Provvedimento del 4 giugno 2025 [10163025]
Provvedimento del 4 giugno 2025 [10163025]
Condividi[doc. web n. 10163025]
Provvedimento del 4 giugno 2025
Registro dei provvedimenti
n. 320 del 4 giugno 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. Introduzione.
Con reclamo presentato ai sensi dell’art. 77 del Regolamento, il sig. XX, che ha svolto la propria attività lavorativa presso il Comune di Roccaforzata (di seguito “Comune”) ha lamentato la pubblicazione sul sito web istituzionale del Comune di documentazione contenente propri dati personali, anche relativi alla salute. In particolare ha rappresentato che il Comune ha pubblicato l'atto (delibera di Giunta Comunale n. XX del XX, perfezionato con determinazione n. XX del XX) con il quale veniva proposto appello, a seguito di un contenzioso con il reclamante già definito in primo grado, in cui erano riportate le proprie iniziali (XX).
A seguito di una sentenza del Giudice del lavoro con cui il Comune è stato condannato al risarcimento danni nei confronti del reclamante per “mobbing”, sulla base, tra l’altro, di una malattia professionale generata e riconosciuta dall’I.N.A.I.L, il Comune ha provveduto con delibera del Consiglio Comunale n.XX del XX a riconoscere il debito fuori bilancio, specificando il nome del reclamante individuato tramite le proprie iniziali (XX) e a specificare la percentuale di invalidità. È stato rappresentato che gli atti amministrativi del Comune sono pubblicati all’Albo Pretorio online e vi rimangono senza data di scadenza.
Il Comune ha inoltre pubblicato in data XX, per 28 giorni, l'elenco completo delle generalità dei dipendenti riferito alle Elezioni Sindacali R.S.U. con l’indirizzo di residenza di ognuno.
È stato rappresentato, in ultimo, che nella istanza del reclamante, approvata con delibera di Giunta Comunale n.XX del XX, avente ad oggetto “concessione periodo di congedo straordinario retribuito ai sensi dell’art.42, comma 5, del decreto legislativo 151 del 2001” il Comune ha omesso in alcuni periodi della stessa delibera il nome del reclamante, con alcuni “OMISSIS”, “per poi indicarlo completamente nella pagina 4 del documento stesso”.
2. L’attività istruttoria.
In riscontro a una richiesta d’informazioni dell’Autorità (nota prot. n. XX del XX), il Comune, con nota prot. n. XX del XX, ha dichiarato, in particolare, che:
- “riguardo alla “Deliberazione della Giunta Comunale n. XX del XX e Determinazione n. XX del XX (Registro Generale n. XX del XX) tali atti, in cui si proponeva e perfezionava l'appello avverso la Sentenza n. XX del Tribunale di Taranto - Sezione Lavoro, riportavano le iniziali del dipendente con la finalità di proteggere l'interessato utilizzando la tecnica della pseudonimizzazione mediante la sostituzione del nome e cognome con le iniziali”;
- relativamente alla “pubblicazione n. XX del XX elenco dipendenti per elezioni RSU questo Ente, […] ha seguito le indicazioni contenute nella Circolare n. XX dell'ARAN relativamente al rinnovo delle RSU, che prevede "Le liste presentate ed i relativi candidati devono essere portate a conoscenza di tutti i lavoratori mediante affissione all'apposito albo dell'Amministrazione almeno otto giorni prima della data fissata per le votazioni". In tal caso, fermo restando il possibile mancato rispetto del principio di minimizzazione dei dati con riferimento all'indicazione della residenza, si evidenzia che non si tratta comunque di categorie particolari di dati ex artt. 9 e 10 GDPR. Quanto alla pubblicazione per 28 giorni dell'elenco si rileva che le norme di settore e la circolare ARAN non dicono nulla a proposito. Base giuridica: art. 32, comma 1, Legge n. 69 del 18 giugno 2009”;
- “riguardo alla “deliberazione del Consiglio Comunale n. XX del XX […] In tale atto, relativo al riconoscimento del debito fuori bilancio collegato alla sentenza n. XX del Tribunale di Taranto - Sezione Lavoro […], la finalità del Titolare era di proteggere l'interessato utilizzando la tecnica della pseudonimizzazione, sostituendo nome e cognome con le iniziali dello stesso (come per i due atti precedenti). Si richiamano in proposito le considerazioni sopra riportate. Base giuridica: art. 124 del TUEL; art. 32, comma 1, Legge n. 69 del 18 giugno 2009”;
- “riguardo alla “deliberazione della Giunta Comunale n. XX del XX […], in questo atto, relativo alla concessione di un periodo di congedo straordinario retribuito al reclamante, è stata utilizzata una tecnica di pseudonimizzazione diversa dalle precedenti, oscurando il nome ("OMISSIS") e utilizzando un codice matricola ("il dipendente identificato con codice matricola o3"), per non rendere direttamente conoscibile il dato in questione. Per quanto concerne la doglianza del reclamante relativa alla indicazione, a pag. 4, del suo nominativo "in chiaro" si evidenzia che trattasi di un refuso/errore materiale. Base giuridica: art. 124 del TUEL; art. 32, comma 1, Legge n. 69 del 18 giugno 2009”.
Con nota del XX l’Autorità, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver pubblicato sul proprio sito web istituzionale le delibere n. XX del XX (perfezionatasi con determinazione n. XX del XX), n. XX del XX, n.XX del XX e n.XX del XX, contenente i dati personali dell’interessato, tra cui informazioni relative alla salute, in violazione degli artt. 5, 6 e 9 del Regolamento, nonché dell’art. 2-ter e 2-septies, comma 8 del Codice.
Con la medesima nota, e con successiva nota del XX, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).
Con nota del XX il Comune, che non ha richiesto di essere audito, ha presentato una memoria difensiva, rimandano integralmente “a quanto ampiamente argomentato nella nota […] prot. n. XX del XX” dichiarando inoltre, in particolare, che:
- “tutti gli atti oggetto di reclamo sono stati rimossi dal sito web istituzionale del comune”;
- “si osserva che, dopo gli accadimenti oggetto di contestazione, l’Ente si è attenuto scrupolosamente alla normativa a tutela della protezione dei dati personali implementando all’interno procedure rigorose per garantire la riservatezza delle informazioni, assicurandosi per ogni pubblicazione il rispetto dei diritti degli interessati”;
- “da ultimo si forniscono rassicurazioni circa la virtuosità dell’Ente nel continuare ad adottare ogni misura necessaria a garantire la protezione dei dati personali, pur presentando criticità organizzative legate all’esiguo numero di dipendenti nonché una grave situazione economico – finanziaria che nei prossimi giorni porterà il Consiglio Comunale a deliberare il dissesto finanziario”.
3. Esito dell’attività istruttoria.
3.1. La normativa applicabile.
La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice).
Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2 del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione online) da parte di soggetti pubblici è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento o da atto amministrativo generale (art. 2-ter del Codice).
Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito, oltre che per assolvere specifici obblighi “in materia di diritto del lavoro […] nella misura in cui sia autorizzato dal diritto […] in presenza di garanzie appropriate” (art. 9, par. 2, lett. b), del Regolamento), anche ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento).
Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del Regolamento) e deve trattare i dati mediante il personale “autorizzato” e “istruito” in merito all’accesso e al trattamento dei dati (artt. 4, punto 10), 29, e 32, par. 4, del Regolamento).
3.2. La diffusione di dati personali.
Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria nonché dall’accertamento compiuto sulla base degli elementi acquisiti, a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, il Comune, ha pubblicato, sul proprio sito web istituzionale, atti e documenti contenenti informazioni riguardanti, in particolare, vicende connesse al rapporto di lavoro con il reclamante, e contenenti anche dati relativi alla salute quali la percentuale di invalidità riconosciuta al reclamante e il riferimento alla circostanza del riconoscimento del congedo straordinario allo stesso ai sensi dell’art 46 comma 5 del d.lgs. 151 del 2001 .
In particolare sono stati oggetto di pubblicazione: la delibera della Giunta Comunale n. XX del XX con cui veniva proposto appello a seguito di un contenzioso con il reclamante già definito in primo grado, la delibera del Consiglio Comunale n. XX del XX con cui veniva riconosciuto il debito fuori bilancio derivante da una sentenza del Giudice del lavoro con cui il Comune è stato condannato al risarcimento danni nei confronti del reclamante per “mobbing” in cui veniva specificata la percentuale di invalidità in capo al reclamante; l'elenco completo delle generalità dei dipendenti riferito alle Elezioni Sindacali R.S.U., con l’indirizzo di residenza di ognuno; la delibera della Giunta Comunale n.XX del XX, avente ad oggetto “concessione periodo di congedo straordinario retribuito ai sensi dell’art.42, comma 5, del decreto legislativo 151 del 2001”.
Preliminarmente si precisa che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, dovendosi considerare “identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione […]” (art. 4, par. 1, n. 1) del Regolamento). Pertanto, sebbene il Comune abbia dichiarato di aver adottato misure finalizzate a cercare di non rendere identificabile l’interessato quali l’indicazione negli atti in questione delle sole inziali del nome e cognome, si evidenzia che l’utilizzo di tale accorgimento può, invece, non essere sufficiente a evitare l’identificabilità dell’interessato, specie quando ad esse siano associate altre informazioni di contesto ovvero ulteriori elementi identificativi. In particolare l’utilizzo delle inziali del nome e cognome, considerata, inoltre, la particolarità del caso avendo il reclamante due nomi e due cognomi, può considerarsi idoneo a consentire di risalire all’identità dell’interessato, tenuto inoltre conto del ristretto contesto lavorativo in cui si sono svolti i fatti e delle piccole dimensioni del Comune.
Quanto alla natura dei dati oggetto di pubblicazione si rappresenta che il riferimento a disposizioni normative, come l’art. 42, comma 5 del d. lgs. 151 del 2001, contenuto nella delibera del XX, n.XX, che prevede il diritto al congedo per assistere un familiare “con disabilità in situazione di gravità”, è idoneo a rivelare lo stato di salute del lavoratore o di un terzo (v. fra i tanti provvedimenti del Garante, da ultimo provv. n. 796 del 19 dicembre 2024, doc. web n. 10102504 con riferimento alla legge 104 del 1992 che, notoriamente, disciplina i benefici e le garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari).
Inoltre anche il riferimento contenuto nella delibera del Consiglio Comunale n.XX del XX con cui veniva riconosciuto il debito fuori bilancio derivante da una sentenza del Giudice del lavoro con cui il Comune è stato condannato al risarcimento danni nei confronti del reclamante per “mobbing” specificando la percentuale di invalidità in capo al reclamante, ha determinato la pubblicazione di un dato relativo alla salute.
In tale quadro si ribadisce che, in conformità alla disciplina di protezione dei dati personali, i dati relativi alla salute ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”, per effetto delle maggiori garanzie che il Regolamento e il Codice riconoscono in ragione della particolare delicatezza di tale categoria di dati “non possono essere diffusi” (art. 2-septies, comma 8, del Codice e art. 9, paragrafo 4, del Regolamento).
Con riferimento invece a quanto rappresentato riguardo alla pubblicazione della lista degli elettori riferito alle elezioni delle Rappresentanze Sindacali Unitarie, coincidente con tutti i dipendenti comunali, si rappresenta che tali informazioni, in assenza di qualunque altro elemento informativo in merito all’effettivo esercizio del diritto di voto, non rientrano nell’ambito della categoria di dati particolari. Resta fermo che la pubblicazione dei dati riferiti all’indirizzo di residenza di ciascun nominativo, presente nelle predette liste, rappresenta una diffusione di dati comuni non necessaria e ultronea rispetto a quanto previsto dalla normativa di settore.
Fermo restando il divieto di pubblicazione dei dati relativi alla salute il Comune, inoltre, non ha comprovato l’esistenza di alcuna specifica disposizione normativa che consenta la pubblicazione delle delibere oggetto del reclamo, né può ritenersi sufficiente il mero richiamo alla disciplina concernente la pubblicità degli atti sull’Albo Pretorio (art. 124 del TUEL e dell’art.32, comma 1 della Legge n. 69 del 18 giugno 2009) considerato che il Garante ha ribadito in numerose decisioni (v. tra i tanti, da ultimo, provv. del 12 dicembre 2024, n. 768, doc web10102355) che anche alle pubblicazioni sull’Albo Pretorio online si applicano tutti i limiti previsti dai principi della protezione dei dati con riguardo alla liceità e alla minimizzazione dei dati (v. “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” n. 243 del 15 maggio 2014, doc. web n. 3134436) chiarendo che anche l’eventuale presenza di uno specifico regime di pubblicità, non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali. L’amministrazione locale prima di diffondere qualsiasi informazione relativa all’interessato, avrebbe dovuto verificare, sulla base di una valutazione responsabile e attenta, quali dati e informazioni pubblicare, tenendo conto dei limiti posti dai princìpi di pertinenza e non eccedenza. Il Comune ha, invece, pubblicato le delibere in questione senza aver previamente proceduto alla corretta anonimizzazione dei dati personali in essa contenuti.
Si evidenzia, inoltre, che secondo quanto rappresentato nel reclamo “gli atti amministrativi del Comune [venivano] pubblicati all’Albo Pretorio online e vi [rimanevano] senza data di scadenza”.
Pertanto la diffusione di tali documenti sarebbe avvenuta ben oltre il termine dei 15 giorni previsto dalla normativa invocata. A tale riguardo si rappresenta che anche nel caso in cui vi fosse stata una norma che stabilisse la pubblicazione ai sensi della predetta normativa, una volta trascorso tale periodo, il Comune non avrebbe comunque potuto continuare a diffondere i dati personali contenuti nella documentazione pubblicata (vd. art. 124, commi 1 e 2, del d. lgs. n. 267/2000), verificandosi, in tal caso, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali non supportata da idonei presupposti normativi (cfr. le Linee guida sopra richiamate). In tale limitazione temporale è ricompreso anche il periodo di pubblicazione degli atti nella sezione storica dell’Albo Pretorio, salva l’eventuale anonimizzazione dei dati personali ivi contenuti.
Alla luce delle considerazioni che precedono, la pubblicazione sul sito web istituzionale degli atti e documenti sopra richiamati ha determinato una diffusione di dati personali dell’interessato, anche riferiti alla salute, con riguardo a delicate vicende inerenti al rapporto di lavoro dello stesso con il Comune, in assenza di una idonea base giuridica, in violazione degli artt. 5, 6 e 9 del Regolamento e dell’art. 2-ter e 2-septies, comma 8 del Codice.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune per aver diffuso online i dati personali del reclamante, tra cui dati relativi alla salute, e i dati relativi all’indirizzo di residenza dei dipendenti contenuto nelle liste delle R.S.U., in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, 6 e 9 del Regolamento e 2-ter e 2 septies comma 8 del Codice.
Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni sono tutte soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60), tenuto conto che:
- con particolare riguardo alla natura, alla gravità e alla durata della violazione, occorre considerare che il Comune, di piccole dimensioni, ha diffuso dati personali riferiti al reclamante, e di altri dipendenti con riferimento all’indirizzo di residenza di ognuno senza indicizzazione sui motori di ricerca (cfr. art. 83, par. 2, lett. a), del Regolamento);
- con specifico riguardo al profilo soggettivo della violazione il Comune, di piccole dimensioni, ha agito nella errata convinzione di adempiere a un obbligo di legge nonostante le numerose indicazioni rese dal Garante a tutti i soggetti pubblici sin dal 2014 con le linee guida sopra richiamate (v. anche “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" del 14 giugno 2007, doc. web n. 1417809). (art. 83, par. 2, lett. b), del Regolamento);
- riguardo alle categorie di dati personali risultano diffusi oltre ai dati comuni anche dati relativi alla salute (art.83, par.2 lett. g) del Regolamento).
Ciò premesso, ai fini della quantificazione della sanzione, tenuto conto che si tratta di un Comune di piccole dimensioni e che nella documentazione in atti lo stesso ha dichiarato che si appresta “a deliberare il dissesto finanziario” si devono considerare, le seguenti circostanze aggravanti e attenuanti:
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo (cfr. art. 83, par. 2, lett. e), del Regolamento);
- seppure il Comune abbia ritenuto di aver pseudonimizzato i dati del reclamante tramite l’indicazione delle sole inziali del nome e cognome, tale accorgimento, considerato anche la particolarità del nome e cognome del reclamante non poteva essere considerata una misura sufficiente a consentire la non identificabilità del reclamante (art. 83, par. 2, lett. d), del Regolamento);
- il Comune ha offerto una buona cooperazione con l’Autorità e, alla luce dei fatti occorsi, ha dichiarato di aver implementato “procedure rigorose per garantire la riservatezza delle informazioni, assicurandosi per ogni pubblicazione il rispetto dei diritti degli interessati” al fine di per evitare il verificarsi di fatti analoghi a quelli oggetto di reclamo (art. 83, par. 2, lett. f), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 8.000,00 (ottomila) per la violazione degli artt. 5, 6 e 9 del Regolamento, nonché 2-ter e 2-septies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che il Comune ha dichiarato di aver provveduto a rimuovere dal proprio sito web istituzionale “tutti gli atti oggetto di reclamo” (v. nota del XX), non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato dal Comune di Roccaforzata nei termini di cui in motivazione, per la violazione degli artt. 5, 6 e 9 del Regolamento, nonché 2-ter e 2-septies comma 8 del Codice;
ORDINA
ai sensi dell’art. 58, par. 2, lett. i) del Regolamento al Comune di Roccaforzata in persona del legale rappresentante pro-tempore, con sede legale in Via Giovanni XXIII n.8 – 74020 Roccaforzata (TA)- C.F. 80005170735, di pagare la somma di euro 8.000,00 (ottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
quindi al Comune di Roccaforzata di pagare la predetta somma di euro 8.000,00 (ottomila) secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato;
DISPONE
a) ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;
b) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;
c) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 4 giugno 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE REGGENTE
Filippi
