g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Colledara - 30 gennaio 2020 [9302897]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9302897]

Ordinanza ingiunzione nei confronti di Comune di Colledara - 30 gennaio 2020

Registro dei provvedimenti
n. 20 del 30 gennaio 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito RGPD);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida del Garante in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n. 1098801);

Relatore la prof.ssa Licia Califano;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto una segnalazione da parte del Sig. XX in ordine alla pubblicazione sul sito web istituzionale del Comune di Colledara di dati e informazioni personali, contenuti nelle graduatorie afferenti al Concorso pubblico XX.

Nello specifico, come verificato in base al primo accertamento preliminare effettuato dall’Ufficio in data  XX è risultato che:

1) all’url http://... era presente il documento intitolato "Concorso pubblico XX", che conteneva la graduatoria dei candidati idonei e non idonei, con le votazioni conseguite per i titoli e nelle diverse prove (scritta e orale) al predetto concorso (n. XX concorrenti);

2) all’url http://... era presente la Determinazione del Settore Ragioneria del Comune di Colledara n. XX del XX avente a oggetto «Concorso pubblico XX», che conteneva atti e verbali della Commissione di concorso, con dati e informazioni personali dei partecipanti alle prove scritte e orali, quali nominativi: dei candidati che hanno sostenuto le prove scritte (n. XX) con indicazione dei punti assegnati (divisi per titoli di studio, di servizio, curriculum e titoli vari; nonché votazione delle due prove scritte compresa l’indicazione, a seconda dei casi, di prova scritta non valutabile o non esaminata); dei candidati che hanno estratto le tracce o che hanno presenziato alle operazioni di consegna degli elaborati (n. XX); dei soggetti che hanno partecipato alle prove orali con specifica indicazione delle domande e della votazione conseguita (n. XX).

Con successivo accertamento dell’Ufficio effettuato in data XX è stato verificato che erano ancora visibili i dati personali di concorrenti che non erano stati ammessi al concorso o che non erano vincitori (ma che erano stati solo ammessi anche solo con riserva a sostenere le prove scritte), contenuti nei documenti intitolati come segue:

3)  «Concorso pubblico XX» (url http://...), che conteneva dati personali di tutti i candidati ammessi a sostenere le prove scritte (nominativo, luogo e data di nascita di n. XX soggetti);

4) «Concorso pubblico XX» (url http://...), che conteneva dati personali dei candidati non ammessi a sostenere le prove scritte (nominativo, luogo e data di nascita, motivi della esclusione, riferiti a n. XX soggetti);

5) «Concorso pubblico XX» (url http://...), che conteneva dati personali di tutti i candidati ammessi, anche con riserva, a sostenere le prove scritte (nominativo, luogo e data di nascita di n. XX soggetti).

Al riguardo, il Comune di Colledara ha fornito riscontro alle richieste di informazioni di questa Autorità (note prott. n. XX del XX e n. XX del XX) con le note prot. n. XX del XX e prot. n. XX del XX

Nello specifico, con le note prot. n. XX del XX e prot. n. XX del XX è stato, fra l’altro, rappresentato di aver provveduto a rimuovere i documenti contestati essendo «venuta meno la ragione della pubblicazione (ovvero la conoscibilità ai fini dell’impugnazione, nei termini di legge, da parte di eventuali interessati)», aggiungendo che:

- «i dati di cui ai punti 1-2-3 [n.d.r. della richiesta d’informazioni del Garante che corrispondono ai precedenti nn. 3, 4 e 5 indicati del presente paragrafo] non attengono ad alcuna graduatoria di concorso, neppure di prove intermedie. È l’elenco degli aspiranti chiamati a sostenere le prove scritte (prima prova concorsuale in assenza di precedente prova preselettiva)»;

- «La pubblicazione nella Sezione amministrazione Trasparente ha assolto alla funzione di pubblicità legale ai fini della notifica del diario delle prove scritte ai partecipanti»;

- «Al fine di agevolare le modalità di consultazione delle graduatorie o degli esiti di prove concorsuali, è in fase di valutazione, da parte dell’Ente (come proposto dal Responsabile della protezione dei dati personali), la valutazione di applicativi software su web, che permettano di poter accedere con credenziali di autenticazione ai soli soggetti interessati».

Il Responsabile della protezione dei dati personali dell’Ente, a sua volta, con nota prot. n. XX del XX (allegata al riscontro del Comune), ha specificato che:

- «i documenti relativi alla graduatoria finale del concorso e la determina n. XX del XX sono stati pubblicati nell’Albo Pretorio e sul sito web del Comune, come previso dal D.L. sulla Trasparenza n. 33 del 14/03/2013»;

- «nell’art. 6 (XX) del Bando di Concorso Pubblico XX pubblicato in data XX è riportato “Gli elenchi dei candidati ammessi, degli esclusi, i calendari delle prove d’esame, gli esiti delle prove ed ogni altra comunicazione inerente il concorso in argomento, saranno resi pubblici esclusivamente mediante pubblicazione all’albo Pretorio on line e sul sito internet del Comune … omissis»;

- «nella domanda di partecipazione al suddetto bando era richiesto di effettuare l’accettazione delle seguenti condizioni barrando in modo esplicito i punti seguenti:

• Di essere a conoscenza delle disposizioni contenute nel Bando di concorso e di accettarle integralmente;

• Di aver preso atto che tutte le comunicazioni inerenti la procedura concorsuale, compreso il calendario delle prove ed ogni altra comunicazione, saranno resi noti esclusivamente mediante pubblicazione all’Albo Pretorio on line …. omissis»;

-  «Tutti i partecipanti al Bando, avendo sottoscritto la domanda di partecipazione, hanno accettato le condizioni indicate nella domanda stessa […]».

2. Normativa applicabile

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 del RGPD, fra cui quelli di «liceità, correttezza e trasparenza» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. a e c).

In tale quadro il trattamento dei dati personali effettuato da soggetti pubblici (come il Comune) è lecito solo se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e, del RGPD).

È, inoltre, previsto che «Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]», con la conseguenza che – al caso di specie – risultano applicabili le disposizioni contenute nell’art. 2-ter, commi 1 e 3, del Codice, laddove è previsto che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge di regolamento (dello stesso tenore era anche il previgente art. 19, comma 3, del Codice).

In relazione al caso sottoposto all’attenzione del Garante, si evidenzia che la normativa statale in materia di trasparenza contenuta nel d. lgs. n. 33/2013, citata dal Responsabile della protezione dei dati personali del Comune di Colledara, non prevede la diffusione dei dati personali contenuti nei documenti pubblicati online, prima dettagliati nel par. 1 ai nn. 1-5, e che l’unica disposizione relativa a concorsi e prove selettive contenuta nell’art. 23, comma 1, lett. c), del predetto decreto (peraltro relativa alla pubblicazione di elementi di sintesi dei provvedimenti finali dei procedimenti e non degli atti, verbali, elenchi di ammessi, graduatorie formate a conclusione del procedimento, né delle informazioni concernenti eventuali prove intermedie), è stata abrogata dall’art. 22, comma 1, lett. a), n. 3), del d. lgs. 25/5/2016, n. 97.

Non possono poi essere accolte le ulteriori argomentazioni, riportate dal citato Responsabile della protezione dei dati personali. In primo luogo, l’art. 6, del Bando di Concorso Pubblico XX non soddisfa i requisiti richiesti dal menzionato art. 2-ter, commi 1 e 3 (nonché del previgente art. 19, comma 3) del Codice, attesa la natura di atto non regolamentare propria del bando di concorso (cfr. provv. del Garante n. 384 del 6/12/2012, in www.gpdp.it, doc. web n. 2223278).

Analogamente, non è possibile richiamare, come idoneo presupposto per diffondere i dati personali online, “il consenso” da parte dei concorrenti che sarebbe stato manifestato con l’accettazione, nella domanda di partecipazione, delle clausole contenute nel bando. Ciò in quanto «La base giuridica prevista dall'articolo 6, paragrafo 3, lettera b), del regolamento è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, comma 1, del Codice) e, di norma, non è quindi possibile chiedere il consenso al trattamento dei dati personali ai soggetti interessati da parte dei soggetti pubblici (art. 6, par. 1, lett. c ed e; considerando n. 43, del Regolamento; art. 2-ter, comma 1, del Codice, nonché previgente art. 18, del Codice).

Non risultano, peraltro, indicate dal Comune ulteriori disposizioni di legge o di regolamento che prevedano forme di «pubblicità legale» finalizzate alla «notifica del diario delle prove scritte ai partecipanti», con l’obbligo di pubblicazione dell’«elenco degli aspiranti chiamati a sostenere le prove scritte (prima prova concorsuale in assenza di precedente prova preselettiva)», come sostenuto nella nota prot. n. XX del XX.

Si rappresenta, invece, che, nel caso in esame, risulta applicabile la disciplina di settore contenuta nell’art. 15, comma 6-bis, del d.P.R. 9/5/1994, n. 487 (Regolamento recante norme sull’accesso agli impieghi nelle pubbliche amministrazioni e le modalità di svolgimento dei concorsi, dei concorsi unici e delle altre forme di assunzione nei pubblici impieghi), che dispone, in primo luogo, che siano pubblicate “nell’albo pretorio del relativo ente” le sole graduatorie definitive dei vincitori di concorso presso gli enti locali territoriali e non anche, come nella questione sottoposta all’attenzione del Garante, i dati personali prima dettagliati nel par. 1 ai nn. 1-5, riferiti ai candidati che: sono stati ammessi, anche con riserva, a sostenere le prove scritte (nominativo, luogo e data di nascita di n. XX soggetti); hanno partecipato alle prove scritte e orali (nominativo con indicazione dei punti assegnati per titoli di studio, di servizio, curriculum e titoli vari; della votazione o esito delle due prove scritte anche se non valutabile o non esaminata di n. XX soggetti in tutto; hanno estratto le tracce o che hanno presenziato alle operazioni di consegna degli elaborati (n. XX soggetti); hanno partecipato alle prove orali con specifica indicazione delle domande e della votazione conseguita (n. XX soggetti).

D’altronde, nel rispetto dei principi di «limitazione della finalità» e di «minimizzazione dei dati» (art. 5, par. 1, lett. b e c, del RGPD) e, in conformità con le Linee guida del Garante in materia di trasparenza, «al fine di agevolare le modalità di consultazione delle graduatorie oggetto di pubblicazione in conformità alla disciplina di settore (per finalità diverse dalla trasparenza), le stesse possono altresì essere messe a disposizione degli interessati in aree ad accesso selezionato dei siti web istituzionali consentendo la consultazione degli esiti delle prove o del procedimento ai soli partecipanti alla procedura concorsuale o selettiva mediante l´attribuzione agli stessi di credenziali di autenticazione (es. username o password, numero di protocollo o altri estremi identificativi forniti dall´ente agli aventi diritto, oppure mediante utilizzo di dispositivi di autenticazione, quali la carta nazionale dei servizi)» (parte seconda, par. 3.b).

Ciò è stato compreso anche dal Comune di Colledara che, nel riscontro alla richiesta d’informazioni del Garante, ha evidenziato che sono in fase di valutazione «Al fine di agevolare le modalità di consultazione delle graduatorie o degli esiti di prove concorsuali, […] applicativi software su web, che permettano di poter accedere con credenziali di autenticazione ai soli soggetti interessati».

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato

In via preliminare, si rappresenta che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

In tale quadro, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio ha accertato che il Comune di Colledara con la pubblicazione integrale dei documenti identificati al par. 1 ai nn. 1-5 ha causato la diffusione di dati e informazioni personali ivi contenuti e sopradescritti.

Poiché il trattamento di dati personali effettuato non risulta conforme alla disciplina rilevante in materia di protezione dei dati personali, si è proceduto alla notifica delle violazioni effettuate dal Comune (ai sensi dell’art. 166, comma 5, del Codice), comunicando all’ente l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del RGPD e invitandolo a inviare al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Esito dell’istruttoria relativa alla segnalazione presentata

Il Comune di Colledara nelle memorie difensive e nelle osservazioni del Responsabile per la protezione dei dati a esse allegate, ha confermato l’avvenuta diffusione dei dati personali oggetto della segnalazione, nonché la violazione delle disposizioni notificate, seppur causate da un’errata applicazione dell’art. 23, comma 1, lett. c), del d. lgs. n. 33/2013 e «previo consenso espresso dai partecipanti in fase di iscrizione al concorso delle clausole bando (art. 6 […])», anche considerando «le esigenze di celerità della procedura e vista l’impossibilità di procedere all’affidamento del servizio di gestione informatica delle domande di partecipazione a ditta esterna, in considerazione delle scarse risorse di bilancio».

Tali elementi, tuttavia, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro nessuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida sopra citate, ha fornito a tutti i soggetti pubblici specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali degli interessati.

Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Colledara, per aver diffuso dati e informazioni personali contenuti nei documenti sopra identificati al par. 1 ai nn. 1-5, riferiti – in particolare – ai concorrenti che: sono stati ammessi, anche con riserva, a sostenere le prove scritte (nominativo, luogo e data di nascita di n. XX soggetti); hanno partecipato alle prove scritte e orali (nominativo con indicazione dei punti assegnati per titoli di studio, di servizio, curriculum e titoli vari; della votazione o esito delle due prove scritte anche se non valutabile o non esaminata di n. XX soggetti in tutto); hanno estratto le tracce o hanno presenziato alle operazioni di consegna degli elaborati (n. XX soggetti); hanno partecipato alle prove orali (nominativo con specifica indicazione delle domande e della votazione conseguita di n. XX soggetti).

La predetta diffusione di dati personali è avvenuta in assenza di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3 (e del previgente art. 19, comma 3, del Codice), nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a e c; 6, par. 1, lett. c ed e, par. 2 e par. 3, lett. b, del RGPD (cfr. anche la disposizione contenuta nell’art. 15, comma 6-bis, del d.P.R. 9/5/1994, n. 487).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che il Comune ha dichiarato di aver provveduto a rimuovere i documenti dal sito web istituzionale, non ricorrono i presupposti per l’adozione di misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

La violazione delle disposizioni citate, causata dalla condotta posta in essere dal Comune di Colledara sopra rilevata, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a), del RGPD.

Il Comune di Colledara risulta aver violato l’art. 2-ter, commi 1 e 3 (e del previgente art. 19, comma 3, del Codice), nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a e c; 6, par. 1, lett. c ed e, par. 2 e par. 3, lett. b, del RGPD (cfr. anche l’art. 15, comma 6-bis, del d.P.R. n. 487/1194). In proposito, si ritiene applicabile l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave (di cui all’art. 83, par. 5, del Regolamento) assorbendo così le altre violazioni meno gravi. Pertanto, le suindicate violazioni avendo ad oggetto, tra gli altri, la diffusione di dati personali in assenza di una idonea base giuridica costituita esclusivamente da una norma di legge o di regolamento di cui all’art. 2-ter, del Codice, sono da ricondursi, ai sensi dell’art. 83, par. 3 dello stesso Regolamento e dell’art. 166, comma 2, del Codice, nell’alveo della sanzione prevista per la predetta violazione con conseguenziale applicazione della sanzione prevista all’art. 83, par. 5, del Regolamento.

Occorre altresì considerare che, seppure la violazione è iniziata a dicembre 2017, per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della legge n. 689 del 24/11/1981 che, nel prevedere come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati», asserisce la ricorrenza del principio del tempus regit actum. L’applicazione di tali principi determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione. Nel caso che ci occupa, tale momento – considerando la natura permanente dell’illecito contestato – deve essere individuato nel momento di cessazione della condotta illecita, che dagli atti dell’istruttoria risulta essersi protratta almeno fino alla verifica effettuata dall’Ufficio sul sito web istituzionale in data 9/8/2018, ossia in epoca successiva al 25/5/2018 in cui il RGPD è divenuto applicabile.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i); 83 del RGPD nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso» e, in tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In relazione ai predetti elementi, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di dati personali di concorrenti a prove selettive non ammessi o non vincitori con le votazioni conseguite. La diffusione si è protratta per un periodo di circa un anno. Il Comune di Colledara, che è un ente di piccole dimensioni (ca. 2200 abitanti) con un limitato numero di dipendenti e con scarse risorse di bilancio, ha, in ogni caso, evidenziato: il carattere colposo della violazione, le esigenze di celerità della procedura concorsuale, nonché il numero limitato di soggetti interessati partecipanti al concorso. L’ente si è poi attivato per rimuovere i dati personali dei soggetti interessati ed ha collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD. Non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dal Comune di Colledara.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, par. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, lett. a) del RGPD, nella misura di euro 4.000,00 (quattromila) – quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD – per la violazione: dell’art. 2-ter, commi 1 e 3 (e del previgente art. 19 comma 3 del Codice), nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a e c; 6, par. 1, lett. c ed e, par. 2 e par. 3, lett. b, del RGPD (cfr. anche la disposizione contenuta nell’art. 15, comma 6-bis, del d.P.R. 9/5/1994, n. 487.

In relazione alle specifiche circostanze del presente caso, si ritiene altresì – anche in considerazione dell’elevato numero degli interessati, coinvolti; della tipologia di dati oggetto di illecita diffusione; del lasso temporale intercorso dal momento della pubblicazione fino alla rimozione della graduatoria dal sito web del Comune - che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019. Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rileva l’illiceità del trattamento effettuato dal Comune di Colledara e ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD, nonché art. 166 del Codice,

ORDINA

al Comune di Colledara, in persona del legale rappresentante pro-tempore, con sede legale in Via San Paolo - 64042 Colledara (TE) – C.F. 80004630671 di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al medesimo Comune di pagare la somma di euro 4.000,00 (quattromila),  in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 30 gennaio 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia