Nella gestione dei dati del dipendente il Comune deve rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento UE 2016/679).
In particolare, nel rispetto del principio di “minimizzazione dei dati” (art. 5, par. 1, lett. c), del Regolamento), anche in presenza di un obbligo di pubblicazione, i soggetti chiamati a darvi attuazione non possono comunque diffondere i dati personali eccedenti o non pertinenti (cfr. provv. n. 243 del 15 maggio 2014, Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, doc. web n. 3134436, parte seconda parr. 1 e 3.a.).
Applicando tali principi, il garante della Privacy, con l’ordinanza n. 118 del 2 luglio 2020, ha sanzionato un Comune che, nel pubblicare un provvedimento di incarico ad un avvocato per difendere in giudizio l’ente in un procedimento relativo ad un licenziamento di un dipendente, aveva indicato nel testo le iniziali di detto dipendente, consentendone di fatto l’identificabilità.
Secondo il Garante, infatti, “per identificazione non si intende solo la possibilità di recuperare il nome e/o l’indirizzo di una persona, ma anche la potenziale identificabilità mediante individuazione, correlabilità e deduzione” (Gruppo di Lavoro Art. 29, Parere 05/2014 sulle tecniche di anonimizzazione, WP216): conseguentemente, la menzione delle iniziali del cognome e del nome del dipendente che aveva impugnato il licenziamento (e dato avvio al conseguente giudizio) all’interno della determinazione era, infatti, idonea a consentirne l’identificazione, quantomeno da parte dei dipendenti del Comune e dei familiari o conoscenti dell’interessato, anche in considerazione delle dimensioni modeste dell’Ente e del relativo organico e tenuto conto che doveva ritenersi residuale la possibilità che vi fossero altri lavoratori con le medesime iniziali all’interno del Comune.
D’altra parte, sin dal 2014, l’Autorità, nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (doc. web n. 3134436) ha chiarito che “la prassi seguita da alcune amministrazioni di sostituire il nome e cognome dell´interessato con le sole iniziali è di per sé insufficiente ad anonimizzare i dati personali contenuti negli atti e documenti pubblicati online” e che “il rischio di identificare l´interessato è tanto più probabile quando, fra l´altro, accanto alle iniziali del nome e cognome permangono ulteriori informazioni di contesto che rendono comunque identificabile l´interessato”, essendo necessario, al fine di rendere effettivamente anonimi i dati pubblicati online, “oscurare del tutto il nominativo e le altre informazioni riferite all´interessato che ne possono consentire l´identificazione anche a posteriori”.