g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Monteiasi - 25 marzo 2021 [9584474]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9584474]

Ordinanza ingiunzione nei confronti di Comune di Monteiasi - 25 marzo 2021

Registro dei provvedimenti
n. 107 del 25 marzo 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo da parte del sig. XX, con il quale è stata contestata una violazione della normativa in materia di protezione dei dati personali.

Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, sul sito web del Comune di Monteiasi, nell’area dedicata all’albo pretorio online, nella sezione «Atti amministrativi» (http://dgegovpa.it/...), era possibile visualizzare e scaricare liberamente la Determinazione XX, avente a oggetto «XX». Con tale atto, a seguito della «XX», era stato determinato di «autorizzare lo svincolo del bonifico bancario effettuato dai Sigg. XX e XX […] in nome e per conto della XX, presso il Banco di Napoli in data XX, a favore del Comune di Monteiasi di € XX». La citata determinazione conteneva i nominativi dei soggetti interessati e il codice iban del conto corrente – a loro cointestato – su cui effettuare il versamento.

Alla predetta determinazione risultavano allegate: a) la nota del Comune prot. n. XX del XX, indirizzata all’XX, con la quale si chiedeva al presidente dell’associazione XX l’autorizzazione allo svincolo del bonifico bancario effettuato dai Sigg. XX e XX, contenente i medesimi dati personali prima descritti; b) la nota prot. n. XX del XX, indirizzata al Comune, contenente la dichiarazione rilasciata dal presidente della predetta associazione XX (odierno reclamante) con i relativi dati personali (quali, oltre al nominativo, la data e il luogo di nascita, la residenza e la copia fronte retro della carta d’identità).

I predetti documenti risultavano scaricabili dall’url: http://dgegovpa.it/....

Il reclamante, presidente dell’XX, ha provveduto ad allegare alla propria istanza al Garante anche la nota a suo tempo inviata al Comune di Monteiasi del XX (comprensiva della copia della ricevuta di presentazione al protocollo comunale del XX n. XX), con la quale aveva già cercato di esercitare i diritti in materia di protezione dei dati personali attraverso il proprio legale rappresentante (Avv. XX), chiedendo al Comune la rimozione almeno del proprio documento di riconoscimento, essendo preoccupato per il pericolo di furti d’identità. Dagli atti dell’istruttoria è emerso che il Comune non ha fornito alcun riscontro alla citata richiesta.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, i soggetti pubblici (come il Comune) possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

La normativa statale di settore prevede, inoltre, che «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge» (art. 124, comma 1, d. lgs. n. 267 del 18/8/2000).

In ordine alle pubblicazione sull’albo pretorio, fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).

Nelle predette Linee guida del Garante è espressamente sancito che una volta trascorso il periodo temporale previsto per la pubblicazione degli atti e documenti nell’albo pretorio:

- «gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi […]. A tal proposito, ad esempio, la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall´art. 124 del citato d. lgs. n. 267/2000, può integrare una violazione del suddetto art. 19, comma 3, del Codice [n.d.r. oggi riprodotto nell’art. 2-ter, commi 1 e 3, del Codice], laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione […]. [In tal caso] se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali[,] provvede[ndo] a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» (parte seconda, par. 3.a).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Monteiasi – diffondendo i dati e le informazioni personali del reclamante contenuti nella Determinazione n. XX e nei relativi allegati pubblicati online prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

Il Comune di Monteiasi, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, è stato evidenziato, fra l’altro che:

- «ad avviso della scrivente amministrazione [la] contestazione [ricevuta] non trova i presupposti per l'applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. a), del RGPD ossia la violazione dei principi di base del trattamento dei dati personali delle persone fisiche»;

- «A difesa dell’operato di questa Amministrazione si evidenzia che il Regolamento europeo tutela i dati personali delle sole persone fisiche, con esclusione quindi delle persone giuridiche, degli enti e delle associazioni, come nel caso di specie»;

- «Trattasi infatti di dati e informazioni del reclamante che agiva esclusivamente in qualità di Presidente della società XX, associazione XX partecipante alla procedura negoziata tesa all’affidamento della concessione di un impianto sportivo comunale»;

- il «Considerando 14 è chiaro nell’affermare: “E opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e î suoi dati di contatto”. Dalle norme emerge chiaramente che solo una persona fisica può essere considerata interessata al trattamento, mentre non sono considerabili tali né le persone giuridiche, né gli enti e nemmeno le associazioni»;

- «Il Considerando citato indica chiaramente che “nome, forma e dati di contatto” possono anche includere dati personali ma tali dati non sono protetti dal GDPR, e nel caso specifico i dati personali trattati oggetto di contestazione coincidono con i dati di contatto del rappresentante legale dell’associazione concorrente (dati personali necessari al fine di identificare compiutamente il concorrente), cioè colui che ha il potere di agire, di mettere in esecuzione gli atti in nome e per conto della società stessa partecipante ad una procedura di affidamento pubblica per la gestione di un impianto sportivo comunale»;

- «Ferma l'efficacia assorbente di quanto sopra esposto, si rappresenta che la Determinazione XX, è intervenuta in applicazione dell’art. 124 del d.lgs. 267/00 a mente del quale “tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all'albo pretorio” nonché in applicazione degli obblighi di trasparenza di cui all’art. 37 del D. Lgs. 33/2013. Infatti se è vero che l’art. 124 prevede che la pubblicazione avvenga “per quindici giorni consecutivi”, è anche vero che la stessa disposizione aggiunge “salvo specifiche disposizioni di legge” e nel caso in esame è la specifica disposizione di cui all’art. 8 del d.lgs. n. 33 del 2013 a rendere assolutamente legittimo l’operato di questo Ente. Dispone infatti il richiamato articolo che “i dati, le informazioni e i documenti oggetto di pubblicazione obbligatoria ai sensi della normativa vigente sono pubblicati per un periodo di 5 anni”. Questo Ente si è quindi attenuto ad un[a] precisa disposizione normativa»;

- «Ed è proprio sulla interpretazione del combinato disposto dell’art. 124 TUEL e art. 8 d.lgs. 33/13 che la Corte di Cassazione ha evidenziato che “il termine previsto dall’art. 124 d.lgs. 267/00 (pubblicazione nell'albo pretorio per 15 giorni consecutivi) non può ritenersi di natura perentoria (come indirettamente confermato dalle linee guida contenute nel Decreto legislativo 33/2013 che, disciplinando la pubblicità per finalità di trasparenza, ne ha previsto la durata in 5 anni)” (cfr. Cassazione Civile - Sez. 3 - n. 20615/2016). Nel caso in esame trattasi di procedimento di procedura negoziata di affidamento in regime di concessione della gestione dello stadio comunale di Monteiasi svolto ai sensi del d. lgs. 50/2016 (codice dei contratti pubblici) e di conseguenza “i dati, le informazioni e i documenti oggetto di pubblicazione obbligatoria” di cui al citato art. 8 sono quelli rinvenienti dall’art. 37 del D. Lgs. 33/2013»;

- «Inoltre, l'applicazione della normativa del Codice dei Contratti condiziona anche le modalità di pubblicazione, e, ai sensi del richiamato art. 37, nel testo vigente a seguito della modifica di cui al D. Lgs. n. 97/2016, che postula la pubblicazione integrale del provvedimento amministrativo. Ciò lo si evince dalla lettura dell’art. 29 del Codice dei Contratti «applicabile alla fattispecie, come detto, anche a giudizio del Garante - secondo cui “Tutti gli atti delle amministrazioni aggiudicatrici e degli enti aggiudicatori relativi al (...) l’affidamento di appalti pubblici di servizi, forniture, lavori devono (...) essere pubblicati e aggiornati sul “profilo del committente”, nella sezione "Amministrazione trasparente", con l'applicazione delle disposizioni di cui al decreto legislativo 14 marzo 2013, n. 33” (cfr. art. 29 D. lgs. n. 50/2016), per la durata di 5 anni»;

- «Il complesso di norme innanzi richiamate smentisce di per sé la presunta mancanza di base legale per il trattamento dei dati ingiustamente e contraddittoriamente contestata al Comune di Monteiasi nella vicenda di che trattasi, con conseguente ed evidente [in]fondatezza delle censure in rubrica»;

- il «Comune di Monteiasi, in ottica collaborativa, ha tempestivamente provveduto a rimuovere dal sito web la determinazione in questione, che non è quindi più visibile nel sito web né rintracciabile con i motori di ricerca utilizzabili sul web»;

- «il Comune di Monteiasi effettua un percorso informativo e tecnico permanente per adeguare il proprio sistema di gestione e archiviazione dei documenti alla disciplina introdotta dal GDPR organizzando tra l’altro eventi di formazione sul tema per i propri dipendenti»;

- «il Comune di Monteiasi ha disabilitato l’opzione del proprio software di gestione dei documenti che permetteva di poter visionare nell’Albo Pretorio on-line i documenti anche oltre i 15 giorni, facendo così in modo che tutti i documenti – dopo tale periodo temporale di 15 giorni – vengano archiviati e possano essere consultati soltanto dal personale interno all’Ente pubblico».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali del reclamante, presidente di un’associazione XX (XX) – quali nome e cognome, data e luogo di nascita, residenza, fotocopia fronte retro della carta d’identità – nonché di altri due soggetti interessati che agivano in nome e per conto dell’associazione (nominativo e codice iban). Tali dati erano contenuti nella Determinazione XX del Comune di Monteiasi e nei relativi allegati pubblicati online, nell’ambito della decisione dell’amministrazione di rimborsare le somme versate dalla predetta associazione per la partecipazione a una procedura negoziata, da cui era stata in ogni caso esclusa, riguardante l’affidamento in regime di concessione della gestione dello stadio comunale.

5.a. Sull’applicazione del RGPD al caso di specie

Nell’ambito dell’istruttoria aperta da questa Autorità, il Comune di Monteiasi ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti.

Sotto tale profilo, tuttavia, l’ente ritiene di non aver violato alcuna disposizione in materia di protezione dei dati personali, in quanto i dati diffusi erano riferibili al reclamante «che agiva esclusivamente in qualità di Presidente della società XX, associazione XX partecipante alla procedura negoziata tesa all’affidamento della concessione di un impianto sportivo comunale», e quindi i relativi dati non sarebbero protetti dal RGPD che non si applica alle persone giuridiche e ai relativi dati di contatto. Ciò sarebbe confermato, secondo il Comune, dall’interpretazione offerta dal considerando n. 14 del RGPD che prevede la non applicabilità del regolamento europeo al «trattamento dei dati personali relativi a persone giuridiche», fra cui rientrano «il nome e la forma della persona giuridica» e «i suoi dati di contatto». Nel caso di specie, secondo quanto sostenuto dal Comune, i dati personali diffusi oggetto di contestazione «coincidono con i dati di contatto del rappresentante legale dell’associazione concorrente (dati personali necessari al fine di identificare compiutamente il concorrente), cioè colui che ha il potere di agire, di mettere in esecuzione gli atti in nome e per conto della società stessa partecipante ad una procedura di affidamento pubblica per la gestione di un impianto sportivo comunale».

Al riguardo, si concorda con quanto rappresentato nelle memorie difensive nella parte in cui si eccepisce correttamente che il RGPD non applica alle persone giuridiche, enti o associazioni e ai relativi dati di contatto (es: nome e indirizzo della sede dell’XX, eventuale numero di telefono, ecc.) e nella necessità di dover trattare i dati personali del rappresentante legale dell’associazione necessari al fine di identificare compiutamente il concorrente.

Tuttavia, la particolarità del caso sottoposto all’attenzione del Garante risiede nella circostanza di avere effettuato una specifica operazione di trattamento consistente nella diffusione online, oltre che dei dati dell’associazione XX – non soggetti, per quanto detto, al RGPD – anche di “dati personali”, in alcuni casi sicuramente non necessari, dei soggetti che agivano in nome e per conto di essa, quali nominativi e codice iban, nonché – nel caso del reclamante – data e luogo di nascita, residenza e persino, la copia integrale della carta d’identità.

Indipendentemente dal ruolo rivestito nell’associazione, non può dubitarsi che le informazioni sopra specificamente richiamate sono chiaramente riferite a persone fisiche identificate, e si è quindi in presenza di “dati personali” rientranti nella definizione di cui all’art. 4, par. 1, n. 1, del RGPD, per i quali non si versa nella fattispecie di cui al considerando n. 14 del RGPD, con la conseguenza che non è accoglibile l’eccezione sollevata dal Comune al riguardo, trovando invece integrale applicazione il regime delle garanzie previste dal regolamento europeo. Del resto ogni eventuale utilizzo illecito di tali dati (quale ad esempio un furto di identità) riverbererebbe i propri effetti negativi nella sfera giuridica delle persone fisiche a cui si riferiscono e non necessariamente in quella dell’associazione.

5.b. Sulla base giuridica del trattamento e sui tempi di pubblicazione online

Nelle memorie difensive il Comune ha sostenuto che, con riferimento al caso in esame, alla determinazione e ai relativi allegati oggetto di reclamo, si applicherebbe l’obbligo di diffusione online per il periodo pari a 5 anni previsto dall’art. 8 del d. lgs. n. 33 del 14/3/2013 in materia di trasparenza amministrativa e non – come contestato dall’Ufficio – il termine di 15 giorni previsto dall’art. 124 del d. lgs. n. 267/2000. Ciò in quanto quest’ultima disposizione oltre a prevedere il predetto termine di 15 giorni, aggiunge la perifrasi “salvo specifiche disposizioni di legge”. Inoltre, i relativi termini non potrebbero «ritenersi di natura perentoria».

Al riguardo, si evidenzia quanto segue.

Questa Autorità fin dal 2014 ha fornito specifiche indicazioni alle pp.aa. con le Linee guida in materia di trasparenza citate, evidenziando che «vanno distinte, considerato il profilo del diverso regime giuridico applicabile, le disposizioni che regolano gli obblighi di pubblicità dell’azione amministrativa per finalità di trasparenza [a cui si applica il regime previsto dal d. lgs. n. 33/2013 (termine di 5 anni di mantenimento del documento sul web, obbligo di indicizzazione, possibilità di riutilizzo, ecc.)] da quelle che regolano forme di pubblicità per finalità diverse» (cfr. «Introduzione»). In tale quadro, «devono ritenersi estranei all´oggetto del […] decreto legislativo [n. 33/2013] tutti gli obblighi di pubblicazione previsti da altre disposizioni per finalità diverse da quelle di trasparenza, quali gli obblighi di pubblicazione a fini di pubblicità legale, pubblicità integrativa dell´efficacia, pubblicità dichiarativa o notizia (già illustrati in forma esemplificativa nell´“Introduzione” e presi in considerazione nella parte seconda delle presenti Linee guida». Fra tali ipotesi rientrano chiaramente le disposizioni sulla tenuta dell’albo pretorio negli enti locali che prevedono l’obbligo di affissione all’albo pretorio a fini di pubblicità legale di tutte le deliberazioni del comune e della provincia per quindici giorni consecutivi (art. 124, commi 1 e 2, del d. lgs. n. 267/2000), a cui di conseguenza non è applicabile il regime di pubblicità pari a di cinque anni, previsto dall’art. 8 del d. lgs. n. 33/2013.

Tale orientamento, d’altronde, è confermato anche dall’Autorità Nazionale Anticorruzione (ANAC) – che è incaricata della vigilanza sugli obblighi di pubblicazione online per finalità di trasparenza contenuti nel d. lgs. n. 33/2013 (cfr. art. 45) – la quale ha espressamente affermato che «La tenuta nell’albo pretorio, anche a seguito della disposta sostituzione della forma cartacea con la previsione dell’inserimento on line, non rientra direttamente nell’ambito di applicazione delle norme in materia di trasparenza amministrativa di cui al d.lgs. 33/2013. Di conseguenza, non compete ad ANAC la vigilanza sulla pubblicazione dei documenti e delle informazioni pubblicate nell’albo pretorio on-line» e che la «durata della pubblicazione dei documenti nell’albo pretorio on line non coincide, poiché inferiore, con la durata della pubblicazione dei dati sui siti istituzionali entro la sezione “Amministrazione trasparente” che l’art. 8, co. 3, del d.lgs. n. 33/2013 fissa a cinque anni» (cfr. ANAC, «FAQ in materia di trasparenza (sull’applicazione del d.lgs. n. 33/2013 come modificato dal d.lgs. 97/2016)», nn. 1.5 e 1.8, in http://www.anticorruzione.it/portal/public/classic/MenuServizio/FAQ/Trasparenza).

Quanto alla natura perentoria o meno del termine di 15 giorni previsto per la pubblicazione delle deliberazioni nell’albo pretorio, questa Autorità ha evidenziato che il predetto termine non impedisce certamente agli «enti locali [di] continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell´ente», tuttavia, in relazione ai soli dati personali, è necessario apportare «gli opportuni accorgimenti per la relativa tutela» provvedendo «una volta trascorso il periodo di pubblicazione previsto [dal testo unico degli enti locali, e in mancanza di una diversa base normativa,] a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» (Linee guida, cit. parte seconda, par. 3.a). Ciò in quanto «la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall´art. 124 del citato d. lgs. n. 267/2000, può integrare una violazione del suddetto art. 19, comma 3, del Codice [ora art. 2-ter, commi 1 e 3, del Codice], laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione» (ibidem).

In tale contesto, il richiamo effettuato dall’amministrazione alla sentenza della Corte di Cassazione n. 20615/2016 non appare pertinente, posto che trattavasi di un caso di richiesta di risarcimento del danno rigettata dai giudici, che hanno ritenuto il soggetto interessato non identificabile e il danno non provato. Nel caso in esame, invece, l’identificabilità del reclamante, soggetto interessato, non può certo essere messa in discussione considerando che il Comune ha pubblicato la copia integrale del relativo documento di riconoscimento e, in ogni caso, ogni valutazione relativa all’esistenza di un eventuale danno del reclamante è un aspetto per nulla preso in considerazione dall’Ufficio non rientrando fra le competenze del Garante, ma del giudice ordinario (art. 152, comma 1, del Codice).

Quanto infine al richiamo effettuato agli artt. 29 del d. lgs. n. 50 del 18/4/2016 e 37 del d. lgs. n. 33/2013, si evidenzia che le predette disposizioni si applicano agli atti relativi alla «programmazione di lavori, opere, servizi e forniture» e «alle procedure per l'affidamento di appalti pubblici […]». Nel caso in esame, la tesi dell’Ente secondo la quale sarebbero applicabili tali articoli alla procedura negoziata di affidamento in regime di concessione della gestione dello stadio comunale in cui potrebbe rientrare, per certi aspetti, anche la determinazione XX, può trovare un certo fondamento, ma non al punto da spingersi a ritenere legittima la diffusione di dati personali in contrasto con il principio di minimizzazione dei dati previsto dall’art. 5, par. 1, lett. c), del RGPD.

Il rispetto di tale principio implica, infatti, che il titolare del trattamento sia obbligato a svolgere in ogni caso un’analisi volta a valutare se i dati personali oggetto di pubblicazione siano effettivamente «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

In tale quadro, in relazione alla finalità di rimborso (e della relativa trasparenza) della somma versata dall’associazione XX a titolo di offerta economica per la partecipazione alla procedura di affidamento della gestione dello stadio comunale da cui è stata in ogni caso esclusa, i dati personali dei soggetti interessati che hanno versato la somma in nome e per conto dell’XX (quali nominativo e codice iban), nonché i dati personali del reclamante presidente dell’XX (quali data e luogo di nascita, nonché residenza) – diffusi sul sito web istituzionale e che il Comune sostiene debbano rimanere online per il periodo di 5 anni – risultano del tutto sproporzionati e non necessari, in violazione del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del RGPD.

Inoltre, in ogni caso, nessuna disposizione di legge o di regolamento prevede la pubblicazione online della copia integrale del documento di riconoscimento del reclamante, la cui diffusione nel web è invece foriera di rischi legati a possibili usi fraudolenti o furti d’identità.

Il Comune avrebbe dovuto effettuare tali valutazioni, provvedendo in primo luogo a riscontrare la richiesta di esercizio dei diritti e di rimozione almeno del documento di riconoscimento, formulata nel 2018 dal reclamante, preoccupato dei rischi della diffusione delle proprie informazioni online. In tal modo, il soggetto interessato non avrebbe avuto necessità di effettuare un reclamo al Garante con apertura di una specifica istruttoria che ha portato al presente procedimento.

6. Esito dell’istruttoria relativa al reclamo presentato

Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza e pubblicazione online sopra citate, ha fornito a tutte le pp.aa. specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali dei soggetti interessati.

In tale quadro, confermando le valutazioni preliminari effettuate dall’Ufficio nella nota prot. n. XX del XX, si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Monteiasi, in quanto la diffusione sul sito web istituzionale dei dati e delle informazioni personali del reclamante e degli altri soggetti interessati, contenuti nella Determinazione XX e nei relativi allegati (note prott. nn. XX del XX e XX del XX), pubblicati online, risulta:

a) non conforme al principio di «minimizzazione» dei dati – con riferimento all’indicazione in chiaro del nominativo e del codice iban dei Sigg. XX e XX, nonché della data, del luogo di nascita e della residenza del reclamante – in quanto gli stessi non sono «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del RGPD;

b) priva di idonei presupposti normativi con particolare riferimento alla carta d’identità del reclamante, la cui pubblicazione non è prevista da alcuna norma di legge o di regolamento, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto i dati personali oggetto di reclamo non risultano più accessibili all’url indicato nella nota prot. n. 44912 del 26/11/2020 (http://dgegovpa.it/...), fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

Il Comune di Monteiasi risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa ed ha avuto a oggetto la diffusione online di dati personali, non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD), riferiti a tre soggetti interessati per la durata di circa tre anni e 10 mesi. Il Comune di Monteiasi è in ogni caso un ente di piccole dimensioni (poco meno di 5.500 abitanti), che a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD e non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 4.000,00 (quattromila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 2-ter, commi 1 e 3, del Codice; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in assenza di una idonea base normativa e in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Monteiasi nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

al Comune di Monteiasi, in persona del legale rappresentante pro-tempore, con sede legale in Via Crispi, 1 - 74020 Monteiasi (TA) - C.F. 80010770735 di pagare la somma di € 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

al medesimo Comune di pagare la somma di euro € 4.000,00 (quattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 marzo 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei