g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Comune di Villafranca di Verona - 10 novembre 2022 [9834986]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9834986]

Ordinanza ingiunzione nei confronti di Comune di Villafranca di Verona - 10 novembre 2022

Registro dei provvedimenti
n. 366 del 10 novembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione.

Con reclamo è stata lamentata la pubblicazione, nell’Albo Pretorio online e successivamente anche nell’albo pretorio storico del Comune di Villafranca di Verona (di seguito “il Comune”), del provvedimento dirigenziale n. XX del XX, contenente dati personali del reclamante.

In particolare dal reclamo è emerso che, “a seguito dello spostamento di sede di lavoro [presso il Comune] tramite l’istituto della mobilità [il reclamante comunicava all’Ufficio del Personale] di procedere alle trattenute della busta paga per il prestito cessione del quinto”. In seguito alla predetta comunicazione, l’Ufficio del personale avrebbe pubblicato “all’Albo pretorio il provvedimento dirigenziale n.XX del XX e, successivamente anche all’albo pretorio storico,” contenente il nome e cognome del reclamante, l’indicazione della cifra decurtata dallo stipendio, la durata della cessione del quinto, i dati della banca concessionaria corredati dal codice iban.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX) il Comune, in risposta a una richiesta di informazioni formulata dall’Ufficio, ha dichiarato, in particolare, che:

- “La pubblicazione delle determinazioni all’albo pretorio trae la sua origine dall’art. 47 della legge 142/1990, poi confluito nell’art. 124 del D.Lgs. 267/2000, che prevede l’obbligo di pubblicare all’albo pretorio tutte le deliberazioni, per 15 giorni consecutivi. […Inoltre] il Comune di Villafranca ha inserito, nel proprio regolamento degli uffici e dei servizi, l’obbligo di pubblicazione all’albo pretorio di tutte le determinazioni dirigenziali. Infatti l’art. 32, comma 4, del regolamento sull’ordinamento degli uffici e dei servizi del Comune di Villafranca di Verona prevede che “le determinazioni sono pubblicate per quindici giorni consecutivi all'albo pretorio online del Comune a fini conoscitivi";

- “per quanto riguarda l’inserimento nei provvedimenti dei dati relativi a nome, cognome, luogo e data di nascita dei dipendenti pubblici “tutti gli atti e provvedimenti comunali e provinciali (anche se contenenti i dati, relativi al nome, cognome, luogo e data di nascita dei dipendenti) sono pubblici, in ottemperanza all’art. 10 “Diritto di accesso e di informazione” del D.Lgs. 267/2000”;

- “nel caso in esame di cessione di quota mensile dello stipendio per rimborso di un prestito contratto da dipendente comunale, il provvedimento che prende atto della cessione deve obbligatoriamente indicare il nome, cognome, luogo e data di nascita del dipendente altrimenti la banca concessionaria non avrebbe gli elementi per individuare il lavoratore richiedente il prestito e, quindi, non erogherebbe il prestito chiesto dal medesimo. In altri termini senza questi dati il provvedimento non realizzerebbe il fine cui è preordinato”;

- “trattasi di dati che chiunque può conoscere a proprio piacere ai sensi dell’art. 33, comma 1, del D.P.R. 223/89, che recita “L’ufficiale di anagrafe rilascia a chiunque ne faccia richiesta, fatte sale le limitazioni di legge, i certificati concernenti la residenza e lo stato di famiglia”. Pertanto detti dati (nome, cognome luogo e data di nascita) sono già pubblici per loro natura, in virtù della disposizione di legge appena citata”;

- “per lo stesso motivo il provvedimento in questione deve anche indicare la quota mensile ceduta, la decorrenza della ritenuta, la durata della cessione, i dati della banca concessionaria e l’iban della medesima banca (i dati della banca e il suo iban sono comunque già pubblici in quanto riportati nelle informazioni online riferite alla banca), [per tale motivo] tutti i dati indicati risultano indispensabili per consentire di definire la procedura di finanziamento richiesta dalla dipendente e per consentire all'ufficio personale e all’ufficio ragioneria di procedere ai relativi pagamenti a favore dell’Istituto di credito”;

- “la pubblicazione del provvedimento così formulato è fatta in ossequio ai citati art. 32, comma 4, del regolamento comunale sull’ordinamento degli uffici e dei servizi e dell’art. 10, comma 1, del D.Lgs, 267/2000 ed è resa possibile in quanto la pubblicazione e divulgazione dei dati appena citati non rientra (in modo espresso) tra quelli vietati”;

- “si conferma che, come sostenuto dalla reclamante, il provvedimento de quo è stato pubblicato per 15 giorni all’albo pretorio on line e successivamente all’albo storico on line fino al XX, e che, a parere di questa Amministrazione entrambe le pubblicazioni non sono vietate per le motivazioni sopra scritte. A questo si aggiunga che la determinazione ha un oggetto anonimizzato (e cioè: “Cessione di quota mensile dello stipendio per rimborso di un prestito contratto da dipendente comunale”) e con tale oggetto è stata pubblicata, fin dall’origine, all'Albo Pretorio on line del Comune di Villafranca di Verona; inoltre tale provvedimento, pur essendo pubblicato sul sito istituzionale del Comune, non risultava indicizzato sui motori di ricerca e, pertanto, l'ambito di conoscibilità del provvedimento medesimo era comunque ridotto”;

- “il contenuto del provvedimento in questione non consente, nemmeno indirettamente, di desumere notizie di natura sanitaria o giudiziaria della dipendente, ma semplicemente dati del tutto neutri, necessari per l'esecuzione di un contratto di finanziamento che la stessa dipendente ha sottoscritto sulla scorta di una opportunità alla stessa concessa dalla normativa vigente (legge n. 180/1950) in quanto dipendente pubblico, acconsentendo fra l’altro espressamente, in sede di richiesta del suddetto finanziamento, al trattamento di tutti i dati necessari alla finalità richiesta; detti dati sono stati poi trattati dagli uffici del Comune nel rispetto delle finalità istituzionali e degli obblighi di legge. La completa anonimizzazione dell’intero contenuto del provvedimento non avrebbe consentito di raggiungere lo scopo per cui il provvedimento era stato prodotto”.

Con nota del XX (prot. n.XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Titolare, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a) e c) e 6, del Regolamento nonché dell’art. 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n.XX), il Comune ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “la determinazione n. XX del XX è stata pubblicata all’albo pretorio per 15 giorni (dal XX al XX) e successivamente nell’archivio storico dal XX fino al XX (quindi per meno di tre mesi). I dati personali in essa contenuti sono limitati al nome e cognome della dipendente. Il codice iban indicato nella determinazione non è quello della dipendente ma della banca concessionaria, reperibile nella documentazione on line diffusa dalla stessa banca. È stato inserito nella determinazione in quanto dato indispensabile […]. Il nome e cognome della dipendente e spesso anche il luogo e la data di nascita ed, inoltre, talvolta il Comune di residenza e voci stipendiali, è ampiamente visibile on line, basta cliccare il cognome “Amato” sui siti dei Comuni dove la stessa è venuta in contatto e anche su Google e altri motori di ricerca”;

- “peraltro i dati diffusi (nome e cognome) sono accessibili a tutti, ai sensi dell’art. 33, comma 1, del D.P.R. 223/89, senza la necessità di dimostrare alcun interesse, a tal punto che l’ufficiale di stato civile ha l’obbligo di rilasciare a chiunque i certificati di residenza e lo stato di famiglia”;

- “oltre al nome e cognome della dipendente, la determinazione in questione indica la quota mensile del mutuo, la decorrenza e la durata della cessione (in quanto, come detto più avanti, dati indispensabili affinché la determinazione raggiungesse la finalità per la quale è stata adottata). Trattasi di dati che non rientrano tra quelli espressamente previsti come “particolari” o giudiziali”;

- secondo quanto rappresentato dal Comune “i riferimenti normativi che legittimano la pubblicazione all’albo pretorio dell’Ente, della determinazione in questione sono: “l’art. 10, comma 1, del D.Lgs. 267/2000 che sancisce il principio generale secondo il quale “Tutti gli atti dell’amministrazione comunale e provinciale sono pubblici ad eccezione di quelli riservati per espressa indicazione di legge …”;

- “l’art. 32, comma 4, del regolamento degli uffici e dei servizi del Comune di Villafranca di Verona che dispone(va) “le determinazioni sono pubblicate per quindici giorni consecutivi all’albo pretorio on line del Comune a fini conoscitivi”. Lo stesso obbligo di pubblicazione è previsto dal successivo art. 33, comma 1, del medesimo regolamento per i restanti atti adottati dai dirigenti (concessioni, autorizzazioni, ordinanze gestionali, ecc.)”;

- “l’art 7-bis del D.Lgs 33/2013, intitolato, “Riutilizzo dei dati pubblicati”, che, al comma 4, dispone “Nei casi in cui norme di legge o di regolamento prevedano la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione”. In base a tale disposizione gli Enti possono pubblicare, ai sensi delle norme sopra citate (art. 10 del D.Lgs. 267/2000 e artt. 32 del citato regolamento comunale), i provvedimenti contenenti dati personali rendendoli intelligibili, qualora pertinenti”;

- “in base al programma informatico, le determinazioni che vengono pubblicate all’albo pretorio, trascorsi 15 giorni, “passano” automaticamente nell’archivio storico, senza l’intervento manuale di un operatore. In base a tale programma è possibile evitare la pubblicazione della determinazione nell’archivio storico solo se viene effettuata una specifica richiesta al Servizio Informativo Comunale (SIC), il quale può “forzare”, di volta in volta il programma, ed impedire la pubblicazione della determinazione nell’archivio storico”;

- “risulta oggi chiaro, anche alla luce dei rilievi del Garante, che questo sistema informatico presenta una “falla” in quanto, al momento della scelta se pubblicare la determina all’albo pretorio e in quale link, doveva essere prevista […] una ulteriore voce che chiede all’operatore se la determina deve poi transitare o meno nell’archivio storico, in modo che una eventuale pubblicazione nell’archivio storico diventi una scelta consapevole e ragionata dell’operatore”;

- “al fine di ovviare a tale inconveniente informatico, su cui la nota del garante ha fatto scaturire una doverosa riflessione e la consapevolezza che il sistema descritto, dal punto di vista operativo, “non funziona”, l’Ente […], ha adottato una modificazione al regolamento sull’ordinamento degli uffici e dei servizi che dispone: la limitazione della pubblicazione all’albo pretorio (e non più anche nell’archivio storico) dei soli oggetti delle determinazioni […] salvo le pubblicazioni rese obbligatorie in modo espresso dalla legge sulla trasparenza;  la sottrazione dalla regola della pubblicazione all’albo pretorio degli oggetti di tutte le determinazioni […]; con tale modifica anche le determinazioni analoghe a quella cui si discute non saranno più pubblicate, né come oggetto né come testo, all’albo pretorio (e ovviamente nell’archivio storico) on line”.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (cfr. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

3.2 La diffusione dei dati personali.

Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, il Comune ha pubblicato, sul sito web istituzionale, sezione Albo Pretorio, e successivamente anche all’albo pretorio storico, il provvedimento dirigenziale n.XX del XX, contenente i dati personali del reclamante.

Preliminarmente si rappresenta che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, dovendosi considerare “identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome […]” (art. 4, par. 1, n. 1) del Regolamento) per cui l’amministrazione locale che ha intenzione di pubblicare sull’albo pretorio online un atto contenente dati personali è tenuta a verificare, anche per i dati comuni, l’esistenza di una norma di legge o di regolamento che le prescriva l’affissione di quell’atto all’albo pretorio. Sebbene codesto Comune abbia dichiarato che la pubblicazione della determinazione in questione sarebbe avvenuta ai sensi dell’art. 124, nonché dell’art.10 comma 1, del TUEL - e dell’art. 32, comma 4, del proprio regolamento sull’ordinamento degli uffici e dei servizi - non ha indicato alcuna specifica e idonea base giuridica che legittimi la pubblicazione di una determinazione contenente informazioni relative al procedimento di cessione di una quota mensile dello stipendio per il rimborso di un prestito contratto dal dipendente, come nel caso di specie, riportando informazioni riguardanti vicende connesse alla vita privata del dipendente.

In più occasioni è stato precisato dal Garante che anche la presenza di uno specifico regime di pubblicità, non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali (v. provv. del 25 febbraio 2021, n. 68, doc web 9567429). Ciò è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, Regolamento). In numerose decisioni, in particolare in merito agli obblighi derivanti dall’art. 124 del d.lgs. 267/2000, invocato dal Comune, il Garante ha ribadito che anche alle pubblicazioni nell’albo pretorio online si applicano tutti i limiti previsti dai principi della protezione dei dati con riguardo alla liceità e alla minimizzazione dei dati (cfr. parte II, par. 3.a. delle citate linee guida).

Peraltro la pubblicazione della determina nella sua versione integrale si è protratta anche oltre il termine dei 15 giorni previsto dalla normativa di settore relativa alla pubblicità sull’albo pretorio, essendo rimasta visibile anche successivamente nell’archivio storico del sito del Comune fino al XX. Come rappresentato dal Comune, infatti, “in base al programma informatico, le determinazioni che vengono pubblicate all’albo pretorio, trascorsi 15 giorni, “passano” automaticamente nell’archivio storico”.

Si rappresenta, inoltre, che la circostanza che i dati pubblicati fossero “ampiamente visibili online” non consente di ritenere lecito il trattamento posto in essere dal Comune, in quanto le informazioni personali rese pubblicamente conoscibili online non sono liberamente riutilizzabili da chiunque e per qualsiasi scopo, dovendosi di volta in volta valutare “se, per quali finalità e secondo quali limiti e condizioni eventuali utilizzi ulteriori dei dati personali resi pubblici possano ritenersi leciti alla luce del "principio di finalità" e degli altri principi di matrice europea in materia di protezione dei dati personali” (v., proprio in ambito lavorativo, il provv.ti del Garante n.56 del 12 marzo 2020, doc. web n. 9429218 e n.106 del 25 marzo 2021, doc. web 9584421).

Né può essere invocata la norma che prevede che “l'ufficiale di anagrafe rilascia a chiunque ne faccia richiesta […] i certificati concernenti la residenza, lo stato di famiglia degli iscritti nell'anagrafe nazionale della popolazione residente, nonché ogni altra informazione ivi contenuta”(art.33, comma 1, del D.P.R. 223/89) in quanto i dati personali pubblicati in pubblici registri, elenchi, atti o documenti conoscibili da chiunque possono essere trattati con i limiti e le modalità che le leggi di settore applicabili stabiliscono per la conoscibilità e pubblicità dei dati, in ossequio al principio di "limitazione della finalità", in base al quale i dati personali devono essere "raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità" (art. 5, par. 1, lett. b) del Regolamento).

L’art 7-bis del d.lgs. 14 marzo 2013, n. 33, inoltre, richiamato dal Comune nel corso dell’istruttoria, recita, al comma 3, che “le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l'obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall'articolo 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti”.

Considerato che il d.lgs. 33 del 2013, per quanto sopra rappresentato, non contiene alcuna disposizione che preveda la pubblicazione obbligatoria della tipologia di atti oggetto del reclamo - e non avendo, inoltre, il Comune comprovato l’esistenza di una specifica norma di legge che obblighi l’ente a pubblicare il provvedimento dirigenziale n.XX - nel predetto atto che è stato pubblicato non doveva essere riportato alcun dato personale del reclamante. Il Comune avrebbe dovuto ricorrere, se del caso, alla tecnica degli “omissis” o ad altre misure di anonimizzazione dei dati (cfr., sul punto, provv.ti del 27 gennaio 2021, n. 34, doc. web n. 9549165, 2 luglio 2020, n. 118, doc. web n. 9440025 e 2 luglio 2020, n. 119, doc. web n. 9440042). 

Va ricordato, inoltre, che questa Autorità, già nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provv. n. 243 del 15 maggio 2014, doc. web n. 3134436) ha chiarito che “il principio generale del libero riutilizzo di documenti contenenti dati pubblici, stabilito dalla disciplina nazionale ed europea, riguarda essenzialmente documenti che non contengono dati personali oppure riguarda dati personali opportunamente aggregati e resi anonimi” (cfr.par.6 delle linee guida).

La diffusione dei dati personali del reclamante, contenuti nel provvedimento dirigenziale n.XX del XX, è, pertanto, avvenuta in maniera non conforme ai principi di protezione dei dati e in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e c), e 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver diffuso, mediante pubblicazione online, il provvedimento dirigenziale n.XX del XX, contenente i dati personali del reclamante riguardante il procedimento di cessione di una quota mensile dello stipendio per il rimborso di un prestito contratto dallo stesso, in assenza di una base giuridica, in violazione degli artt. 5, 6 del Regolamento nonché dell’art.2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - atteso che la diffusione dei dati è cessata in data XX - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che la rilevata condotta ha avuto ad oggetto la diffusione di dati personali riguardanti delicate vicende personali del reclamante, con possibili ripercussioni negative sul piano reputazionale per l’interessato, nonché il mancato rispetto delle indicazioni che, da tempo, il Garante, ha fornito a tutti i soggetti pubblici sin dal 2014 con le  linee guida sopra richiamate (v. anche “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico"  del 14 giugno 2007, doc. web n. 1417809).

Di contro, si è tenuto favorevolmente in considerazione che la violazione non ha riguardato categorie particolari di dati personali e che ha coinvolto un solo interessato. La pubblicazione nell’Albo pretorio della determinazione in questione è avvenuta senza alcuna indicizzazione sui siti generalisti. Non risultano, inoltre, precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000 (quattromila) per la violazione degli artt. 5, par. 1, lett. a) e c), 6, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che l’atto oggetto di diffusione online conteneva i riferimenti a una delicata vicenda personale dell’interessato, riguardante il procedimento di cessione di una quota mensile dello stipendio per il rimborso di un prestito, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Titolare per violazione degli artt. 5, par. 1, lett. a) e c), 6 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139), nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Comune di Villafranca di Verona, in persona del legale rappresentante pro-tempore, con sede legale in Corso Giuseppe Garibaldi 24 – 37069, Villafranca di Verona (VR), C.F.00232070235, di pagare la somma di euro 4.000 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Comune, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 novembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei