g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Ladispoli - 16 settembre 2021 [9714622]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9714622]

Ordinanza ingiunzione nei confronti di Comune di Ladispoli - 16 settembre 2021

Registro dei provvedimenti
n. 325 del 16 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo da parte del sig. XX (di seguito “reclamante”), con il quale è stata contestata una violazione della normativa in materia di protezione dei dati personali derivante dalla diffusione sul sito web istituzionale del Comune di Ladispoli di propri dati personali.
Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, nell’area dedicata all’albo pretorio, tramite il link relativo allo «storico atti», compilando l’apposita maschera di ricerca è stato possibile visualizzare i seguenti documenti riferiti al reclamante:

1. determinazione dirigenziale n. XX del XX (settore avvocatura - contenzioso giudiziale e stragiudiziale), avente a oggetto «Xx» (url: http://...; http://...);

2. allegato alla determinazione dirigenziale n. XX contenente il visto di regolarità contabile (http://...);

3. determinazione dirigenziale n. XX del XX (settore avvocatura - contenzioso giudiziale e stragiudiziale), avente a oggetto «Annullamento della determinazione n. XX del XX e contestuale liquidazione dell’atto di precetto su sentenza del giudice di pace di Civitavecchia n. XX in favore del sig. XX.» (url: http://...; http://...);

4. allegato alla determinazione dirigenziale n. XX contenente il visto di regolarità contabile (http://...);

5. allegato alla determinazione dirigenziale n. XXcontenente l’atto di precetto di pagamento n. XX del XX presentato dal sig. XX nei confronti del Comune di Ladispoli (http://...).

I documenti sopraindicati contenevano dati e informazioni personali del reclamante nel testo e nell’oggetto, quali oltre il nominativo anche la data e il luogo di nascita, l’indirizzo di residenza, il codice fiscale, il codice iban personale su cui accreditare le somme dovute dal Comune, nonché dettagli particolareggiati delle vicende relative a un contenzioso giudiziario nei confronti dell’ente dinnanzi al Tribunale ordinario.

Dagli atti risulta che il reclamante si era già precedentemente rivolto al Comune per esercitare i diritti in materia di protezione dei dati personali, chiedendo l’oscuramento dei propri dati personali fra cui il nominativo, la residenza e il codice iban, ma non ha ricevuto alcun riscontro

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, con particolare riferimento al caso sottoposto all’attenzione di questa Autorità, si ricorda che i soggetti pubblici, come il Comune, possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base ai quali i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

La normativa statale di settore prevede, inoltre, che «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge» (art. 124, comma 1, d. lgs. n. 267 del 18/8/2000).

In ordine alle pubblicazione sull’albo pretorio, fin dal 2014, il Garante ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare per la diffusione di dati personali online con il provvedimento generale n. 243 del 15/5/2014, recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX dell’XX ha accertato che il Comune di Ladispoli – diffondendo i dati e le informazioni personali contenuti nei documenti pubblicati online prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

Il Comune di Ladispoli, con nota del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante»

In particolare, quanto alla condotta tenuta, l’Ente ha evidenziato, fra l’altro, che:

- il «Comune di Ladispoli [ha] provveduto ad ottemperare spontaneamente a quanto previsto dall’art. 15, comma 1, del Regolamento del Garante per la Protezione dei Dati Personali n. 1/2019, approvato con deliberazione del 04/04/2019, rimuovendo dal sito istituzionale dell’Ente, Albo Pretorio on-line - Sezione “Storico Atti”, le determinazioni dirigenziali n. XX del XX e n. XX del XX, nonché tutti i relativi allegati, inclusa la copia dell’atto di precetto di pagamento»;

-  i  «dati identificativi e personali del reclamante, relativi al nominativo, alla data e al luogo di nascita, al codice fiscale, all’indirizzo di residenza e al codice IBAN, dal medesimo riportati nell’atto di precetto di pagamento (notificato al Comune in data XX, prot. Com. n. XX), sono stati indicati nelle due determinazioni di pagamento contestate in quanto “pertinenti e non eccedenti”, in quanto finalizzati alla liquidazione ad opera del Comune della somma ivi intimata»;

- «In generale, le deliberazioni e le determinazioni dirigenziali vengono obbligatoriamente pubblicate nell’Albo pretorio on-line per quindici giorni consecutivi. Successivamente, le stesse transitano automaticamente nella Sezione “Storico Atti” dell’Albo Pretorio on-line per rimanervi accessibili per un periodo pari a cinque anni, così come disposto dall’art. 8, comma 3, del D. Lgs. 14 marzo 2013, n. 33, e ss.mm.ii., che così dispone: ‘I dati, le informazioni e i documenti oggetto di pubblicazione obbligatoria ai sensi della normativa vigente sono pubblicati per un periodo di 5 anni, decorrenti dal 1° gennaio dell’anno successivo a quello da cui decorre l’obbligo di pubblicazione, e comunque fino a che gli atti pubblicati producono i loro effetti ....»;

- «Come già detto, l’indicazione dei dati personali e dei documenti giustificativi relativi alle due determinazioni dirigenziali di liquidazione in questione è espressamente prevista dall’art. 184, comma 3, del D. Lgs. 267/2000»;

- «Si segnala, peraltro, che dal codice fiscale del soggetto sono facilmente ricavabili il luogo e la data di nascita (cd. codice fiscale inverso), mentre per quanto riguarda la residenza del reclamante, la stessa può essere facilmente estratta on-line accedendo al seguente link [indicato in atti], ove è pubblicato un elaborato tecnico peritale, redatto e sottoscritto da XX, nella sua qualità di CTU nella procedura giudiziaria di esecuzione immobiliare ivi meglio individuata, e dove peraltro risultano indicati anche il numero telefonico mobile e l’indirizzo di posta elettronica del medesimo reclamante»;

- «Detto ciò, ed in ogni caso, si ritiene che la pubblicazione on-line dei dati personali dell’odierno reclamante non possa arrecare al medesimo alcun pregiudizio o lesione della propria sfera personale, atteso che è stato proprio lo stesso reclamante a divulgare i propri dati personali in rete, con accesso consentito a tutti gli utenti del web»;

- «[…] si è deciso di procedere per il futuro alla minimizzazione dei dati personali contenuti negli atti amministrativi in pubblicazione, dando mandato al Servizio Informatico comunale di trovare il rimedio tecnico per l’oscuramento dei dati personali non necessari».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali del reclamante contenuti nelle determinazioni dirigenziali del Settore avvocatura - contenzioso giudiziale e stragiudiziale n. XX e n. XX, con i relativi allegati contenenti il visto di regolarità contabile e l’atto di precetto di pagamento presentato dal reclamante nei confronti del Comune. I predetti documenti contenevano dati e informazioni personali del reclamante nel testo e nell’oggetto, quali oltre il nominativo anche la data e il luogo di nascita, l’indirizzo di residenza, il codice fiscale, il codice iban personale su cui accreditare le somme dovute dal Comune, nonché dettagli particolareggiati delle vicende relative al contenzioso giudiziario nei confronti dell’ente dinnanzi al Tribunale ordinario.

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il Comune di Ladispoli ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti, giustificando la propria condotta sulla base della circostanza che i dati erano necessari in quanto «finalizzati alla liquidazione ad opera del Comune della somma ivi intimata» e che «l’indicazione dei dati personali e dei documenti giustificativi relativi alle due determinazioni dirigenziali di liquidazione in questione è espressamente prevista dall’art. 184, comma 3, del D. Lgs. 267/2000». Inoltre, è stato evidenziato che la pubblicazione delle determine e deliberazioni dirigenziali avviene per 15 giorni sull’albo pretorio e vi rimane per 5 anni, nello Storico atti, in applicazione dell’art. 8, comma 3, del d. lgs. n. 33/2013.

Si ritiene, tuttavia, di non poter accogliere in maniera integrale le giustificazioni addotte dal Comune per i motivi di seguito indicati.

Quanto al richiamo all’art. 184, comma 3, del d. lgs. n. 267 del 18/8/2000 – contenuto nelle memorie difensive – si rappresenta la predetta disposizione non prevede alcuna forma di pubblicità o pubblicazione obbligatoria dei documenti cui fa riferimento, ma disciplina le modalità di «liquidazione della spesa», sancendo che «L’atto di liquidazione, sottoscritto dal responsabile del servizio proponente, con tutti i relativi documenti giustificativi ed i riferimenti contabili è trasmesso al servizio finanziario per i conseguenti adempimenti». In tale contesto, è assolutamente corretto affermare, come fatto dall’ente, che il trattamento da parte del Comune dei dati personali del reclamante, contenuti nell’atto di liquidazione e nei relativi documenti giustificativi, sono necessari e pertinenti (dati identificativi, iban ecc.), ma solo limitatamente alla trasmissione «al servizio finanziario per i conseguenti adempimenti» e per la finalità della liquidazione delle somme dovute, senza che ciò possa comportare alcun automatismo nella pubblicazione sull’albo pretorio online dei documenti in questione, peraltro in forma integrale.

Alla fattispecie sottoposta all’attenzione del Garante, e inerente alla questione della diffusione di dati personali contenuti in atti e documenti oggetto di pubblicazione sull’albo pretorio online, si applica, invece, la normativa statale di settore, che prevede come «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge» (art. 124, comma 1, d. lgs. n. 267/2000).

Quanto al termine di 15 giorni previsto per la pubblicazione delle deliberazioni nell’albo pretorio, questa Autorità ha evidenziato ed è intervenuta in più occasioni per ribadire che una volta trascorso il periodo temporale previsto per la pubblicazione degli atti e documenti nell’albo pretorio «gli enti locali non possono continuare a diffondere i dati personali in essi contenuti [in quanto], si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi […]» (Linee guida in materia di trasparenza, cit. parte seconda, par. 3.a). A tal proposito, la permanenza nel web di dati personali contenuti nelle deliberazioni degli enti locali oltre il termine di quindici giorni, previsto dall´art. 124 del citato d. lgs. n. 267/2000, «può integrare una violazione del suddetto art. 19, comma 3, del Codice [n.d.r. oggi riprodotto nell’art. 2-ter, commi 1 e 3, del Codice], laddove non esista un diverso parametro legislativo o regolamentare che preveda la relativa diffusione […]» (ibidem). Ciò non impedisce certamente agli «enti locali [di] continuare a mantenere nel proprio sito web istituzionale gli atti e i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell´ente», tuttavia, in relazione ai soli dati personali, è necessario apportare «gli opportuni accorgimenti per la relativa tutela» provvedendo «una volta trascorso il periodo di pubblicazione previsto [dal testo unico degli enti locali, e in mancanza di una diversa base normativa,] a oscurare nella documentazione pubblicata i dati e le informazioni idonei a identificare, anche in maniera indiretta, i soggetti interessati» (ibidem).

Sul punto, non è possibile accogliere l’eccezione proposta dal Comune secondo la quale gli atti pubblicati sull’albo pretorio online devono invece rimanere pubblicati sul sito web istituzionale per 5 anni, nello Storico atti, ai sensi dell’art. 8, comma 3, del d. lgs. n. 33/2013.

Ciò in quanto, come espressamente affermato anche dall’Autorità Nazionale Anticorruzione (ANAC) – che rappresenta l’Autorità incaricata della vigilanza sugli obblighi di pubblicazione online per finalità di trasparenza contenuti nel d. lgs. n. 33/2013 (cfr. art. 45) – «La tenuta nell’albo pretorio, anche a seguito della disposta sostituzione della forma cartacea con la previsione dell’inserimento on line, non rientra direttamente nell’ambito di applicazione delle norme in materia di trasparenza amministrativa di cui al d.lgs. 33/2013. Di conseguenza, non compete ad ANAC la vigilanza sulla pubblicazione dei documenti e delle informazioni pubblicate nell’albo pretorio on-line» e la «durata della pubblicazione dei documenti nell’albo pretorio on line non coincide, poiché inferiore, con la durata della pubblicazione dei dati sui siti istituzionali entro la sezione “Amministrazione trasparente” che l’art. 8, co. 3, del d.lgs. n. 33/2013 fissa a cinque anni» (cfr. ANAC, «FAQ in materia di trasparenza (sull’applicazione del d.lgs. n. 33/2013 come modificato dal d.lgs. 97/2016)», nn. 1.5 e 1.8, in http://www.anticorruzione.it/portal/public/classic/MenuServizio/FAQ/Trasparenza).

Analogamente, anche questa Autorità ha fornito specifiche indicazioni al riguardo con le Linee guida in materia di trasparenza citate, evidenziando che «vanno distinte, considerato il profilo del diverso regime giuridico applicabile, le disposizioni che regolano gli obblighi di pubblicità dell’azione amministrativa per finalità di trasparenza [a cui si applica il regime previsto dal d. lgs. n. 33/2013 (termine di 5 anni di mantenimento del documento sul web, obbligo di indicizzazione, possibilità di riutilizzo, ecc.)] da quelle che regolano forme di pubblicità per finalità diverse» (cfr. «Introduzione»). In tale quadro, «devono ritenersi estranei all´oggetto del […] decreto legislativo [n. 33/2013] tutti gli obblighi di pubblicazione previsti da altre disposizioni per finalità diverse da quelle di trasparenza, quali gli obblighi di pubblicazione a fini di pubblicità legale, pubblicità integrativa dell´efficacia, pubblicità dichiarativa o notizia (già illustrati in forma esemplificativa nell´“Introduzione” e presi in considerazione nella parte seconda delle presenti Linee guida». Fra tali ipotesi rientrano chiaramente le disposizioni sulla tenuta dell’albo pretorio negli enti locali che prevedono l’obbligo di affissione all’albo pretorio a fini di pubblicità legale di tutte le deliberazioni del comune e della provincia per quindici giorni consecutivi (art. 124, commi 1 e 2, del d. lgs. n. 267/2000), a cui di conseguenza non è applicabile il regime di pubblicità pari a di cinque anni, previsto dall’art. 8 del d. lgs. n. 33/2013.

In ogni caso, in più occasioni è stato ricordato che persino la presenza di uno specifico regime di pubblicità, non può comportare alcun automatismo rispetto alla diffusione online dai dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali di provenienza europea, previsti dal RGPD, quali – fra gli altri – quello di «minimizzazione», in base al quale i dati personali – anche contenuti in atti o documenti la cui diffusione online sia prevista da una specifica base normativa – devono essere non solo «adeguati» e «pertinenti», ma anche «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c).

Ciò è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel RGPD, alla luce del quale è inoltre previsto che il titolare del trattamento debba mettere «in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento» («data protection by default») e debba essere «in grado di dimostrare» – alla luce del principio di «responsabilizzazione» («accountability») – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, RGPD).

Pertanto, anche sotto tale profilo, la diffusione dei dati e delle informazioni del reclamante inerenti alla data e al luogo di nascita, all’indirizzo di residenza, al codice fiscale, al codice iban personale su cui accreditare le somme dovute dal Comune, risulta non conforme al principio di «minimizzazione» (art. 5, par. 1, lett. c, del RGPD), in quanto i predetti dati non sono «limitati a quanto necessario rispetto alle finalità» di pubblicità legale sull’albo pretorio online.

Quanto alla circostanza evidenziata nelle memorie difensive che alcuni dati personali (indirizzo e recapiti di studio del reclamante) erano presenti in altro documento che risulta pubblicato online, non si comprende come tale elemento possa essere utile per valutare se la relativa diffusione online da parte del Comune – unitamente a tutte le altre informazioni del reclamante pubblicate online dall’Ente (iban, codice fiscale, vicende giudiziarie nei confronti del Comune) – era effettivamente necessaria per l’esercizio delle funzioni istituzionali dell’ente e se i dati personali erano effettivamente «limitati a quanto necessario rispetto alle finalità per le quali sono [stati] trattati» (artt. 5, par. 1, lett, c; 6, par. 1, lett. e, RGPD).

Si fa, inoltre, presente che in ogni caso, nessuna disposizione di legge o di regolamento prevede la pubblicazione online della copia integrale dell’atto di precetto del reclamante.

Il Comune, pertanto, avrebbe dovuto effettuare le predette valutazioni, provvedendo in primo luogo a riscontrare la richiesta di esercizio dei diritti e di oscuramento dei dati personali, formulata dal reclamante nel XX. In tal modo, il soggetto interessato non avrebbe avuto necessità di effettuare un reclamo al Garante con apertura di una specifica istruttoria che ha portato al presente procedimento.

6. Esito dell’istruttoria relativa al reclamo presentato

Per tutto quanto sopra descritto, le circostanze evidenziate negli scritti difensivi esaminate nel loro complesso, sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.

Ciò anche considerando che sin dal 2014 l’Autorità, nelle Linee guida in materia di trasparenza e pubblicazione online sopra citate, ha fornito a tutte le pp.aa. specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali dei soggetti interessati, anche con specifico riferimento alle cautele da adottare per la pubblicazione degli atti nell’albo pretorio online e nello storico degli atti dell’ente.

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota n. XX dell’XX e si rileva che la diffusione online dei dati personali del reclamante contenuti nelle determinazioni dirigenziali (settore avvocatura - contenzioso giudiziale e stragiudiziale) n. XX e n. XX e nei relativi allegati (fra cui l’atto di precetto di pagamento n. XX del XX, pubblicati sul sito web istituzionale del Comune di Ladispoli ha comportato un trattamento non conforme alla disciplina rilevante in materia di protezione dei dati personali.

Nello specifico, la diffusione online in questione dei dati personali del reclamante sopradescritti risulta:

a)  non conforme al principio di «minimizzazione» dei dati – con riferimento all’indicazione in chiaro della data e del luogo di nascita, del codice fiscale, della residenza e del codice iban – in quanto gli stessi non sono «limitati a quanto necessario rispetto alle finalità per le quali sono trattati», in violazione dell’art. 5, par. 1, lett. c), del RGPD;

b) priva di idonei presupposti normativi per il periodo eccedente i quindici giorni previsti dall’art. 124, comma 1, del d. lgs. n. 267/2000 per la pubblicazione nell’albo pretorio, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD;

c)  priva di idonei presupposti normativi, in violazione dell’art. 2-ter, commi 1 e 3, del Codice; nonché dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, con riferimento alla diffusione dei dati personali contenuti nell’allegato alla determinazione dirigenziale n. XX riportante l’atto di precetto di pagamento n. XX del XX presentato dal sig. XX nei confronti del Comune di Ladispoli.

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali oggetto di contestazione dell’Ufficio dal sito web istituzionale, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)

Il Comune Ladispoli risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché l’art. 2-ter, commi 1 e 3, del Codice.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso in esame.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali risulta di natura colposa ed ha avuto a oggetto la diffusione online di dati personali per circa quattro anni riferiti a un solo soggetto interessato, non appartenenti a categorie particolari né a condanne penali o reati (artt. 9 e 10, del RGPD). Ai fini della valutazione della condotta rileva tuttavia anche che, come risulta dagli atti, il reclamante si era già precedentemente rivolto al Comune per esercitare i diritti in materia di protezione dei dati personali e lo stesso non avrebbe avuto necessità di effettuare uno specifico reclamo al Garante con l’apertura della presente procedimento se il Comune avesse effettuato le corrette valutazioni, provvedendo in primo luogo proprio a riscontrare la richiesta di esercizio dei diritti e di oscuramento dei dati richiesto dal soggetto interessato. Si tiene altresì conto del fatto che il Comune di Ladispoli è un ente di medie dimensioni (quasi 40.000 abitanti), che, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alla violazione, attenuandone i possibili effetti negativi. Nel riscontro al Garante sono state, inoltre, descritte diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD e non risultano, in ogni caso, eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 7.000,00 (settemila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD, nonché dell’art. 2-ter, commi 1 e 3, del Codice; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla diffusione di dati personali online in assenza di una idonea base normativa e in violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Ladispoli nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD

ORDINA

al Comune di Ladispoli, in persona del legale rappresentante pro-tempore, con sede legale in p. Giovanni Falcone, 1 - 00055 Ladispoli (RM) – C.F. 02641830589 di pagare la somma di € 7.000,00 (settemila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;

INGIUNGE

al medesimo Comune di pagare la somma di euro € 7.000,00 (settemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;

- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 settembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi