l’amministrazione è comunque tenuta a limitare i dati diffusi a quelli strettamente necessari al perseguimento della finalità di trasparenza. Nel caso esaminato, la pubblicazione integrale della delibera con il nominativo del dirigente è stata ritenuta eccedente rispetto allo scopo, ben potendo l’esigenza informativa essere soddisfatta mediante l’oscuramento dei dati identificativi .
Il Garante riconosce l’assenza di dolo e qualifica la violazione come “minore”, valorizzando elementi quali la natura isolata dell’episodio, la successiva anonimizzazione del dato e la collaborazione dell’ente. Ciò ha condotto all’adozione di un provvedimento di ammonimento, anziché di una sanzione pecuniaria, confermando un approccio proporzionato e graduato dell’Autorità.
