[doc. web n. 9361186]

Ordinanza ingiunzione nei confronti di Comune di San Giorgio Jonico - 5 marzo 2020

Registro dei provvedimenti
n. 52 del 5 marzo 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida del Garante in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la dott.ssa Augusta Iannini;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo da parte del Sig. XX in ordine alla illegittima diffusione di propri dati personali online da parte del Comune di San Giorgio Jonico.

In particolare, dalla verifica preliminare effettuata dall’Ufficio, è emerso che sul sito web istituzionale del predetto Comune, nella sezione Albo pretorio storico nonché nella sezione denominata «XX», era possibile visualizzare liberamente la Determinazione del responsabile di settore n. XX del XX – avente a oggetto «XX dinanzi al Tribunale di Taranto incarico per la difesa dell'Ente all'avv. XX - impegno di spesa» – e il relativo allegato contenente l’atto di citazione del reclamante dinanzi al Tribunale di Taranto (url: http://...; http://...; http://...).

I predetti documenti (determinazione e relativo allegato contenente l’atto di citazione) riportavano in chiaro dati e informazioni personali del reclamante nell’oggetto e nel corpo del testo.

Il Comune di San Giorgio Jonico ha fornito riscontro alla richiesta d’informazioni dell’Ufficio e con nota del XX ha confermato la rimozione dei dati personali del reclamante dagli url prima indicati.

Inoltre, con nota del XX ha fornito riscontro al Garante anche il Responsabile della protezione dei dati personali nominato dal Comune, che tuttavia si è limitato a richiamare gli adempimenti generali effettuati dall’ente, senza entrare nel merito della violazione dei dati personali lamentata nel reclamo.

2. Normativa applicabile

Ai sensi del RGPD il trattamento di dati personali effettuati da soggetti pubblici (come il Comune) è lecito solo se il trattamento è necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (art. 6, par. 1, lett. c ed e).

È inoltre previsto che «Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]»(art. 6, par. 2, RGPD), con la conseguenza che al caso di specie risulta applicabile la disposizione contenuta nell’art. 19, comma 3, del Codice, vigente alla data dei fatti, che prevede che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o di regolamento (di analogo contenuto anche il nuovo art. 2-ter, commi 1 e 3, del Codice).

In ogni caso, inoltre, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «liceità, correttezza e trasparenza» nonché di «minimizzazione», in base ai quali i dati personali devono essere «trattati in modo lecito, corretto e trasparente nei confronti dell'interessato» e devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. a e c, del RGPD).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di San Giorgio Jonico diffondendo i dati e le informazioni personali del reclamante – contenuti nella Determinazione del responsabile di settore n. XX del XX, nonché nell’allegato atto di citazione del Sig. XX  dinanzi al Tribunale di Taranto pubblicati all’albo pretorio del sito web istituzionale – ha effettuato un trattamento di dati personali non risultato conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando il predetto Comune a inviare al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive e audizione

Con la nota prot. n. XX del XX il Comune di San Giorgio Jonico ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, in relazione ai fatti contestati il Comune ha preliminarmente eccepito la «nullità/inammissibilità della contestazione» ricevuta con la citata nota dell’Ufficio prot. n. XX del XX per decorrenza del termine di novanta giorni previsto dall’art. 14, comma 2, della l. n. 689/1981, in quanto il Comune era stato già destinatario di una precedente nota dell’Ufficio contenente l’«esito dell’istruttoria preliminare» (prot. n. XX del XX).

Nel merito, invece, l’ente ha ribadito la correttezza del trattamento dei dati personali effettuato, in quanto il presupposto normativo che giustificherebbe la diffusione dei dati oggetto del reclamo è da rinvenire nell’art. 124 del d. lgs. n. 267/2000 che prevede la pubblicazione delle deliberazioni del comune «per quindici giorni consecutivi, salvo specifiche disposizioni di legge»; negli artt. 8 e 37 del d. lgs. n. 33/2013, i quali – rispettivamente – prevedono che i «dati, le informazioni e i documenti oggetto di pubblicazione obbligatoria ai sensi della normativa vigente sono pubblicati per un periodo di 5 anni» e che «le pubbliche amministrazioni e le stazioni appaltanti pubblicano: a) i dati previsti dall’articolo 1, comma 32, della legge 6 novembre 2012, n. 190; b) gli atti e le informazioni oggetto di pubblicazione ai sensi del decreto legislativo 18 aprile 2016, n. 50».

Al riguardo, è stato inoltre precisato che:

- «Il comune ha conferito un incarico legale per la difesa delle proprie ragioni avverso le pretese risarcitorie formulate con atto di citazione del Sig. XX»;

- «in termini di inquadramento giuridico dell’incarico di patrocinio legale [il] codice dei contratti pubblici (D. Lgs. 50/2016) [prevede che] l’affidamento degli stessi, pur in un regime di peculiarità deve avvenire nel rispetto dei principi generali in materia di pubblici appalti. E così il legislatore nazionale, nel recepire la normativa europea in materia di appalti, ha espressamente ricondotto l’intera attività legale alla disciplina degli appalti»;

- «alla determinazione di incarico XX n. XX è allegato l’atto di citazione del XX […]»;

- «La “vicenda fattuale” esposta nell’atto di citazione allegato alla determina di incarico non contiene alcun dato personale, trattandosi, peraltro, di fatti già noti e pubblici»;

- «In tale quadro fattuale e giuridico appare quindi assolutamente esente da responsabilità il comportamento dell’Ente che – previa verifica dell’assenza di dati sensibili e giudiziari – ha pubblicato integralmente il provvedimento di conferimento di incarico legale unitamente all’allegato atto di citazione».

In merito alla condotta tenuta, è stato chiesto in ogni caso di tenere in considerazione:

- la «stratificazione normativa, giurisprudenziale ed interpretativa che hanno indubbiamente ingenerato la convinzione della legittimità e liceità della condotta determinando un disorientamento degli operatori nel processo di armonizzazione, interpretazione ed applicazione della normativa»;-    dell’art. 22, comma 13, del d. lgs. n. 101 del 10/08/2018 che prevede come “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”»;

- «dell’estrema particolarità del caso in esame, assoluta novità della questione esaminata in relazione alla quale non si registrano precedenti giurisprudenziali noti»;

- «a seguito della richiesta di informazioni del XX, questo Comune ha immediatamente e spontaneamente posto rimedio a quanto lamentato dal reclamante, tant’è che l’Ente non è stato destinatario di alcun provvedimento inibitorio al riguardo»;

- «era in essere un percorso di adeguamento tecnico e formativo cui ha documentalmente dato conto la Società XX con la propria nota del XX».

In data XX si è, inoltre, svolta presso il Garante l’audizione richiesta dal Comune di San Giorgio Jonico ai sensi dell’art. 166, comma 6, del Codice in occasione della quale è stato rappresentato, ad integrazione di quanto già riportato nella documentazione inviata, che:

- «da circa 30 anni il reclamante si è rivolto più volte all’autorità giudiziaria civile e penale per contestare illeciti trattamenti di dati personali da parte del Comune, tutti rigettati con sentenza (2009, 2011, 2014, 2019). Nel caso di specie, il Garante ha contestato il trattamento dei dati personali contenuti nell’atto di citazione pubblicato dal Comune, in assenza di un presupposto normativo. La trasparenza in materia di contenzioso è fondamentale per il Comune. Il presupposto normativo della pubblicazione della determina di conferimento dell’incarico legale, al quale è allegato l’atto di citazione, non è solo nel d. lgs n. 33/2013 (art. 37) ma anche nell’art. 29 del Codice degli Appalti (d. lgs n. 50/2016) che richiama l’art. 37 del d. lgs n. 33/2013, che prevedono che gli atti di affidamento di appalto di servizi e forniture (quali quello di affidamento a un avvocato esterno del patrocinio legale dell’ente), siano pubblicati sul sito web istituzionale (amministrazione trasparente) per un periodo di cinque anni. Ciò è confermato dalla giurisprudenza della Corte dei Conti - Emilia Romagna (cfr. sentenza/parere n. 144 del 2018) che prevede che gli incarichi di patrocinio legale siano pubblicati, ai sensi del d. lgs n. 33/2013, nella sezione amministrazione trasparente “bandi di gara e contratti”»;

- «l’atto di citazione era stato considerato allegato e parte integrante della delibera»;

- «in relazione alla pubblicazione dell’atto di citazione, i dati personali diffusi sono solo quelli identificativi quali il nominativo, la residenza e CF del reclamante (ex XX) già resi pubblici sul sito www.comuniweb.net. Tutte le altre informazioni ivi contenute afferiscono a stralci di sedute pubbliche, in particolare del Consiglio Comunale del XX»;

- «il reclamante non si è rivolto preliminarmente al Comune per chiedere la rimozione dei dati pubblicati a fronte del quale l’ente avrebbe provveduto immediatamente, ma si è rivolto direttamente al Garante».

5. Esito dell’istruttoria relativa al reclamo presentato

Nello specifico caso sottoposto all’esame del Garante, oggetto di lamentela da parte del reclamante risulta essere:

- la diffusione dei propri dati personali contenuti nella Determinazione del responsabile di settore n. XX, con la quale il Comune ha incaricato il proprio legale per la difesa in giudizio in un procedimento giudiziario contro il reclamante stesso;

- la pubblicazione della copia integrale del proprio atto di citazione con il quale è stato chiesto il risarcimento dei danni a carico dell’Ente.

Dagli atti risulta che i dati e le informazioni personali del reclamante contenuti nella deliberazione citata corrispondono al nominativo e alla circostanza che lo stesso ha citato il Comune per risarcimento di danni (patrimoniali e non).

Nell’atto di citazione pubblicato sono riportati i dati e informazioni personali del reclamante quali, oltre il nominativo, la data e il luogo di nascita, la residenza e il codice fiscale, una dettagliata ricostruzione – ai fini dell’istaurazione della causa contro il Comune – di vicende personali, professionali, giudiziarie, nonché di attività politico-amministrativa svolta quando rivestiva la carica di XX.

In relazione a quanto contestato, il Comune ha eccepito – preliminarmente – la tardività della contestazione per decorrenza del termine di novanta giorni previsto dall’art. 14, comma 2, della legge n. 689 del 24/11/1981, in quanto il Comune era stato già destinatario della nota contenente l’«esito dell’istruttoria preliminare» prot. n. XX del XX (data che secondo il Comune corrisponderebbe all’«accertamento»), mentre la contestazione della violazione sarebbe avvenuta con la nota prot. n. XX del XX.

Al riguardo, non è possibile accogliere l’eccezione presentata dal Comune in ordine alla decorrenza del termine di novanta giorni previsto dall’art. 14, comma 2, della l. n. 689/1981, in quanto non applicabile alla fattispecie in esame. Deve, infatti, essere ricordato che in data 19/9/2018 è entrato in vigore il nuovo art. 166 del Codice (come modificato dal d. lgs. n. 101 del 10/8/2018), il quale, al comma 7, proprio in relazione all’adozione del provvedimento sanzionatorio, non prevede più l’applicazione dell’art. 14 della legge 689/1981 in quanto non espressamente richiamato.

Al caso di specie, relativo alla violazione delle disposizioni contenute nel RGPD, si applica invece l’art. 166, comma 5, del Codice (riformato dal d. lgs. n. 101/2018) alla luce del quale, con nota prot. n. XX del XX, si è provveduto ad accertare la condotta tenuta in violazione del Regolamento europeo notificando al trasgressore le violazioni effettuate con contestuale avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD; esattamente, quindi, nei modi, forme e termini previsti dalle disposizioni richiamate.

Nel merito, in relazione a quanto eccepito dal Comune in ordine alla condotta tenuta, seppur talune osservazioni sono meritevoli di considerazione, non è possibile superare del tutto i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, in quanto non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro nessuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

In tal senso, alla luce della delibera n. XX del XX dell’Autorità Nazionale Anticorruzione (ANAC) con la quale sono state approvate le «Linee guida n. 12. Affidamento dei servizi legali», si ritiene infatti di accogliere le osservazioni presentate nelle memorie difensive del Comune, in base alle quali – ai sensi del combinato disposto dell’art. 37 del d. lgs. n. 33/2013 e dell’art. 29 del d. lgs. 50/2016 – deve essere pubblicata sul sito web istituzionale la delibera di affidamento dell’incarico al legale rappresentate per la difesa dell’Ente nei casi ivi previsti.

Ciò tuttavia non legittima affatto il Comune a pubblicare anche l’atto di citazione, come avvenuto nel caso di specie, né a diffondere il nominativo del reclamante (controparte del Comune) riportato nella deliberazione pubblicata, che non risulta necessario rispetto alle finalità del trattamento – ossia l’affidamento di un incarico a un legale del Comune per la difesa in giudizio – nel rispetto del principio di «minimizzazione» dei dati (art. 5, par. 1, lett. c, del RGPD). Con riferimento a quest’ultimo profilo, infatti, allo scopo di affidare l’incarico al legale era ben possibile identificare la causa attraverso l’indicazione del solo numero di ruolo, senza riportare il nominativo del reclamante oppure pubblicare la delibera provvedendo all’oscuramento del nominativo del reclamante o alla relativa sostituzione con degli omissis.

D’altronde, il Garante sin dal 2014, nelle Linee guida in materia di trasparenza, ha evidenziato che, anche in presenza di un obbligo di pubblicazione in materia di trasparenza, i soggetti chiamati a darvi attuazione non possono comunque diffondere i dati personali eccedenti o non pertinenti (cfr. parte prima, par. 2) e che in ogni caso:

- «Laddove l’amministrazione riscontri l’esistenza di un obbligo normativo che impone la pubblicazione dell’atto o del documento nel proprio sito web istituzionale è necessario selezionare i dati personali da inserire in tali atti e documenti, verificando, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni»;

- «I soggetti pubblici, infatti, in conformità ai principi di protezione dei dati, sono tenuti a ridurre al minimo l’utilizzazione di dati personali e di dati identificativi ed evitare il relativo trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o altre modalità che permettano di identificare l’interessato solo in caso di necessità […]»;

- «È, quindi, consentita la diffusione dei soli dati personali la cui inclusione in atti e documenti da pubblicare sia realmente necessaria e proporzionata alla finalità di trasparenza perseguita nel caso concreto (cd. “principio di pertinenza e non eccedenza” di cui all´art. 11, comma 1, lett. d, del Codice [oggi “principio di minimizzazione” ai sensi dell’art. 5, par. 1, lett. c), del RGPD]). Di conseguenza, i dati personali che esulano da tale finalità non devono essere inseriti negli atti e nei documenti oggetto di pubblicazione online. In caso contrario, occorre provvedere, comunque, all’oscuramento delle informazioni che risultano eccedenti o non pertinenti».

Pertanto, confermando le valutazioni preliminari dell’Ufficio, si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di San Giorgio Jonico, in quanto:

- la diffusione dei dati personali contenuti nell’atto di citazione pubblicato sul sito web istituzionale è avvenuta in assenza di un idoneo presupposto normativo, in violazione dell’art. 19, comma 3, del Codice (ora riprodotto nel nuovo art. 2-ter, commi 1 e 3, del Codice), vigente al momento della cessazione della condotta (XX) e dell’art. 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b), del RGPD;

- la diffusione del nominativo del reclamante contenuto nella Determinazione del responsabile di settore n. XX non risulta necessaria rispetto alle finalità del trattamento – ossia l’affidamento di un incarico a un legale esterno per la difesa in giudizio dell’Ente – violando il principio di «minimizzazione» dei dati contenuto nell’art. 5, par. 1, lett. c, del RGPD.

Considerato, comunque, che la condotta ha esaurito i suoi effetti, in quanto il Comune ha provveduto a rimuovere dal sito web istituzionale gli atti contenenti i dati personali del reclamante prima descritti, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

Il Comune di San Giorgio Jonico risulta aver violato gli artt. 5, par. 1, lett. c; e 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b), del RGPD, nonché l’art. 19, comma 3, del Codice vigente al momento dell’inizio della condotta illecita.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Occorre altresì tenere conto che, seppure la deliberazione e l’atto di citazione oggetto del reclamo, pubblicati online, risalgono al XX, per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che, nel sancire come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati», afferma la ricorrenza del principio del tempus regit actum. Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – considerando la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del XX in cui il RGPD è divenuto applicabile. Dagli atti dell’istruttoria è, infatti, emerso che l’illecita diffusione online è cessata a settembre 2018 (mese in cui il Comune ha dichiarato di aver provveduto a rimuovere i provvedimenti dal sito web istituzionale).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In relazione ai predetti elementi, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la diffusione di dati e informazioni personali di un solo soggetto interessato, contenute peraltro in un atto di citazione pubblicato per intero. La diffusione si è protratta per un periodo minore di un anno. Il Comune di San Giorgio Jonico, che in ogni caso è un ente locale di minore dimensioni, con di meno di 15.000 abitanti, ha, peraltro, chiesto di tenere conto diverse attenuanti fra cui si ritengono rilevanti: le incertezze applicative relative alle disposizioni sulla pubblicazione degli atti di affidamento di incarichi legali dell’ente derivanti da «stratificazione normativa, giurisprudenziale ed interpretativa»; la circostanza che l’atto di citazione era stato considerato allegato e parte integrante della delibera pubblicata online; il reclamante si è rivolto direttamente al Garante e non si è rivolto preliminarmente al Comune per chiedere la rimozione dei dati pubblicati a fronte del quale l’ente si sarebbe subito attivato. A ciò si aggiunge che l’amministrazione si è attivata per rimuovere i dati personali oggetto del reclamo e ha collaborato con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione – il cui carattere, stante quanto affermato dal Comune, appare di natura colposa – attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD. Non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dal Comune di San Giorgio Jonico.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 3.000,00 (tremila) per la violazione degli artt. 5, par. 1, lett. c; e 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 19, comma 3, del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso – considerata l’estrema invasività della diffusione, avente ad oggetto dati anche molto delicati e risalenti nel tempo del reclamante -, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di San Giorgio Jonico ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice per violazione degli artt. 5, par. 1, lett. c; e 6, par. 1, lett. c) ed e); par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 2-ter, commi 1 e 3, del Codice nei termini di cui in motivazione;

ORDINA

al Comune di San Giorgio Jonico, in persona del legale rappresentante pro-tempore, con sede legale in Via Salvo D'Acquisto - 74027 San Giorgio Ionico (TA) – C.F. 80009010739 di pagare la somma di euro 3.000,00 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al medesimo Comune di pagare la somma di euro 3.000,00 (tremila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019 e si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 5 marzo 2020

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia