g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Convitto Nazionale Statale "Giordano Bruno" - 25 marzo 2021 [9583865]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9583865]

Ordinanza ingiunzione nei confronti di Convitto Nazionale Statale "Giordano Bruno" - 25 marzo 2021

Registro dei provvedimenti
n. 105 del 25 marzo 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione.

Con reclamo del 25 giugno 2019, presentato ai sensi dell’art. 77 del Regolamento, è stato lamentato che il Convitto Nazionale Statale "Giordano Bruno" di Maddaloni (CE) (di seguito, il “Convitto”) avrebbe pubblicato, nella sezione “Amministrazione Trasparente” del sito proprio sito web istituzionale, un documento denominato “Ipotesi definitiva di Contratto integrativo A.S. 2017/18”, contenente dati personali relativi al reclamante, affermandosi, con riferimento a quest’ultimo, che “non si era potuto portare a termine la distribuzione del fondo, mancando la relazione del [ruolo del reclamante] (che non si era fatto carico di redigerla e quindi il DS ha proceduto unitamente alla sig. […], pur in presenza del [ruolo del reclamante] regolarmente in servizio, a redigere la relazione […]”.

La pubblicazione del documento in questione è stata accertata dall’Ufficio in data 2 dicembre 2019 (cfr. relazione di servizio prot. n. 115/19 del 3 dicembre 2019).

2. L’attività istruttoria.

Con nota del 4 dicembre 2019 (prot. n. 42049), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Convitto, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a) e c), 6, par. 1, lett. c) ed e), 2 e 3, lett. b), nonché 2-ter, commi 1 e 3, del Codice, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del 9 dicembre 2019 (prot. n 0010750/U), il Convitto, in persona del Rettore - Dirigente Scolastico, ha dichiarato, in particolare, che “preso atto della gravità della violazione contestata - ha tempestivamente disposto in data 5 dicembre 2019 la rimozione del documento “Ipotesi definitiva di Contratto Integrativo a. s. 2017/2018” pubblicato nella Sezione “Amministrazione Trasparente” [del] Convitto”, e che “in data 9 dicembre, ha compilato – d’intesa con il Responsabile del trattamento dei dati personali [del] Convitto, il registro delle violazioni, così come previsto dagli art. 33 e 34 del Regolamento 679/2016”.

Con nota del 2 gennaio 2020, sottoscritta dal referente del responsabile della protezione dei dati personali designato dal Convitto e inviata a questa Autorità e, in copia, al Convitto, è stato, altresì, dichiarato, in particolare, che:

“la violazione è consistita nel riportare all’interno del documento “Ipotesi definitiva di contratto integrativo dell’istituzione scolastica anno scolastico 2017/18” (prot. n. 9344/II.10 del 30/11/2017, pubblicato in data 18/07/2018) dei riferimenti ad un ipotetico mancato assolvimento di obblighi da parte del [ruolo del reclamante]”;

“tale documento è stato pubblicato in “Amministrazione Trasparente” ed è rimasto online sino alla data del 05/12/2019; a seguito della segnalazione pervenuta da parte dell’ufficio del Garante, in data 04/12/2019, visto che in precedenza non vi è stata alcuna segnalazione né al Titolare del trattamento […] né al Responsabile della Protezione dei Dati dello stesso […]”;

“le misure adottate per attenuare gli effetti della violazione, subito dopo che si è venuto a conoscenza di quest’ultima, sono state quelle di rimuovere immediatamente l’origine della violazione, cancellando il documento dalla sezione “Amministrazione Trasparente” del sito scolastico istituzionale, ed informare l’interessato che ha subito la violazione”.

3. Esito dell’attività istruttoria.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali (art. 4, n. 1, del Regolamento) dei dipendenti, se il trattamento è necessario, in particolare, “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (ovvero gli specifici obblighi o compiti previsti dalla legge per finalità di gestione del rapporto di lavoro) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Ciò premesso, si rileva che, nelle proprie memorie difensive, il Convitto non ha indicato alcuna base giuridica (cfr. art. 5, par, 1, lett. a) e 6 del Regolamento) che avrebbe potuto giustificare la diffusione online dei dati personali del reclamante, relativi alla circostanza, invero contestata quest’ultimo, che - come si afferma nel documento pubblicato – il reclamante non avrebbe adempiuto ai propri doveri d’ufficio, pur essendo presente in servizio. A tal riguardo, il Convitto si è, infatti, limitato a “pre[ndere] atto della gravità della violazione contestata”, peraltro classificando spontaneamente l’accaduto come una violazione di dati personali, che il Convitto ha provveduto a documentare ai sensi dell’art. 33, par. 5, del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si rappresenta, altresì, che per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che sancisce come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del 25/5/2018 in cui il Regolamento è divenuto applicabile e il d.lgs. 10 agosto 2018, n. 101 è entrato in vigore. Dagli atti dell’istruttoria è, infatti, emerso che il documento oggetto di reclamo è rimasto pubblicato sul sito web del Convitto fino al 5 dicembre 2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Convitto Nazionale Statale "Giordano Bruno", per aver diffuso dati personali del reclamante in assenza di idonei presupposti normativi, in violazione degli artt. 6, del Regolamento, e 2-ter, commi 1 e 3, del Codice, nonché del principio di “liceità, correttezza e trasparenza” di cui all’art. 5, par. 1, lett. a) del Regolamento (dovendosi, invece, sulla base di quanto emerge dagli atti, ritenere insussistente la violazione dell’art. 5, par. 1, lett. c) del Regolamento).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la pubblicazione degli atti amministrativi in questione sul sito web del Convitto è cessata, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che la rilevata condotta, tenuta in violazione della disciplina in materia di protezione dei dati personali, ha avuto ad oggetto la diffusione di dati personali, anche alla luce delle indicazioni che, sin dal 2014, il Garante ha fornito a tutti i soggetti pubblici nelle «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicate in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436. Si è tenuto, altresì, conto del notevole lasso di tempo in cui i dati personali del reclamante sono stati oggetto di diffusione (dal 18/07/2018 al 05/12/2019).

Di contro, si è tenuto favorevolmente atto che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento, e che il titolare si è prontamente attivato per rimuovere il documento oggetto di pubblicazione non appena ha avuto contezza della violazione.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.000 (mille) per la violazione degli artt. 5, par. 1, lett. a), e 6, par. 1, lett. c) ed e) e 2 e 3, lett. b) del Regolamento, nonché 2-ter, commi 1 e 3 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, paragrafo 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto dell’esteso lasso temporale durante il quale i predetti dati sono stati reperibili in rete, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Convitto Nazionale Statale "Giordano Bruno" per violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter, commi 1 e 3 del Codice, nei termini di cui in motivazione;

ORDINA

al Convitto Nazionale Statale "Giordano Bruno", in persona del legale rappresentante pro-tempore, con sede legale in Via San Francesco D’Assisi 119 - 81024 Maddaloni (CE), C.F. 80004990612, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento, di pagare la somma di euro 1.000 (mille) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Convitto, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 1.000 (mille) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 marzo 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei