[doc. web n. 10105123]

Provvedimento del 20 giugno 2024

Registro dei provvedimenti
n. 377 del 20 giugno 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con provvedimento del 24 gennaio 2024, n. 34 (doc. web n. 9986304), l’Autorità ha sanzionato il Comune di XX (di seguito, il “Comune”) per aver, tra le altre cose, diffuso dati anagrafici e di contatto, nonché relativi alla salute, mediante la pubblicazione online sulla propria pagina Facebook (URL: https://...), dei post del XX (contenenti una mappa delle abitazioni dei soggetti positivi o in isolamento), del XX (contenenti screenshot della email della ASL con esiti dei tamponi effettuati ai “Sigg.ri XX XX XX”), del XX (recante la nota ASL contenente l’esito negativo del tampone riferito a un soggetto del quale è indicato l’indirizzo e il sesso) e del XX (recante la nota ASL relativa alla dimissione di un paziente), con dati personali, non adeguatamente oscurati; ingrandendo l’immagine si leggono infatti le generalità, l’indirizzo, i recapiti telefonici, la diagnosi e la data dell’effettuazione dei due tamponi che hanno dato esito negativo), in violazione degli artt. 5, par. 1, lett. a), 6, par. 1 lett. c) ed e) e 9 del Regolamento, e degli artt. 2-ter, 2-sexies, e 2-septies, par. 8 del Codice (nel testo anteriore alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205).

Con il medesimo provvedimento, l’Autorità, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ha, altresì, ingiunto al Comune, di cessare l’ulteriore diffusione dei dati personali pubblicati con i post del XX, dell’XX, del XX e del XX, consultabili nella pagina Facebook riferibile al Comune di XX, https://..., rispettivamente alle URL https://..., https://..., https://..., https://..., fornendo altresì all’Autorità, ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del provvedimento, in ordine alle iniziative intraprese al fine di dare attuazione a quanto ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

Il Comune, a cui il predetto provvedimento è stato notificato con nota del XX (prot. n. XX), non ha, tuttavia, fornito riscontro all’Autorità entro il termine impartitogli, ovvero entro il XX.

In aggiunta, in data XX l’Autorità ha provveduto ad accertare che, allo stato, i suddetti post del XX, dell’XX, del XX e del XX, risultano tuttora pubblicati sulla pagina Facebook riferibile al Comune di XX, https://....

2. L’attività istruttoria.

Con nota del XX, prot. n. XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver omesso:

di fornire all’Autorità, ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, entro il termine di 30 (trenta) giorni dalla data di notifica del provvedimento n. 34 del 24 gennaio 2024, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto ordinatogli nonché alle eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali, avendo, pertanto, il Comune agito in violazione dell’art. 157 del Codice (in connessione all’art. 58, par. 1, lett. a), del Regolamento);

di ottemperare, entro il medesimo termine, alle prescrizioni impartitegli dall’Autorità ai sensi degli art. 58, par. 2, lett. d), del Regolamento (ovvero “cessare l’ulteriore diffusione dei dati personali pubblicati con i post del XX, dell’XX, del XX e del XX, attualmente consultabili nella pagina Facebook riferibile al Comune di XX […]”), con il citato provvedimento del 24 gennaio 2024, avendo, pertanto, il Comune agito in violazione di un ordine impartito dall’Autorità ai sensi dell’art. 58, par. 2, lett. d), del Regolamento.

Con la medesima nota, il Comune è stato, altresì, invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

A seguito della suddetta notifica, il predetto Comune non ha presentato memorie difensive, né ha chiesto di essere audito.

3. Esito dell’attività istruttoria.

3.1. L’omesso riscontro alla richiesta d’informazioni dell’Autorità.

Ai sensi dell’art. 58, par. 1, lett. a), del Regolamento, l’autorità di controllo ha il potere di “ingiungere al titolare del trattamento […] di fornirle ogni informazione di cui necessiti per l'esecuzione dei suoi compiti”.

Nell’ordinamento nazionale, l’art. 157 del Codice prevede che “nell'ambito dei poteri di cui all'articolo 58 del Regolamento, e per l'espletamento dei propri compiti, il Garante può richiedere al titolare […] di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati”.
La violazione del predetto articolo è soggetta “alla sanzione amministrativa di cui all'articolo 83, paragrafo 5, del Regolamento” (art. 166, co. 2, del Codice), ovvero “fino a 20 000 000 EUR”.

Nel caso di specie, il Comune ha omesso di fornire all’Autorità, ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, entro il termine di 30 (trenta) giorni dalla data di notifica (XX) del provvedimento n. 34 del 24 gennaio 2024, cioè entro il XX, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto ordinatogli, nonché alle eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali,  .

Come, infatti, sopra illustrato, neanche a seguito di un’ulteriore notifica dell’Autorità (v. nota del XX, prot. n. XX) il Comune ha fornito riscontro, avendo, pertanto, l’Ente agito in violazione dell’art. 157 del Codice (in connessione all’art. 58, par. 1, lett. a), del Regolamento).

3.2. L’inosservanza delle prescrizioni impartite dall’Autorità.

Ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, il Garante ha il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del […] regolamento, se del caso, in una determinata maniera ed entro un determinato termine”.

Come previsto dall’art. 83, par. 5, lett. e), del Regolamento, “l'inosservanza di un ordine […] dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2 […]” è soggetta a una sanzione amministrativa pecuniaria “fino a 20 000 000 EUR” (v. anche par. 6 del medesimo articolo).

Nel caso di specie, il Comune, non ha provveduto ad adempiere a quanto prescrittogli dall’Autorità ai sensi dell’art. 58, par. 2, lett. d), del Regolamento (ovvero “cessare l’ulteriore diffusione dei dati personali pubblicati con i post del XX, dell’XX, del XX e del XX, attualmente consultabili nella pagina Facebook riferibile al Comune di XX […]”), nè entro il termine impartitogli (XX), né successivamente, posto che, dagli accertamenti effettuati dall’Ufficio i predetti post risultano tuttora pubblicati sulla pagina Facebook riferibile al Comune di XX, https://... (documentazione in atti). Risulta, pertanto, accertato che il Comune ha agito in violazione di un ordine impartito dall’Autorità ai sensi dell’art. 58, par. 2, lett. d), del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, e tenuto conto della circostanza che il Comune di XX non ha fatto pervenire scritti difensivi o documenti, né ha richiesto di essere sentito dall’Autorità, non possono ritenersi superati i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, né può procedersi all’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità della condotta tenuta dal Comune, per non aver fornito riscontro a una richiesta d’informazioni dell’Autorità e per non aver adempiuto alle prescrizioni impartitegli con il provvedimento n. 34 del 24 gennaio 2024, in violazione degli artt. 157 del Codice (in connessione all’art. 58, par. 1, lett. a), del Regolamento) e 58, par. 2, lett. d), del Regolamento.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni sono soggette alla sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

5. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).

L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d).

Prendendo atto di quanto emerso in fase di istruttoria e tenendo conto della circostanza che i post del XX, XX, XX e XX, riportanti dati personali oscurati in modo non completo o adeguato, risultano tuttora pubblicati sulla pagina Facebook del Comune di XX (https://...) si rende altresì necessario, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere nuovamente al Comune di cessare l’ulteriore diffusione dei dati personali pubblicati sulla predetta pagina Facebook.

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, il Comune dovrà, inoltre, provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura, alla gravità e alla durata della violazione della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare che, omettendo di conformarsi alle prescrizioni dell’Autorità, il Comune ha ulteriormente contribuito alla diffusione online di dati personali degli interessati, incluse categorie particolari di dati, reiterando la medesima violazione già censurata con il citato provvedimento del 24 gennaio 2024, n. 34, avendo mantenuto la pubblicazione dei post contenenti i predetti dati sulla propria pagina Facebook istituzionale. In tal modo, la condotta del Comune si connota di particolare disvalore, denotando la stessa un sostanziale disconoscimento da parte dell’Ente del ruolo, dei compiti e dei poteri dell’autorità di controllo nell’ordinamento nazionale (v. artt. 55, 57 e 58 del Regolamento) e, più in generale, della disciplina in materia di protezione dei dati personali.

Si osserva, inoltre, ai fini dell’art. 83, par. 2, lett. b), del Regolamento, che la violazione ha carattere doloso, avendo il Comune intenzionalmente omesso di conformarsi alle prescrizioni impartitegli.

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia alto (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, tenuto conto, in senso favorevole al titolare, che quest’ultimo è un Ente di modeste dimensioni (circa 6005 abitanti), si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le circostanze aggravanti relative alla mancata cooperazione con l'Autorità  nell’ambito del presente procedimento (art. art. 83, par. 2, lett. f), del Regolamento), e la sussistenza di una precedente violazione per omesso riscontro a una richiesta di informazioni dell’Autorità (art. 83, par. 2, lett. e), del Regolamento), contestata nell’ambito del citato provvedimento n. 34 del 24 gennaio 2024.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000,00 (diecimila/00) per la violazione degli artt. 58, par. 2, lett. c), del Regolamento e 157 del Codice (in connessione all’art. 58, par. 1, lett. a), del Regolamento), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che le prescrizioni impartite dall’Autorità al Comune non sono state tuttora adempiute, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dal Comune di XX, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 58, par. 2, lett. d), del Regolamento e 157 del Codice;  

ORDINA

al Comune di XX, con sede legale in XX - XX, XX (XX) C.F. XX, di pagare la complessiva somma di euro 10.000,00 (diecimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Comune di XX:

a) di pagare la somma di euro 10.000,00 (diecimila/00), in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di cessare l’ulteriore diffusione dei dati personali pubblicati con i post del XX, dell’XX, del XX e del XX, attualmente consultabili nella pagina Facebook riferibile al Comune di XX, https://...;

c) ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), nonché le eventuali misure poste in essere per assicurare la

conformità del trattamento alla normativa in materia di protezione dei dati personali.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 20 giugno 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei