Salta al contenuto
Novità Principi GDPR Privacy accesso ai dati dati personali GDPR pubblica amministrazione Regione Sardegna

Garante Privacy: Dati personali trattati illecitamente dalla Regione Sardegna

Garante Privacy: Dati personali trattati illecitamente dalla Regione Sardegna

In sintesi

Il Garante per la Protezione dei Dati Personali ha emesso un provvedimento nei confronti della Regione Autonoma della Sardegna. La Regione ha illecitamente trasmesso dati personali relativi a una sanzione disciplinare e a valutazioni di performance di una dipendente. I dati sono stati condivisi con unità organizzative interne non legittimate e con un'altra Amministrazione, violando i principi del GDPR.

Contesto

Il Garante per la Protezione dei Dati Personali ha emesso un provvedimento del 28 maggio 2026 nei confronti della Regione Autonoma della Sardegna a seguito di un reclamo presentato da una ex dipendente (Sig.ra XX). La reclamante ha lamentato due episodi di presunta violazione della normativa sulla protezione dei dati personali in ambito lavorativo.

Il primo episodio riguarda la trasmissione da parte della Direzione generale del personale e riforma di una nota contenente una sanzione disciplinare a suo carico. Questa nota è stata inviata a unità organizzative interne alla Regione (Direzione generale del lavoro, Direzione generale dei Servizi finanziari, Servizio Personale, Servizio previdenza e un Servizio interno all'Assessorato del Lavoro) che, secondo la reclamante, non avrebbero dovuto accedervi. La Regione ha giustificato la trasmissione per adempimenti di competenza, ma ha ammesso che un protocollista aveva assegnato la nota in modo errato a ulteriori destinatari a causa di una formulazione ambigua dell'indirizzo.

Il secondo episodio concerne la trasmissione da parte della Direzione generale del turismo, artigianato e commercio di una risposta a una sua istanza di accesso agli atti (ai sensi della L. n. 241/1990). Oltre che all'interessata, la nota è stata inviata anche all'Amministrazione presso cui la reclamante aveva da poco preso servizio (indicata come l'XX). Tale comunicazione rendeva nota a quest'ultima l'intera documentazione trasmessa, incluse le schede di valutazione della performance della reclamante.

Perché conta

Questo provvedimento del Garante Privacy è di fondamentale importanza per tutte le organizzazioni, in particolare le pubbliche amministrazioni, che trattano dati personali. Sottolinea la necessità di rispettare rigorosamente i principi del Regolamento (UE) 2016/679 (GDPR), quali la limitazione della finalità, l'integrità e la riservatezza (art. 5, par. 1, lett. b ed f). La diffusione di dati sensibili, come sanzioni disciplinari o valutazioni delle performance, a soggetti non autorizzati, anche all'interno della stessa organizzazione o verso altre pubbliche amministrazioni, costituisce una violazione grave.

Il caso evidenzia che errori procedurali interni, come quelli commessi da un addetto alla protocollazione a causa di indirizzi ambigui, non esonerano il titolare del trattamento dalla responsabilità. È cruciale implementare controlli di accesso granulari e assicurare che ogni trasmissione di dati sia giustificata da una base giuridica valida e strettamente necessaria allo scopo. L'episodio rimarca inoltre l'importanza di gestire con estrema cautela le richieste di accesso agli atti che possono portare alla divulgazione di dati personali a terzi, verificando sempre la legittimità e la necessità della comunicazione.

Cosa fare

  • Implementare procedure interne chiare per la gestione e la trasmissione di dati personali sensibili (es. sanzioni disciplinari, valutazioni delle performance).
  • Garantire che i dati siano trasmessi esclusivamente a destinatari legittimi e per finalità specifiche e lecite, basandosi sul principio del 'need-to-know'.
  • Fornire formazione specifica al personale coinvolto nella protocollazione e trasmissione dei documenti per assicurare la corretta identificazione dei destinatari e il rispetto della normativa privacy.
  • Rivedere e aggiornare le direttive interne e le deleghe di funzioni per chiarire responsabilità e competenze nella gestione dei dati personali.

Cosa evitare

  • Evitare di trasmettere dati personali a unità o soggetti che non dispongono di una base giuridica o di una necessità legittima per accedervi.
  • Non utilizzare formulazioni generiche o ambigue nell'indirizzamento delle comunicazioni contenenti dati personali, per non indurre in errore il personale.
  • Evitare di divulgare dati sensibili dei dipendenti (es. sanzioni, valutazioni) a nuovi datori di lavoro senza una valida base giuridica o un consenso esplicito dell'interessato.

Implicazioni pratiche

Le organizzazioni, in particolare gli enti pubblici, devono dotarsi di robusti quadri di governance dei dati per prevenire divulgazioni non autorizzate di dati personali, sia a livello interno che esterno, anche nell'ambito della gestione delle richieste di accesso agli atti. Questo caso sottolinea che errori operativi interni, come quelli di un addetto alla protocollazione, non esonerano il titolare del trattamento dalle proprie responsabilità ai sensi del GDPR.

Azioni da fare

  • Mappare i flussi di dati personali sensibili, identificando titolari, responsabili e destinatari specifici.
  • Implementare meccanismi di controllo degli accessi basati sul principio del 'need-to-know' per tutte le informazioni contenenti dati personali.
  • Formare regolarmente tutto il personale che maneggia dati personali sui rischi di divulgazione non autorizzata e sulle procedure corrette di gestione.
  • Definire con estrema chiarezza i destinatari delle comunicazioni che includono dati personali, evitando ambiguità.

Errori da evitare

  • Presumere che la trasmissione di dati personali all'interno della stessa organizzazione o tra enti pubblici sia sempre legittima senza una rigorosa verifica della necessità.
  • Affidarsi a indirizzi generici o a processi manuali di smistamento che possono facilmente portare a errori di assegnazione.
  • Sottovalutare l'importanza dei principi di minimizzazione e limitazione della finalità, anche in contesti di Pubblica Amministrazione.
  • Mancare di documentare le basi giuridiche per ogni condivisione di dati personali, sia interna che esterna.

Domande di self-assessment

  • Abbiamo procedure scritte e chiare per la trasmissione interna ed esterna di dati sensibili dei dipendenti?
  • Il nostro personale addetto alla gestione documentale e alla protocollazione è adeguatamente formato sulla protezione dei dati e sulle procedure corrette?
  • Le deleghe di funzioni del titolare del trattamento e le relative responsabilità sono chiaramente definite, comunicate e rispettate internamente?
  • Abbiamo implementato controlli tecnici e organizzativi per assicurare che solo il personale autorizzato acceda a documenti contenenti sanzioni disciplinari o valutazioni di performance?

Riferimenti

Normativa nazionale: Regolamento (UE) 2016/679 (GDPR) · d.lgs. 30 giugno 2003, n. 196 (Codice Privacy) · art. 77 del Regolamento · l. n. 241/1990 · art. 15 del Regolamento del Garante n. 1/2000 · L.R. n. 27/2011 art. 4, comma 1, lett. d)

Leggi l'articolo originale su garanteprivacy.it ↗

Leggi anche