Provvedimento del 14 maggio 2026 [10259162]
Provvedimento del 14 maggio 2026 [10259162]
Condividi[doc. web n. 10259162]
Provvedimento del 14 maggio 2026
Registro dei provvedimenti
n. 340 del 14 maggio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. Introduzione.
A seguito di reclamo presentato ai sensi dell’art. 77 del Regolamento, nonché di specifica segnalazione da parte dell’Autorità Nazionale Anticorruzione (ANAC), pervenuta in data XX, sono state svolte verifiche da parte di questa Autorità dalle quali è emerso che all’indirizzo https:... risultava consultabile l’elenco dei candidati ammessi alla prova scritta, alla procedura selettiva “per titoli ed esami per la copertura a tempo indeterminato e part-time 20 ore, di n. 1 posto di “esecutore amministrativo” – categoria b1, riservato alle categorie protette di cui all’art. 1 della legge n. 68/99” presso il Comune di Ventasso (di seguito “Comune”), con l’indicazione del giorno, dell’ora e del luogo della convocazione.
2. L’attività istruttoria.
In riscontro alle richieste di informazioni dell’Autorità, con note del XX e del XX è stato rappresentato, in particolare, che:
- “in considerazione del sopraggiunto obbligo [di potenziamento dell’organico descritto in atti a seguito del Comune di Ventasso mediante fusione con altri comuni minori], venivano adottati gli atti di seguito elencati: Deliberazione di Giunta Comunale del Comune di Ventasso, n. XX del XX ad oggetto; Modifica Dotazione organica e programmazione triennale del personale XX-piano occupazionale XX”. Deliberazione di Giunta Comunale del Comune di Ventasso, n. XX del XX ad oggetto: “Atto di indirizzo per l’indizione di un concorso pubblico per titoli ed esami a n. 1 posto esecutore amministrativo cat. B a tempo parziale 20 ore, interamente riservato ai soggetti disabili che rientrano nella quota d’obbligo di cui all’art. 3 della L. 68/99”;
- “al momento della selezione (approvazione bando XX), oggetto della segnalazione, risultava attiva la convenzione (Rep. n. 596 […]), anche per il comune di Ventasso […] la predetta convenzione all'articolo “11 — Protezione dei dati personali’ novella: “1. La presente convenzione deve essere attuata secondo modalità conformi al Codice in materia di riservatezza dei dati personali (Lgs. 30 giugno 2003, n. 196 e s.m.i.). 2. L’Unione è responsabile esterno al trattamento ai sensi e per gli effetti dell'art. 29 [rectius 28] del D.Lgs. 30 giugno 2003, n. 196”;
- “i mutamenti organizzativi [successivi] hanno determinato eventi straordinari, eccedenti l’ordinaria gestione, che hanno impattato sulla capacity building della struttura organizzativa ad adempiere agli obblighi di pubblicazione, tenuto conto anche delle difficoltà degli uffici di disporre di una consulenza giuridica, del segretario comunale, continuativa e presente, in relazione alla copertura della sede di segreteria degli enti interessati”;
- “da quanto è stato possibile ricostruire, dal punto di vista informatico, l’elenco oggetto della segnalazione risulta essere stato pubblicato nella pagina web dedicata alla procedura concorsuale dal XX, data di adozione della determinazione n. 175 al massimo fino al XX. Quest’ultima data risulta essere l’ultimo intervento sulla pagina, nella quale ad oggi […], non risultano pubblicati dati se non quelli espressamente previsti dalla normativa sui concorsi”;
- “giova precisare, dal punto di vista informatico, che il file oggetto della contestazione risultava ancora presente nell’archivio dei file dei media del sito e pertanto raggiungibile solo da chi ne aveva avuto accesso durante il periodo di pubblicazione e conseguentemente ne aveva mantenuto il link diretto, il quale peraltro è stato immediatamente rimosso al momento della ricezione della vostra segnalazione”.
Con nota dell’XX l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento sul presupposto che il trattamento in questione fosse stato posto in essere in violazione degli artt. 5, 6, 9 del Regolamento, nonché 2-ter e 2-septies comma 8 del Codice.
Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).
Con nota datata XX, ma ricevuta dal Garante in data XX, il Comune, che non ha chiesto di essere audito, ha presentato una memoria difensiva, fornendo dichiarazioni alcune delle quali in parte diverse da quelle originariamente rese in merito alla qualificazione dei ruoli, sotto il profilo della protezione dei dati, degli Enti coinvolti. In particolare è stato dichiarato, in particolare, che:
- “il Comune di Ventasso, con successive convezioni (rep.XX vigente al momento del reclamo, XX e alla data odierna con deliberazione del Consiglio Comunale n. XX del XX), ha disposto il trasferimento delle competenze relative alla gestione delle procedure concorsuali all’Unione Montana dei Comuni dell’Appennino Reggiano, nell’ambito delle funzioni gestite in forma associata ai sensi dell’art. 30 del D.Lgs. 267/2000 (TUEL)”;
- “in particolare, all’interno di tutte le convenzioni sottoscritte si stabilisce espressamente che: “Dalla data di decorrenza della presente convenzione, l’Unione esercita le competenze e svolge le funzioni e le attività conferite dai Comuni […] In questo ambito gli organi dell’Unione adottano tutti gli atti di natura gestionale […]”;
- “pertanto, dalla data sopra indicata, l’Unione Montana è titolare esclusiva della gestione delle procedure concorsuali, comprese quelle riservate ai sensi della L. 68/1999, nonché titolare del trattamento dei dati personali ai sensi dell’art. 4, par. 7 del Regolamento (UE) 2016/679 (GDPR)”
- “la violazione riguarda la pubblicazione online dell'elenco degli ammessi a una procedura concorsuale riservata alle categorie protette ai sensi della legge n. 68/1999, rivelando solo indirettamente dati relativi alla salute degli interessati. Il numero di soggetti coinvolti è pari a 12. La pubblicazione è avvenuta a partire dal XX ed è stata accessibile pubblicamente fino al XX; successivamente il file è rimasto accessibile solo tramite link diretto non indicizzato fino alla segnalazione del Garante nel XX;
- “la violazione è da ritenersi frutto di colpa, senza volontà di ledere i diritti degli interessati, derivante da carenze organizzative, dalla complessa fase di riorganizzazione a seguito della fusione dei Comuni, nonché dalla carenza di risorse umane e strumentali adeguate, senza alcuna volontà di danneggiare gli interessati”;
- “alla ricezione della segnalazione, è stata immediatamente disposta la rimozione definitiva del file e dagli archivi dei media del sito web, in quanto non più presente sul sito web degli enti. Sono state inoltre avviate attività di revisione dei contenuti pubblicati online ed è stato pianificato un programma di formazione del personale sul corretto trattamento dei dati personali”;
3. Esito dell’attività istruttoria.
La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche quando operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, del Regolamento) se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b) e 4; 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2-ter del Codice).
Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro che deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso.
Con riguardo alle categorie particolari di dati personali, inclusi quelli relativi alla salute (in merito ai quali è previsto un generale divieto di trattamento, ad eccezione dei casi indicati all’art. 9, par. 2 del Regolamento e, comunque un regime di maggiore garanzia rispetto alle altre tipologie di dati (cfr., art. 9, par. 4, nonché dell’art. 2-septies del Codice), il trattamento è consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento).
In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, considerando 35), in ragione della particolare delicatezza di tale categoria di dati, “non possono essere diffusi” (art. 2-septies, comma 8 e art. 166, comma 2, del Codice e art. 9, parr. 1, 2, 4, del Regolamento).
Il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, paragrafo 1, lett. a) e c) del Regolamento).
Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni dell’Autorità, risulta accertato che è stato pubblicato l’elenco dei candidati ammessi alla prova scritta alla procedura selettiva “per titoli ed esami per la copertura a tempo indeterminato e part-time 20 ore, di n. 1 posto di “esecutore amministrativo” – categoria b1, riservato alle categorie protette 4 di cui all’art. 1 della legge n. 68/99” per l’assunzione di lavoratori presso il Comune, con l’indicazione del giorno, dell’ora e del luogo della convocazione.
3.1. Il ruolo del Comune e dell’Unione con riferimento alla procedura selettiva riservata alle categorie protette, ai sensi della legge 12 marzo 1999, n. 68.
La procedura oggetto dell’istruttoria, come risulta dalla documentazione in atti, era stata indetta dal Comune che, costituito a seguito della fusione tra i comuni di Busana, Collagna, Ligonchio, Ramiseto per effetto della Legge Regionale del 9 Luglio 2015 n. 8, risultava avere una nuova dotazione organica e, in base al numero dei propri dipendenti, obbligato, ai sensi dell’art.3 comma 1 lett. b) di cui alla l. 12 marzo 1999, n. 68, ad attivare le procedure di assunzioni obbligatorie previste dalla legge.
A seguito della costituzione del Comune lo stesso aderiva all’Unione, affidando ad essa talune proprie funzioni istituzionali nonché la gestione del personale (art.32, commi 1 e 4 del d.lgs. 18 agosto 2000, n. 267 “Testo unico delle leggi sull'ordinamento degli enti locali” definisce “le unioni di comuni” come “enti locali costituiti da due o più comuni di norma contermini, allo scopo di esercitare congiuntamente una pluralità di funzioni di loro competenza. L'unione ha potestà regolamentare per la disciplina della propria organizzazione, per lo svolgimento delle funzioni ad essa affidate e per i rapporti anche finanziari con i comuni”).
In tale quadro le attività poste in essere dall’Unione, anche connesse alla selezione in questione, avvenivano nello svolgimento di specifiche funzioni proprie del Comune, ossia “attività e compiti di gestione del personale”, agendo dunque l’Unione per conto e nell’interesse dello stesso, come del resto confermato dalla “Convenzione per il conferimento all’Unione montana dei comuni dell’Appenino Reggiano della funzione relativa alle attività e ai compiti di gestione del personale” (Rep.n.596 del 31 marzo 2014) in base alla quale ”L’Unione è responsabile esterno al trattamento ai sensi e per gli effetti dell'art. 29 [rectius 28] del D.Lgs. 30 giugno 2003, n. 196” (cfr.art.11 comma 2).
Al riguardo, infatti il titolare del trattamento, nello svolgimento di compiti e funzioni proprie, nonché nell’ambito della predisposizione delle misure tecniche e organizzative che soddisfino i requisiti stabiliti dal Regolamento, può avvalersi di altri soggetti che operano “per suo conto” (cons. 81, artt. 4, punto 8), e 28 del Regolamento), in qualità di Responsabile del trattamento; il Regolamento ha disciplinato gli obblighi e le altre forme di cooperazione con il titolare cui è tenuto il Responsabile del trattamento e l’ambito delle relative responsabilità (v. artt. 30, 32, 33, par. 2, 82 e 83 del Regolamento).
Il Responsabile del trattamento è legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a), del Regolamento) e il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile anche sotto il profilo della sicurezza dei dati e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare e del responsabile. Inoltre, il Responsabile del trattamento deve assistere il titolare nel garantire il rispetto degli obblighi derivanti dalla disciplina di protezione dati, “tenendo conto della natura del trattamento” e dello specifico regime applicabile allo stesso (art. 28, par. 3, lett. f), del Regolamento).Ciò anche al fine di evitare trattamenti (nel caso di specie “ diffusione”) in assenza di idoneo presupposto di liceità, o addirittura in violazione di specifici divieti previsti dall’ordinamento ( cfr. art. 2-septies, comma 8 del Codice). Pertanto risulta che l’Unione, agendo in qualità di responsabile del trattamento per le funzioni ad esso delegate sulla base della predetta convenzione, ha posto in essere, in tale ambito, una serie di operazioni di trattamento per conto e nell’interesse del Comune, titolare del trattamento, in particolare per i profili che qui interessano, in quanto amministrazione banditrice della selezione per il reclutamento di proprio personale nonché in adempimento di specifici obblighi di legge cui il Comune era soggetto, ossia la copertura di un posto ai sensi della l. 68 del 1999.
Per le ragioni anzidette non può essere ritenuta sufficiente a escludere la responsabilità del Comune (cfr. art. 4, par.1, n. 7 del Regolamento) la circostanza per cui la convenzione che regola i rapporti tra le parti, prorogata fino al XX per le annualità XX, avesse fatto riferimento alla titolarità dell’Unione (“L’Unione è titolare dei trattamenti di dati personali operati nell’esercizio delle funzioni oggetto della presente convenzione, ai sensi e per gli effetti degli artt. 28 e 29 del D.Lgs. 30 giugno 2003, n. 196”. art.10 comma 2).
La titolarità del trattamento dei dati dei propri dipendenti e collaboratori per la gestione del rapporto di lavoro, infatti, come confermato dal Comitato Europeo di protezione dei Dati, nonché dal Garante in numerose occasioni, resta, in ogni caso, in capo al datore di lavoro (cfr. provv n. 287 del 6 luglio 2023, doc. web 9920145 e n. 384 del 28 ottobre 2021, doc. web n. 9722661). Al riguardo, infatti il Comitato Europeo per la protezione dei dati ha chiarito che “talune attività di trattamento [sono] naturalmente connesse al ruolo ricoperto da un determinato soggetto [come ad esempio nel caso del] datore di lavoro rispetto ai dipendenti” (v.“Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate il 7 luglio 2021, v. par.27). Peraltro nelle predette Linee guida si chiarisce che il ruolo di titolare e responsabile del trattamento deve essere determinato dall’assetto concreto dei loro rapporti “e dalle attività effettivamente svolte piuttosto che dalla [loro] designazione formale in quanto «titolare del trattamento» o «responsabile del trattamento» (ad esempio in un contratto). Ciò significa che la ripartizione dei ruoli […] non è negoziabile” (v. par.12). Il Comitato Europeo afferma, inoltre, che “non è infatti possibile assumere il ruolo di titolare del trattamento né esimersi dagli obblighi in capo al titolare del trattamento semplicemente redigendo il contratto in un determinato modo, laddove ciò non corrisponda alle circostanze di fatto” (v.par.28 delle citate Linee guida).
Con riguarda al caso di specie risulta che l’atto che ha determinato la richiesta di indizione della procedura oggetto della presente istruttoria, finalizzato alla copertura di un posto nella pianta organica del Comune, in adempimento dell’obbligo derivante dalla disciplina di settore in materia di assunzioni obbligatorie è stato adottato dal Comune per il perseguimento di finalità proprie (v. Deliberazione di Giunta Comunale del Comune di Ventasso, n. XX del XX, in atti). Tale circostanza è altresì confermata dalla convenzione (Rep. n. 596 […]), che stabilisce, all’art “11 — Protezione dei dati personali’ novella: “1. La presente convenzione deve essere attuata secondo modalità conformi al Codice in materia di riservatezza dei dati personali (Lgs. 30 giugno 2003, n. 196 e s.m.i.). 2. L’Unione è responsabile esterno al trattamento ai sensi e per gli effetti dell'art. 29 [rectius 28] del D.Lgs. 30 giugno 2003, n. 196”.
Tale assetto di ruoli svolti dal Comune e dall’Unione è dunque confermato, alla luce della documentazione in atti e delle considerazioni che precedono, indipendentemente dalla diversa qualificazione dei ruoli prospettata dal Comune solo in occasione delle memorie difensive e nelle convenzioni ivi richiamate.
3.2 La diffusione di dati personali nell’ambito della procedura selettiva riservata alle categorie protette, ai sensi della legge 12 marzo 1999, n. 68.
Come noto, il Garante ha fornito, da sempre, specifiche indicazioni alle pubbliche amministrazioni in ordine alle cautele da adottare per la diffusione di dati personali in Internet per finalità di trasparenza e pubblicità dell’azione amministrativa nelle specifiche Linee guida (provv. n. 243 del 15 maggio 2014, doc. web n. 3134436, spec. parte I e II, par. 3.b; cfr anche le “Linee guida in materia di trattamento di dati personali, di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, provv. del 14 giugno 2007, n.161, doc web n.1417809) nonché in numerosi provvedimenti aventi ad oggetto i trattamenti di dati nell’ambito delle procedure concorsuali, in cui ha rilevato la diffusione illecita di dati personali dei candidati contenuti negli atti intermedi delle procedure concorsuali (cfr., da ultimo, provv. n. 235 dell’11 aprile 2024, doc. web n. 10019523; v. anche Newsletter del 6 giugno 2024, doc. web n. 10022928).
In generale, in una cornice normativa caratterizzata da norme stratificatesi nel tempo, le disposizioni che stabiliscono la pubblicità delle graduatorie di concorsi e prove selettive, svolgono la funzione di consentire agli interessati, partecipanti alle procedure concorsuali o selettive, l’attivazione delle forme di tutela dei propri diritti e di controllo della legittimità dell’azione amministrativa e dispongono, in primo luogo, che siano pubblicate le sole graduatorie definitive dei vincitori di concorso e non anche l’elenco dei candidati ammessi alla prova scritta come nel caso di specie.
Anche le disposizioni in materia di trasparenza amministrativa prevedono specifici obblighi di pubblicazione nella sezione “Amministrazione Trasparente” del sito web istituzionale delle amministrazioni, in particolare, in base a quanto previsto dal d.lgs. 14 marzo 2013, n. 33, “Fermi restando gli altri obblighi di pubblicità legale, le pubbliche amministrazioni pubblicano i bandi di concorso per il reclutamento, a qualsiasi titolo, di personale presso l’amministrazione, nonché i criteri di valutazione della Commissione, le tracce delle prove e le graduatorie finali, aggiornate con l'eventuale scorrimento degli idonei non vincitori. Le pubbliche amministrazioni pubblicano e tengono costantemente aggiornati i dati di cui al comma 1” (art. 19, commi 1 e 2).
Tali disposizioni definiscono, sotto il profilo della protezione dei dati, l’ambito del trattamento consentito e ne costituiscono la base giuridica stabilendo limiti, condizioni e presupposti della pubblicazione online di dati personali nell’ambito delle procedure concorsuali.
In linea di continuità con gli orientamenti dell’Autorità in tale ambito di trattamento e nella prospettiva di richiamare l’attenzione delle amministrazioni al rigoroso rispetto dei principi di protezione dei dati e della normativa di settore, anche alla luce del recente intervento del legislatore (v. art. 35 e ss d. lgs. 30 marzo 2001, n. 165 come da ultimo modificati dal d.l.14 marzo 2025, n. 25 convertito con modificazioni dalla l. 9 maggio 2025, n. 69; v. anche art. 7, d.P.R. 10 gennaio 1957, n. 3; nonché d.P.R. 9 maggio 1994, n. 487), si fa presente che sul sito web del Garante sono disponibili specifiche FAQ, condivise con il Dipartimento della Funzione Pubblica, volte a fornire indicazioni e chiarimenti finalizzati a prevenire iniziative e trattamenti di dati personali non conformi in tale specifico contesto, nell’ottica di un efficace bilanciamento tra la protezione dei dati e la trasparenza e la pubblicità delle procedure concorsuali (v. “FAQ in materia di trattamento di dati personali dei partecipanti alle procedure concorsuali per finalità di pubblicità e trasparenza alla luce delle recenti disposizioni normative”, doc. web n. 10187304).
Con particolare riferimento al caso di specie si evidenzia che la procedura selettiva di cui trattasi riguardava, inoltre, una speciale forma di assunzione riferita a lavoratori appartenenti alle categorie protette di cui alla l. n. 68 del 12 marzo 1999 “Norme per il diritto al lavoro dei disabili”. In particolare l’art.8 comma 3 della predetta legge dispone, con riferimento agli “elenchi e graduatorie” di tali procedure, che “gli elenchi e le schede di cui ai commi 1 e 2 sono formati nel rispetto delle disposizioni di cui agli articoli 7 e 22 della legge 31 dicembre 1996, n. 675, e successive modificazioni”. Da ciò emerge che il Comune avrebbe dovuto evitare qualsiasi forma di diffusione dei dati idonei a rivelare lo stato di salute dei partecipanti in quanto appartenenti alle cosiddette “categorie protette” a cui la predetta procedura era rivolta, considerato il divieto assoluto di diffusione dei dati relativi alla salute ai sensi dell’art.2-septies, comma 8 del Codice (come già previsto dagli artt.22 e 23 del Codice anteriormente alle modifiche di cui al d.lgs. n. 101/2018). Come lo stesso Comune ha evidenziato nel caso di specie sono stati pubblicati online dati di natura particolare “ai sensi dell’art. 9 GDPR, in quanto l’iscrizione a una procedura riservata alle categorie protette implica l’appartenenza a una condizione di disabilità o altro stato tutelato”.
Si ricorda che numerosi sono stati in questi anni i provvedimenti del Garante che hanno chiarito che anche il riferimento a corpi normativi che notoriamente sono riferiti a benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari (come la richiamata legge n. 68 del 1999 o la legge n. 104 del 1992 “Legge quadro per l’assistenza, l’integrazione sociale e i diritti delle persone handicappate”), sono in grado di rivelare informazioni sullo stato di salute di una persona, che, in base all’art. 2-septies, comma 8 del Codice, non possono essere diffuse (v. provv. del 19 dicembre 2024, n. 796, doc. web n. 10102504 nonché provv.ti dell’11 gennaio 2023, n.3 doc web n. 9857610; del 27 aprile 2023, n.168, doc web 9896845; del 1° settembre 2022, n. 290 doc. web 9811361, del 28 aprile 2022, n. 150, doc. web n. 9777200 e provv. del 28 maggio 2020, n. 92, doc. web n. 9434609).
Alla luce delle considerazioni che precedono si deve concludere che la pubblicazione online dell’elenco dei candidati (12 interessati) ammessi alla prova scritta di una procedura riservata alle categorie protette e, per tale ragione, riguardante informazioni relative alla salute, per un considerevole lasso di tempo (dal XX fino al XX sulla pagina del sito web del Comune e successivamente protrattasi, tramite link comunque accessibile da chiunque, come accertato nel corso dell’istruttoria, fino al XX, in occasione del ricevimento della richiesta di informazioni da parte di questa Autorità), è stata effettuata in assenza di un’idonea base giuridica e in modo non conforme ai principi di “liceità, correttezza e trasparenza”, nonché di “minimizzazione dei dati”, in violazione degli artt. 5, 6, 9 del Regolamento, nonché 2-ter e 2-septies comma 8 del Codice.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune per aver diffuso i dati personali del reclamante e degli altri interessati contenuti nella predetta documentazione, in violazione degli artt. 5, 6, 9 del Regolamento, nonché 2-ter e 2-septies comma 8 del Codice.
Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni sono tutte soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.
In ogni caso, considerando che la condotta ha esaurito i relativi effetti - atteso che il Comune, seppure a seguito di quanto comunicato dal Garante, nel XX ha provveduto a rimuovere il predetto elenco - non ricorrono i presupposti per l’adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Tenuto conto che:
- il trattamento in questione ha riguardato dodici interessati e si è protratto, per un ampio arco temporale (dal XX fino al XX sulla pagina del sito web del Comune e successivamente protrattasi, tramite link comunque accessibile da chiunque, come accertato nel corso dell’istruttoria, fino al XX) (art. 83, par. 2, lett. a), del Regolamento);
- la pubblicazione online del predetto elenco è avvenuta per errore tenuto conto, in particolare, delle difficoltà organizzative del Comune derivanti anche dall’avvenuta adesione all’Unione Montana (art. 83, par. 2, lett. b), del Regolamento);
- la diffusione ha riguardato specialmente dati personali relativi alla salute in quanto dati riferiti ai partecipanti a procedure riservate a persone disabili (cfr. art. 83, par. 2, lett. g), del Regolamento),
si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).
Ciò premesso si ritiene, che, ai fini della quantificazione della sanzione, considerato che il titolare del trattamento è un Comune di piccole dimensioni (circa 3.800 abitanti), debbano essere prese in considerazione le seguenti circostanze attenuanti:
- il Comune, a seguito di quanto occorso, dopo aver rimosso i dati personali oggetto di diffusione, ha inoltre dichiarato di aver assunto, sul piano organizzativo, iniziative finalizzate a conformarsi alla normativa applicabile e alle indicazioni del Garante, promuovendo specifiche attività quali una puntuale formazione del personale e la redazione di linee guida interne per la pubblicazione di atti online (art. 83, par. 2, lett. c) del Regolamento);
- il Comune ha offerto piena collaborazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);
- non risultano precedenti pertinenti violazioni commesse dal Comune (art. 83, par. 2, lett. e), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 8.000/00 (ottomila/00) per la violazione degli artt. 5, 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-septies, comma 8 del Codice quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che il trattamento ha riguardato la diffusione di dati personali degli interessati riguardanti delicate informazioni relative al rapporto di lavoro con il Comune.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Comune per violazione degli artt. 5, 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-septies, comma 8 del Codice, nei termini di cui in motivazione;
ORDINA
al Comune di Ventasso, in persona del legale rappresentante pro-tempore, con sede legale in Piazza Primo Maggio n. 3 Cervarezza Terme - Ventasso (RE), C.F. 91173360354, di pagare la somma di euro 8.000/00 (ottomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
al predetto Comune, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 8.000/00 (ottomila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 14 maggio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Montuori
