g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Sora - 16 settembre 2021 [9713735]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9713735]

Ordinanza ingiunzione nei confronti di Comune di Sora - 16 settembre 2021

Registro dei provvedimenti
n. 323 del 16 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto una segnalazione, con la quale è stata contestata una violazione della normativa in materia di protezione dei dati personali da parte del Comune di Sora determinata dalla diffusione di dati personali sul sito web istituzionale.

Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, dal sito web istituzionale del predetto Comune, tramite il link situato in homepage «Albo pretorio», è possibile selezionare l’area dedicata allo «Storico atti» tramite cui, compilando l’apposita maschera di ricerca, risultava possibile visualizzare la determinazione XX, avente a oggetto «XX».

Con la predetta delibera veniva approvata la graduatoria dei soggetti aventi diritto a un contributo economico per il pagamento del canone, riservato a coloro che – come riportato nel relativo avviso pubblico – risultavano possessori di un «reddito complessivo familiare pari o inferiore a € 28.000,00 lordi per l’anno XX e una riduzione superiore al 30% del reddito complessivo del nucleo familiare per cause riconducibili all’emergenza epidemiologica da Covid-19 nel periodo XX».

Alla predetta determina risultava allegato il file, liberamente visualizzabile e scaricabile, denominato «XX», che riportava in chiaro tutti i dati personali ivi contenuti, quali nominativo, contributo economico assegnato, importo del canone di abitazione mensile e annuo dei 210 soggetti beneficiari, nonché il nominativo di n. 15 soggetti che, invece, non erano stati ammessi al beneficio economico con indicazione dei relativi motivi (es.: domanda pervenuta fuori termine o riproposta, mancanza di firma, ecc.).

La citata graduatoria era, inoltre, direttamente scaricabile dall’url: https://...

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, con particolare riferimento al caso sottoposto all’attenzione di questa Autorità, si ricorda che i soggetti pubblici, come il Comune, possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base ai quali i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

La normativa statale di settore in materia di trasparenza prevede, con riferimento agli «obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati», che «Le pubbliche amministrazioni pubblicano gli atti di concessione delle sovvenzioni, contributi, sussidi ed ausili finanziari […], e comunque di vantaggi economici di qualunque genere a persone […] di importo superiore a mille euro» nel corso dell’anno solare. In ogni caso, «È esclusa la pubblicazione dei dati identificativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati» (art. 26, commi 2-4, del d. lgs. n. 33 del 14/3/2013).

In ordine alla diffusione online di dati personali di soggetti beneficiari di contributi economici, fin dal 2014, il Garante ha fornito specifiche indicazioni alle pubbliche amministrazioni sulle cautele da adottare, con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).

Nelle Linee guida del Garante sopra citate, è espressamente sancito, con riferimento all’obbligo di pubblicazione degli atti di concessione di benefici economici (parte prima, par. 9.e), che «lo stesso d. lgs. n. 33/2013 individua una serie di limiti all’obbligo di pubblicazione di atti di concessione di benefici economici comunque denominati. Non possono, infatti, essere pubblicati i dati identificativi delle persone fisiche destinatarie dei provvedimenti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici, nonché gli elenchi dei relativi destinatari:

a) di importo complessivo inferiore a mille euro nel corso dell’anno solare a favore del medesimo beneficiario;
[…]

c) di importo superiore a mille euro nel corso dell’anno solare a favore del medesimo beneficiario “qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati” (art. 26, comma 4, d. lgs. n. 33/2013)».

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Sora – diffondendo i dati e le informazioni personali contenuti nei documenti pubblicati online prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive e audizione.

Il Comune di Sora, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, quanto alla condotta tenuta, l’amministrazione ha evidenziato, fra l’altro che:

- la «graduatoria, pubblicata per 10 gg. nel solo […] albo pretorio comunale per la dovuta informazione e ammissione di reclami e/o rettifiche, […] riporta solo un nome e cognome e nessun altro elemento identificativo tale da rendere riconoscibile in modo non equivoco la persona fisica quali, l’ubicazione, codice fiscale, identificativo online, né riporta alcuna caratteristica sulla identità fisiologica genetica psichica della persona»;

- «Il solo nome e cognome non porta ad una individuazione certa della persona attesa la possibilità di omonimia, né può ritenersi sufficiente per un indiscusso riconoscimento, attesa l’assenza di ulteriori elementi identificativi quali l’indicazione della residenza, cod. fiscale, data di nascita»;

- «Nel Comune di Sora […] ci sono numerosi casi di omonimia, come facilmente verificabile se si accede ai registri anagrafici»;

- «I dati ricevuti in ogni caso sono stati trattati con lealtà e limitati a quanto necessario rispetto alla finalità per la quale sono stati trattati»;

- «Si segnala che nessuno dei soggetti richiamati nel provvedimento osservato è stato sottoposto a situazioni di disagio sociale e morale derivante dalla pubblicazione dei dati. Né, nel contempo ha segnalato né verbalmente né formalmente lesioni a seguito dell’inserimento nella graduatoria»;

- «La pubblicazione della graduatoria è obbligatoria, finalizzata a tutelare il diritto di ognuno di accedere alla propria richiesta e/o di proporre reclamo e/o rettifiche»;

- «Lo stesso Garante ha più volte ribadito, dopo aver verificato la sussistenza dell’obbligo di pubblicazione dell’atto o del documento nel proprio sito web istituzionale, che il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto»;

- «Nella graduatoria pubblicata i dati riportati sono strettamente necessari e proporzionati alle finalità della obbligatoria informazione ai fini della proposizione di eventuali reclami e/o rettifiche»;

- «Si rappresenta ancora che nessun rilevamento è stato effettuato in ordine allo stato di disagio delle persone atteso che, nella graduatoria non è riportato alcun elemento in riferimento al reddito posseduto, né tantomeno alla riduzione del 30 % del reddito complessivo del nucleo familiare, quali requisiti prescritti dalla delibera regionale citata per l’accesso al beneficio»;

- «Il contributo, al pari di quelli erogati all’aziende di trasporto pubblico, o trasporto scolastico e commercianti ad esempio, è finalizzato ad interventi straordinari per locazioni per effetto del disagio nazionale pandemico a seguito delle misure restrittive nazionale di contenimento epidemiologico, quindi ben diverso da quelli di disagio sociale per stato di povertà»;

- «Comunque l’Ente avuto contezza del rilievo [dell’]Autorità ha prontamente provveduto a rimuovere dall’Albo Pretorio del Comune – Sezione “Storico Atti” la determina n. 215 con i relativi allegati contattando immediatamente il gestore della piattaforma informatica che ha tempestivamente adempiuto».

In data XX si è, inoltre, svolta l’audizione richiesta dal Comune di Sora ai sensi dell’art. 166, comma 6, del Codice in occasione della quale, ad integrazione di quanto già riportato nelle memorie difensive, è stato rappresentato che:

- «l’ente non aveva alcuna intenzione di violare la normativa in materia di protezione dei dati personali, avendo rispettato le Linee guida del Garante del 2011 e successive. I dati identificativi dei soggetti beneficiari non sono riconducibili a destinatari di provvedimenti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici tali da poter ricavare informazioni relative alla situazione di disagio economico-sociale degli interessati. Di fatto i dati non sono riferiti a soggetti che normalmente si trovano in stato di disagio economico-sociale, ma a soggetti che occasionalmente hanno avuto una riduzione del reddito derivante dalla situazione di emergenza epidemiologica al pari delle tante categorie (commercianti, imprenditori e lavoratori etc…) destinatarie di altri contributi straordinari. Inoltre, dalla graduatoria non era possibile evincere il reddito dei beneficiari».

- «Dalle citate linee guida del Garante in relazione alle provvidenze di natura economica emerge che gli enti locali hanno l’obbligo di pubblicare gli elenchi dei beneficiari nel rispetto del principio di “Necessità”. Le graduatorie sono state pubblicate nell’albo pretorio online per permettere entro 10 giorni di presentare eventuali osservazioni e/o reclami e poi sono state trasferite nella sezione storica dell’albo online a causa di un automatismo del software utilizzato».

- «La graduatoria pubblicata era provvisoria ed è stata resa disponibile online, in linea con le disposizioni della Regione Lazio (deliberazione della Giunta n. XX del XX e la nota esplicativa della Regione Lazio del XX prot.n. XX – allegato n. 1 al presente verbale), al fine di dare la possibilità agli utenti di poter verificare la propria posizione e presentare eventuale ricorso e/o osservazioni. Si fa inoltre presente che i destinatari dei contributi erano anche persone anziane e la pubblicazione della graduatoria ha facilitato la conoscenza della propria posizione garantendo le finalità proprie di “conoscenza” delle graduatorie, in un momento tra l’altro dove la consultazione e la conoscenza era resa particolarmente difficoltosa per la chiusura degli uffici pubblici a causa della Pandemia da covid 19 e non poteva essere garantita in modo pieno ed esaustivo tramite l’accesso diretto agli uffici».

-  «Il Comune ha rispettato il principio di pertinenza e non eccedenza, considerando che il reddito dei destinatari dei contributi non era indicato nella graduatoria. I soggetti inseriti nella stessa non erano immediatamente identificabili in quanto era presente il solo nome e cognome, ma non anche altri dati che potevano renderli effettivamente individuabili (quali il codice fiscale, residenza, data di nascita). Occorre inoltre considerare la presenza sul territorio di numerosi casi di omonimia, ciò nel rispetto del principio di “minimizzazione”».

- «Il periodo di emergenza sanitaria è stato un periodo difficile per gli enti locali e per il Comune di Sora, in particolar modo per la consistente carenza di personale. La presenza nell’Ente di soli due dirigenti a fronte di una previsione in organico di sei Dirigenti, il disagio della nuova modalità lavorativa in smartworking dei pochi dipendenti in servizio hanno contribuito e rendere oltremodo difficoltoso gli adempimenti connessi agli interventi straordinari varati dal Governo e dalla Protezione Civile nei confronti della cittadinanza. Il Comune di Sora è un ente di medie dimensioni di circa 27.000 abitanti. Nel periodo considerato il settore servizi sociali è stato gestito da soli tre dipendenti con evidente aggravio di lavoro, dato il numero e la complessità degli interventi da effettuare. In tale periodo sono stati erogati più di 450.000 euro per oltre 1000 unità familiari».

- «Non bisogna tralasciare la pressione da parte dei consiglieri di minoranza che hanno chiesto insistentemente di rendere trasparenti i nominativi dei destinatari dei contributi straordinari Covid. L’eccezionalità degli eventi legati al particolare periodo storico considerato ha comportato l’adozione di decisioni d’urgenza e immediate. A ciò si aggiunge la difficoltà interpretativa della normativa in materia di trasparenza e protezione dei dati personali, il cui bilanciamento di norma non facile in condizioni ordinarie, lo è ancora di più in quelle straordinarie».

- «A questo Ente inoltre nessun reclamo e/o lamentele è pervenuto da parte dei nominativi riportati nella graduatoria per violazione della privacy». 

- «[…] è stato interessato il dirigente di riferimento affinché proceda celermente presso il gestore del sistema informatico per l’adeguamento del sistema di archiviazione degli atti pubblicati in modo coerente alle direttive emanate dal Garante e a definire la procedura di nomina del responsabile del trattamento dei dati».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali (quali nominativo, importo del canone di abitazione mensile e annuo pagato, contributo economico assegnato per il pagamento del predetto canone, nonché nominativo di soggetti non ammessi al beneficio economico con indicazione dei relativi motivi), contenuti nell’allegato alla determinazione XX».

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il Comune di Sora ha confermato, sia nelle memorie difensive che in sede di audizione, l’avvenuta diffusione online dei dati personali sopra descritti, ritenendo la relativa pubblicazione «obbligatoria», in quanto «finalizzata a tutelare il diritto di ognuno di accedere alla propria richiesta e/o di proporre reclamo e/o rettifiche», «in linea con le disposizioni della Regione Lazio (deliberazione della Giunta n. XX del XX e la nota esplicativa della Regione Lazio del XX prot. n. XX […]». Al riguardo, l’Ente ha evidenziato in particolare che «le graduatorie sono state pubblicate nell’albo pretorio online per 10 giorni […]» e poi sono state trasferite nella sezione storica dell’albo online «a causa di un automatismo del software utilizzato».

Ciò nonostante – contrariamente a quanto sostenuto dal Comune – né dagli atti dell’istruttoria, né dalla deliberazione della Regione Lazio citata nelle memorie difensive e in sede di audizione, emergono elementi che possano supportare l’obbligatorietà della pubblicazione online dei dati personali dei soggetti interessati e l’esistenza di un idoneo presupposto normativo per la diffusione di dati personali ai sensi dell’art. 2-ter, commi 1 e 3, del Codice, laddove è prevista la possibilità per i soggetti pubblici di diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento».

Per le finalità dichiarate dal Comune, inoltre, quali la tutela del diritto dei partecipanti «di accedere alla propria richiesta e/o di proporre reclamo e/o rettifiche», ben potevano essere utilizzati strumenti meno invasivi della pubblicazione sul sito web istituzionale. Si pensi – ad esempio – a semplici forme di accesso selettivo ad aree riservate del sito web istituzionale che permettono la consultazione delle informazioni rilevanti ai soli soggetti che hanno presentato la domanda per ottenere il beneficio economico; mediante l’attribuzione a questi ultimi di credenziali di autenticazione (es. username o password, oppure altri strumenti di autenticazione forniti dall’amministrazione o previste dal d. lgs. n. 82 del 7/3/2005, Codice dell'amministrazione digitale-CAD).

Quanto al merito, al caso in esame risulta applicabile la disciplina statale in materia di trasparenza, che prevede una espressa eccezione all’obbligo di pubblicazione da parte delle pp.aa. degli «atti di concessione delle sovvenzioni, contributi, sussidi ed ausili finanziari […], e comunque di vantaggi economici di qualunque genere a persone […] di importo superiore a mille euro», nel caso in cui dalla «pubblicazione dei dati identificativi delle persone fisiche destinatarie dei [citati] provvedimenti» sia possibile «ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati» (art. 26, commi 2-4, del d. lgs. n. 33 del 14/3/2013). Tali dati personali, pertanto, ai sensi della normativa statale richiamata non possono essere oggetto di diffusione online.

Sul punto, il Comune ha sostenuto tuttavia l’inapplicabilità della predetta disciplina, in quanto i nominativi diffusi online dei soggetti beneficiari non sarebbero stati idonei a identificare univocamente la persona fisica, considerando che non erano accompagnati ad altre informazioni. Secondo la tesi dell’ente «Il solo nome e cognome non porta ad una individuazione certa della persona attesa la possibilità di omonimia, né può ritenersi sufficiente per un indiscusso riconoscimento, attesa l’assenza di ulteriori elementi identificativi quali l’indicazione della residenza, cod. fiscale, data di nascita». Tale interpretazione, tuttavia, non può essere accolta, in quanto contraria alla definizione di «dato personale» contenuta nella disciplina europea di protezione dei dati prima richiamata di cui all’art. 4, par. 1, n. 1, del RGPD, secondo la quale anche solo il nome e cognome di una persona fisica rientra indiscutibilmente nella predetta definizione, a nulla rilevando la possibilità che, in generale, in un Comune di medie dimensioni (come il Comune di Sora) possano esserci dei casi omonimia, che in ogni caso riguarderebbero solo un numero residuale e certamente non riguardano tutti i 225 soggetti interessati contenuti nella graduatoria pubblicata online.

Analogamente, non può essere accolta l’eccezione del Comune secondo la quale «nessun rilevamento è stato effettuato in ordine allo stato di disagio delle persone atteso che, nella graduatoria non è riportato alcun elemento in riferimento al reddito posseduto, né tantomeno alla riduzione del 30 % del reddito complessivo del nucleo familiare». Ciò in quanto tali informazioni, anche se non indicati nella graduatoria, coincidevano con i requisiti specificamente richiesti dall’avviso pubblico per la concessione del beneficio economico, che era riservato solo ai soggetti possessori di un «reddito complessivo familiare pari o inferiore a € 28.000,00 lordi per l’anno XX e una riduzione superiore al 30% del reddito complessivo del nucleo familiare per cause riconducibili all’emergenza epidemiologica da Covid-19 nel periodo XX».

L’amministrazione ha inoltre giustificato la propria condotta nella convinzione che i dati identificativi dei soggetti beneficiari potevano essere diffusi online conformemente all’art. 26, comma 4, del d. lgs. n. 33/2013, in quanto non «riconducibili a destinatari di provvedimenti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici tali da poter ricavare informazioni relative alla situazione di disagio economico-sociale degli interessati». Ciò perché «i dati non [erano] riferiti a soggetti che normalmente si trova[va]no in stato di disagio economico-sociale, ma a soggetti che occasionalmente hanno avuto una riduzione del reddito derivante dalla situazione di emergenza epidemiologica al pari delle tante categorie (commercianti, imprenditori e lavoratori etc…) destinatarie di altri contributi straordinari».

Al riguardo, tuttavia, occorre ricordare che il divieto previsto dall’art. 26, comma 4, del d. lgs. n. 33/2013 di diffondere per finalità di trasparenza dati identificativi di soggetti beneficiari di contributi economici da cui si possa desumere informazioni relative «alla situazione di disagio economico-sociale degli interessati» – come evidenziato anche dal Garante nelle Linee guida in materia di trasparenza – è «un divieto funzionale alla tutela della dignità, dei diritti e delle libertà fondamentali dell’interessato (art. 2 del Codice), al fine di evitare che soggetti che si trovano in condizioni disagiate – economiche o sociali – soffrano l´imbarazzo della diffusione di tali informazioni, o possano essere sottoposti a conseguenze indesiderate, a causa della conoscenza da parte di terzi della particolare situazione personale» (cfr. parte prima, par. 9.e).

La normativa statale di riferimento si applica a tutte le situazioni di possibile disagio economico-sociale, senza distinguere fra quelle temporanee o durature, per cui – in tale ottica e ai fini dell’applicazione dell’eccezione alla diffusione del dato identificativo prevista dall’art. 26, comma 4, del d. lgs. n. 33/2013 – non è possibile effettuare una distinzione, come sostenuto dal Comune, fra soggetti «che normalmente si trova[va]no in stato di disagio economico-sociale» (a cui si applicherebbe il divieto di pubblicazione), dai soggetti «che occasionalmente hanno avuto una riduzione del reddito derivante dalla situazione di emergenza epidemiologica» (che invece non rientrerebbero nell’eccezione prevista dal citato art. 26, comma 4). Ciò in quanto tale differenziazione – peraltro non aderente alla ratio dalla norma – appare in ogni caso del tutto sproporzionata e in contrasto con il principio di «correttezza» e «limitazione della finalità» del trattamento di cui all’art. 5, par. 1, lett. a) e c), del RGPD.

D’altronde anche nelle Linee guida del Garante citate è stato precisato che comunque – alla luce del principio di necessità, pertinenza e non eccedenza (oggi tutti confluiti nel più generale principio di «minimizzazione» dei dati di cui all’art. 5, part. 1, lett. c, del RGPD) – non risulta «giustificato diffondere, fra l’altro, dati quali, ad esempio, […] la ripartizione degli assegnatari secondo le fasce dell’Indicatore della situazione economica equivalente-Isee, l’indicazione di analitiche situazioni reddituali, di condizioni di bisogno […], etc.» (ivi).

Per tutto quanto sopra considerato – contrariamente a quanto ritenuto dal Comune di Sora – si ritiene che la diffusione dei dati identificativi di soggetti aventi diritto a un contributo economico per il pagamento del canone unitamente alla circostanza che gli stessi siano possessori di un «reddito complessivo familiare pari o inferiore a € 28.000,00 lordi per l’anno XX e una riduzione superiore al 30% del reddito complessivo del nucleo familiare per cause riconducibili all’emergenza epidemiologica da Covid-19 nel periodo XX» (requisito per essere ammessi al beneficio economico) non sia conforme al divieto di diffusione per finalità di trasparenza dei dati identificativi di soggetti beneficiari di contributi economici da cui si possa desumere informazioni relative «alla situazione di disagio economico-sociale degli interessati» previsto dall’art. 26, comma 4, del d. lgs. n. 33/2013. Ciò in quanto la diffusione delle predette informazioni è idonea in ogni caso a far conoscere a un pubblico generalizzato la particolare situazione economica della famiglia dei soggetti interessati, associata al relativo reddito annuo non particolarmente elevato. Inoltre, in ogni caso, la diffusione delle informazioni relative al reddito complessivo annuo della famiglia dei soggetti interessati è del tutto sproporzionata rispetto alla finalità di trasparenza prevista dalla disciplina di settore, in quanto i dati diffusi non sono «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» in violazione del principio di minimizzazione (art. 5, par. 1, lett. c, del RGPD; Linee guida del Garante in materia di trasparenza, parte prima, par. 9.e).

Si evidenzia, infine, che dagli atti dell’istruttoria risulta che il contributo economico provvisorio erogato è inferiore a mille euro per il singolo beneficiario e che nei documenti pubblicati online sono indicati anche i dati personali dei soggetti che non sono risultati beneficiari di alcun contributo economico. La pubblicazione di tali dati e informazioni personali non risulta supportata da alcuna idonea disposizione normativa (legge o, nei casi previsti dalla legge, regolamento) che possa giustificarne la diffusione online, ai sensi dell’art. 2-ter, commi 1 e 3, del Codice o dell’art. 26, commi 2-3, del d. lgs. n. 33/2013.

6. Esito dell’istruttoria relativa alla segnalazione presentata

Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza e pubblicazione online sopra citate, ha fornito a tutte le pp.aa. specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali dei soggetti interessati.

In tale quadro – pur comprendendo il difficile bilanciamento tra esigenze di trasparenza e protezione dei dati personali soggetta a valutazione, caso per caso, da parte del titolare del trattamento soprattutto in relazione all’identificazione di fattispecie in cui i provvedimenti di erogazione di benefici economici rivelino l´esistenza di una situazione di disagio economico o sociale in cui versa il soggetto interessato che non ne consente la divulgazione – si confermano le valutazioni preliminari dell’Ufficio contenute nella nota prot. n. XX del XX e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune di Sora, in quanto:

a) sono stati diffusi dati di soggetti beneficiari di contributi economici inferiori a mille euro riservati a soggetti con un basso reddito familiare e che hanno ricevuto una riduzione superiore al 30% per cause riconducibili all’emergenza epidemiologica da Covid-19, idonei a rivelare una situazione di disagio economico-sociale degli interessati, in assenza di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice e dell’art. 26, commi 2-4, del d. lgs. 33/2013; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;

b) sono stati diffusi informazioni relative al reddito familiare annuo dei soggetti beneficiari del contributo economico per il canone di locazione in violazione del principio di minimizzazione (art. 5, par. 1, lett. c, del RGPD);

c) sono stati altresì diffusi dati di soggetti che non sono stati ammessi ad alcun beneficio economico in assenza di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice, nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto «a rimuovere dall’Albo Pretorio del Comune – Sezione “Storico Atti” la determina n. 215 con i relativi allegati» e di essersi attivato «presso il gestore del sistema informatico per l’adeguamento del sistema di archiviazione degli atti pubblicati in modo coerente alle direttive emanate dal Garante», fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

Il Comune di Sora risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice (cfr. anche art. 26, commi 2-4, del d. lgs. 33/2013).

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa ed ha avuto a oggetto la diffusione online di dati personali, per quasi 11 mesi, non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD), riferiti a circa 225 soggetti interessati. Il Comune di Sora è in ogni caso un ente di medie dimensioni (circa 26.000 abitanti), che ha peraltro evidenziato le difficoltà incontrate dall’ente durante il periodo di pandemia e la scarsità di risorse umane disponibili al momento. Al riguardo, si ritiene di dover tenere in considerazione, quali circostanze attenuanti, quanto dichiarato in sede di audizione, laddove sono state evidenziate le problematiche legate alla «chiusura degli uffici pubblici a causa della Pandemia da covid 19», e «in particolar modo [al]la consistente carenza di personale», nonché il fatto che «Nel periodo considerato il settore servizi sociali è stato gestito da soli tre dipendenti con evidente aggravio di lavoro, dato il numero e la complessità degli interventi da effettuare» e che «In tale periodo sono stati erogati più di 450.000 euro per oltre 1000 unità familiari». Inoltre, l’amministrazione ha rappresentato come «La presenza nell’Ente di soli due dirigenti a fronte di una previsione in organico di sei Dirigenti, il disagio della nuova modalità lavorativa in smartworking dei pochi dipendenti in servizio hanno contribuito e rendere oltremodo difficoltoso gli adempimenti connessi agli interventi straordinari varati dal Governo e dalla Protezione Civile nei confronti della cittadinanza», nonché che «L’eccezionalità degli eventi legati al particolare periodo storico considerato ha comportato l’adozione di decisioni d’urgenza e immediate [a cui] si aggiunge la difficoltà interpretativa della normativa in materia di trasparenza e protezione dei dati personali, il cui bilanciamento di norma non facile in condizioni ordinarie, lo è ancora di più in quelle straordinarie». Si rileva altresì che l’amministrazione, ha dichiarato che «nessun reclamo e/o lamentele è pervenuto [al Comune] da parte dei nominativi riportati nella graduatoria per violazione della privacy» e che comunque – a seguito della richiesta dell’Ufficio – l’ente è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 5.000,00 (cinquemila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 2 e 3, del Codice (cfr. anche art. 26, commi 1-4, del d. lgs. 33/2013); quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in assenza di una idonea base normativa e in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Sora nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

al Comune di Sora, in persona del legale rappresentante pro-tempore, con sede legale in Corso Volsci, 111 - 03039 Sora (FR) - C.F. 00217140607 di pagare la somma di € 5.000,00 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

al medesimo Comune di pagare la somma di euro € 5.000,00 (cinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l'annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 settembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi