[doc. web n. 9999973]

Provvedimento del 22 febbraio 2024

Registro dei provvedimenti
n. 103 del 22 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione

Con reclamo presentato in data XX ai sensi dell’art. 77 del Regolamento, nei confronti del Comune di Civita Castellana (di seguito il “Comune”) e della S.A.T.E. S.p.a. (Servizi Ambiente Territorio Energia,  di seguito la “Società”), i Sigg. XX, XX e XX hanno rappresentato di aver ricevuto una comunicazione, ai sensi dell’art. 34 del Regolamento, con la quale il Comune informava gli interessati di essere venuto a conoscenza, per il tramite della Società, – in qualità di gestore del servizio di raccolta dei rifiuti-, “della possibilità di una illegittima diffusione, attraverso social media, di dati personali particolari appartenenti ad alcuni cittadini […] nell’ambito del servizio di raccolta e smaltimento dei rifiuti, protetto nel rispetto delle norme anti Covid-19”.

In particolare, come già rappresentato dal Comune nella notifica di violazione dei dati personali inviata all’Autorità, ai sensi dell’art. 33 del Regolamento, in data XX (nota prot. n. XX del XX), la suddetta diffusione – avvenuta nel mese di XX – consisteva nella messa a disposizione “Su WhatsApp e poi su Facebook [… di] una foto del documento interno con cui l'Ente ha notiziato la società SATE S.p.a., gestore del servizio di raccolta dei rifiuti, delle abitazioni in cui risiedono soggetti per i quali deve essere attivata una particolare forma di raccolta legata all'emergenza epidemiologica da Covid-19”, per un totale di nove interessati coinvolti.

2. L’attività istruttoria

In occasione delle verifiche effettuate per accertare quanto rappresentato nel reclamo e nella notifica di violazione dei dati personali, l’Ufficio, con una prima nota del XX (prot. n. XX), ha invitato il Comune a fornire ogni informazione utile in relazione alla vicenda sopra rappresentata, ai sensi dell’art. 157 del Codice. Il Comune, con nota del XX ha fornito riscontro alla suddetta richiesta di informazioni dichiarando che:

- “In data XX la ASL di Viterbo […] comunicava al Commissario Prefettizio del Comune di Civita Castellana […] della positività al Covid di alcuni cittadini di Civita Castellana, per i conseguenti adempimenti ai fini dell’adozione di misure di contenimento del virus Sars Covid 19, inviando specifico elenco dei cittadini positivi o in quarantena”;

- “Ricevuta la comunicazione il Commissario Prefettizio del Comune di Civita Castellana, […] disponeva l’attivazione delle procedure anti Covid-19 previste dall’Ente e già in uso dall’inizio della pandemia. Tali procedure prevedevano due comunicazioni di servizio interno: la prima rivolta al Comandante della Polizia Locale […] ai fini dell’attivazione della vigilanza domiciliare dei soggetti affetti dal virus, la seconda rivolta alla società S.A.T.E. S.p.a., gestore del servizio integrato di raccolta e smaltimento dei rifiuti, ai fini dell’attivazione dei sevizi speciali di raccolta e smaltimento differenziato dei rifiuti provenienti da abitazione con presenza di soggetti affetti dal virus Sars Covid-19 […]”;

- “Con riferimento al caso oggetto di indagine, nella mattina del XX, su disposizione del Commissario Prefettizio del Comune di Civita Castellana […] sono state inviate, come da prassi, due distinte comunicazioni: la prima indirizzata al Comandante della Polizia Locale […] contenente l’elenco integrale trasmesso dalla ASL di Viterbo, per l’attivazione della vigilanza domiciliare e per i controlli di rispettiva competenza, la seconda inviata con pec alla società S.A.T.E. S.p.a. contente un elenco minimizzato nelle informazioni contenute (cognome e nome solo iniziali puntate, indirizzo integrale, data inizio e fine isolamento […]. Entrambi tali comunicazioni di servizio sono state inviate con la dicitura GARANTIRE LA MASSIMA RISERVATEZZA E TUTELA DELLA PRIVACY”;

- “In data XX il Commissario Prefettizio del Comune di Civita Castellana […] veniva contattato dalla ASL di Viterbo, notiziandolo di aver appreso che su WhatsApp e su Facebook era apparsa una foto del documento interno con cui l’Ente aveva notiziato la società S.A.T.E. S.p.a. ai fini della raccolta di rifiuti speciali”;

- “In data XX, […] l’Amministratore Delegato della S.A.T.E. S.p.a., ad integrazione della precedente comunicazione, ha comunicato che in data XX ha presentato denuncia-querela dei fatti accaduti, e di essersi attivata per acquisire elementi volti ad accertare sia le modalità con cui si è verificato l’evento, nonché eventuali responsabili per ogni ulteriore e previsto obbligo di legge”;

- “In data XX il Commissario Prefettizio del Comune di Civita Castellana […] inviava alla società S.A.T.E. S.p.a. […] una comunicazione di violazione dei dati personali […] con la quale, con riferimento a quanto accaduto, chiedeva di tenere tempestivamente informato il Comune di Civita Castellana circa gli esiti dell’indagine in corso […]”.

A seguito di una ulteriore richiesta di informazioni (nota prot. n. XX del XX), il Comune, con nota dell’X, ha dichiarato, tra l’altro:

- “Il Garante richiede all’amministrazione il contratto o altro atto giuridico con il quale è stato regolato il rapporto con la S.A.T.E. S.p.a., e ciò sull’errato convincimento dell’applicabilità alla fattispecie de qua dell’art. 28 del Regolamento […] Invero, a parere della scrivente tale disposizione non è conferente ai fatti oggetto di indagine, in quanto i rapporti in questione sono inquadrabili nella diversa ipotesi della titolarità autonoma del trattamento e non già in quella descritta dal citato art. 28 GDPR, applicabile laddove il trattamento viene svolto dal Responsabile per conto di un Titolare”;

- “La S.A.T.E. S.p.a. è una società mista pubblico-privata affidataria del servizio di raccolta e smaltimento dei rifiuti. In tale contesto, esaminata la tipologia del servizio affidato e le finalità dei trattamenti dei dati effettuati dai due soggetti coinvolti, appare evidente la diversa, distinta ed autonoma titolarità dei trattamenti in capo al Comune di Civita Castellana e alla S.A.T.E. S.p.a.”.

Da ultimo, con nota del XX, in risposta ad un’ulteriore richiesta di informazioni del XX (prot. n. XX) il Comune ha altresì chiarito:

- “alla società S.A.T.E. S.p.a., gestore del servizio di raccolta dei rifiuti, è stato trasmesso un elenco minimizzato delle sole informazioni necessarie a poter individuare l’abitazione e l’utenza del soggetto al quale attivare l’apposita procedura di raccolta. Le iniziali puntate servivano ad individuare il soggetto al quale consegnare i kit, l’indirizzo per individuare il punto di raccolta, l’inizio e la fine dell’isolamento per individuare il periodo nel quale svolgere il particolare servizio di raccolta COVID. Nulla quaestio, come previsto dall’art. 6 par. 1 lett. e) del Regolamento (UE) 2016/679, sulla liceità della trasmissione dei dati personali in oggetto, necessaria per l’esecuzione di un compito di interesse pubblico e connesso a pubblici poteri come è la raccolta dei rifiuti; trasmissione, tra l’altro, prevista dalla legislazione speciale disposta durante nell’emergenza sanitaria Covid-19 e nel rispetto delle disposizioni impartite dall’Istituto Superiore di Sanità con il Rapporto ISS COVID-19 n. 3/2020. Ad ogni buon conto la comunicazione è avvenuta tramite PEC istituzionale dell’Ente all’indirizzo della società S.A.T.E. S.p.a. […] RISERVATA nella quale specificatamente viene precisato GARANTIRE LA MASSIMA RISERVATEZZA E TUTELA DELLA PRIVACY”;

-“Non può non sottolinearsi come l’unico soggetto responsabile della diffusione della comunicazione contenente i dati minimizzati sia da ricercarsi nella S.A.T.E. S.p.A., poiché gli operatori ivi addetti, dopo aver ricevuto la pec dallo scrivente Ente, contrariamente alle indicazioni fornite (“… garantire la massima riservatezza e tutela della privacy …”), hanno proceduto alla stampa del messaggio e alla sua affissione nella bacheca aziendale, senza mettere in atto alcuna azione atta a garantire quanto richiesto dall’Ente, ossia GARANTIRE LA MASSIMA RISERVATEZZA E TUTELA DELLA PRIVACY. In ogni caso, da informazioni acquisite sull’accaduto, la diffusione dei dati in oggetto è avvenuta solo all’interno di una chat Whatsapp e, quindi, tra un numero molto limitato di persone”;

- “Per quanto attiene alla richiesta del Garante di trasmissione del contratto o altro atto giuridico ai sensi dell’art. 28 del Regolamento, si reiterano le deduzioni difensive già inoltrate in punto di titolarità autonoma del trattamento. […] A parere dello scrivente non colgono nel segno i riferimenti del Garante alla notifica della violazione dei dati personali del XX e alla asserita contraddittorietà tra la notifica stessa e le deduzioni dell’Ente in punto di titolarità autonoma. D'altronde, l’errore di valutazione compiuto dal Comune nella comunicazione di violazione dei dati in relazione ai rapporti titolare/responsabile tra amministrazione comunale e affidataria del servizio non può condurre ad affermare la colpevolezza dell’Ente, il quale appunto deve essere inquadrato come un Titolare autonomo del trattamento al pari della S.A.T.E. S.p.A.”;

- “Come in precedenza esposto, la S.A.T.E. S.p.a. è una società mista pubblico-privata affidataria del servizio di raccolta e smaltimento dei rifiuti. I rapporti tra la stazione appaltante e la società sono disciplinati da un contratto sottoscritto nel 2001 ed integrato nel 2011, ovvero in epoca antecedente all’entrata in vigore del GDPR. Il servizio di raccolta COVID è stato introdotto da una normativa speciale dettata in un periodo di emergenza sanitaria che nulla ha a che fare con la raccolta ordinaria dei rifiuti che è stata svolta anche in tale periodo con le consuete modalità. Il trattamento effettuato dalla S.A.T.E. S.p.A. per svolgere il servizio di raccolta COVID è stato direttamente disciplinato dalla normativa speciale in vigore nel periodo di emergenza sanitaria. I protocolli sanitari hanno determinato le finalità di quella tipologia di trattamento dei dati personali. Con le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” […], è stato stabilito che il termine “determina” inserito nell’art. 4, paragrafo 7 del Regolamento, significa che […] il titolare del trattamento è il soggetto che esercita effettivamente un’influenza determinante sulle finalità e sui mezzi del trattamento stesso […e che] “… determinare le finalità e i mezzi equivale a decidere, rispettivamente, il «perché» e il «come» del trattamento: data un’operazione di trattamento specifica, il titolare del trattamento è il soggetto che ha determinato il perché del trattamento (ovverosia «a quale fine» o «per che cosa» viene svolto) e come tale obiettivo è raggiunto (ovverosia quali mezzi sono impiegati per conseguirlo) …” e ancora che […] “… lo scambio degli stessi dati o insiemi di dati tra due soggetti in assenza di finalità o mezzi di trattamento determinati congiuntamente dovrebbe essere considerato una trasmissione di dati tra titolari del trattamento distinti …”. Sul punto si precisa che i mezzi (“il come del trattamento”) impiegati dall’affidataria del servizio per raggiungere l’obiettivo del ritiro dei rifiuti COVID sono stati autonomamente determinati dalla S.A.T.E. S.p.A. che, tra l’altro, era obbligata a rispettare i protocolli sanitari e la normativa emergenziale. Quanto sopra viene sottolineato al solo fine di corroborare la tesi della titolarità autonoma del trattamento dei dati personali tra l’Ente e la società nel complessivo contesto dell’affidamento del servizio di raccolta. Ed è proprio in tale contesto che vanno ricercate le risposte alle richieste documentali avanzate dal Garante. Invero, da un lato, non si rinviene, agli atti dell’Ente, un contratto o altro atto giuridico disciplinante i rapporti con la S.A.T.E. S.p.A., ai sensi dell’art. 28 del regolamento, in virtù della ferma convinzione della diversa, distinta ed autonoma “titolarità” dei trattamenti (considerate anche la tipologia del servizio originario affidato e le finalità dei trattamenti dei dati dei due soggetti coinvolti) e, dall’altro, nella particolare fattispecie del servizio di raccolta COVID (oggetto di indagine), è lecito ritenere come il Comune di Civita Castellana abbia adottato tutte le opportune cautele nell’effettuare la trasmissione della comunicazione a mezzo pec del XX […]”;

- “In relazione al presente procedimento è stato coinvolto, nell’immediatezza dell’accaduto, il Responsabile della protezione dei dati […], con il quale è stata condivisa la notifica della violazione dei dati personali e successivamente in relazione alla gestione del reclamo l’attuale Responsabile della protezione dei dati, […] Quello che emerge e che, a differenza di quanto avvenuto in oltre due anni prima e dopo l’evento del XX, nessuna altra violazione è avvenuta nella gestione delle informazioni inviate dall’Ente alla SATE S.p.a. per la gestione del servizio di raccolta rifiuti in modalità Covid-19”;

- “L’univocità dell’evento e l’estrema limitazione della diffusione dei dati (avvenuta solo all’interno di una chat Whatsapp e, quindi, tra un numero molto limitato di persone) sono i caratteri distintivi di quanto accaduto, la cui causa deve essere esclusivamente ricondotta nella non corretta tutela e gestione delle informazioni inviate dall’Ente da parte della SATE S.p.a. e dei suoi operatori, […]”;

- “In conclusione si ritiene che una attenta e complessiva valutazione di quanto accaduto […] non potrà non arrivare alla conclusione che, al netto del formalismo di quanto disposto dall’art. 28 del regolamento (qualora ritenuto necessario nella fattispecie esaminata), l’attività posta in essere dall’Ente sia stata informata al pieno rispetto della normativa speciale introdotta dal legislatore durante la gestione della fase pandemica per limitare la diffusione del virus Covid-19 e delle disposizioni in materia introdotte dall’Istituto Superiore di Sanità (Rapporto ISS COVID-19 n. 3/2020) e dallo stesso Garante (FAQ 7), così come della normativa in materia di protezione dei dati personali e soprattutto lecita in quanto necessaria per l’esecuzione di un compito di interesse pubblico e connesso a pubblici poteri come è la raccolta dei rifiuti COVID”.

Per completezza, si rappresenta che la Società, in risposta ad una richiesta di informazioni del XX da parte dell’Ufficio, con nota del XX ha specificato che “Il rapporto giuridico che intercorre tra il comune e la società ai sensi dell’articolo 28 è costituito da un contratto di servizio […]”.

Con riferimento alla condotta del Comune, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, ha notificato allo stesso, in data XX (prot. n. XX) ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver agito:

- in maniera non conforme al principio di “responsabilizzazione”, in violazione degli artt. 5, par. 2 e 24 del Regolamento, non avendo adottato politiche e misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme al Regolamento;

- in violazione dell’art. 28 del Regolamento, per aver agito in assenza di un accordo scritto idoneo a regolare i rapporti relativi alla protezione dei dati con la Società, responsabile del trattamento.

Il Comune, con l’atto sopra citato, è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge 24 novembre 1981, n. 689).

Con nota del XX, il Comune ha presentato una memoria difensiva, dichiarando, in particolare, che:

“[…] ciò che viene preliminarmente contestato non è come i dati sono stati trattati, bensì come sono stati diffusi. In altre parole non viene censurato il fatto che l’Ente abbia comunicato dati sensibili al gestore del servizio di raccolta dei rifiuti, o le modalità con le quali ciò è avvenuto, bensì che questi sono stati diffusi dalla stessa società in modo ultroneo rispetto alla finalità per i quali sono stati alla stessa comunicati”;

“Da ciò ne discende chiaramente, […] che chi ha violato il principio della riservatezza dei dati non è il Comune, bensì la società incaricata del servizio SATE S.p.a. ed in particolare i suoi dipendenti”;

“E’ infatti un dato certo e ormai pacifico, all’esito dell’istruttoria condotta da codesta Autorità e per stessa ammissione della società SATE S.p.a., che il motivo per cui il trattamento dei dati è stato ultroneo rispetto alla comunicazione è da ricondurre alla condotta fraudolenta del personale della società che ha diffuso in una chat Whatsapp informazioni che dovevano rimanere riservate ed utilizzate per svolgere il servizio assegnato in sicurezza”;

“Si contesta, altresì, che la mancata stipula di un contratto o atto giuridico con la società sopra citata ha comportato l’assenza di definizione di istruzioni (cfr. par. 3 dell’art. 28 citato) atte a garantire una maggiore conformità del trattamento dei dati personali. Ciò è testimoniato proprio dalla diffusione illecita in esame, che, seppur riconducibile – sulla base dell’istruttoria in corso -alla responsabilità della società, è stata avallata proprio dall’assenza di precise e idonee misure di sicurezza e organizzative capaci di garantire il rispetto della disciplina in materia di protezione dei dati personali e diffondere una maggiore sensibilità su tale tematica”;

“Quindi il secondo motivo di contestazione [da parte dell’Autorità] è che la causa della diffusione ultronea della comunicazione è da imputare nella mancata stipula di un contratto o atto giuridico con la società sopra citata ha comportato l’assenza di definizione di istruzioni atte a garantire una maggiore conformità del trattamento dei dati personali ai sensi del par. 3 dell’art. 28 del Regolamento. Al riguardo si osserva che nella gestione dell’emergenza sanitaria della fase pandemica da Covid-19 il Comune ha svolto semplicemente una funzione di tramite tra la ASL, titolare del dato sanitario, e la società affidataria del servizio di raccolta e smaltimento dei rifiuti, chiamata a svolgere l’attività in sicurezza”;

“Il Comune si è limitato esclusivamente a trattare il dato inviato dalla ASL, minimizzandolo allo stretto necessario per fornire le informazioni necessarie alla società affidataria del servizio di raccolta e smaltimento dei rifiuti per l’esecuzione del servizio di raccolta Covid, secondo le disposizioni impartite dall’Istituto Superiore di Sanità con il Rapporto ISS COVID-19 n. 3/2020, ciò al fine di garantire e tutelare la salute dell’operatore addetto dal rischio contagio, contemperandola con la riservatezza dei dati personali”;

“Seppur tra l’Ente e la società SATE S.p.a. la trasmissione dei dati è stata effettuata senza l’osservanza della formalità prevista dall’art. 28 del Regolamento non avendo stipulato in forma scritta un contratto o da altro atto giuridico che vincolasse la stessa in qualità  di responsabile del trattamento al titolare del trattamento […] deve essere assolutamente precisato che la comunicazione è avvenuta tramite PEC istituzionale dell’Ente all’indirizzo della società S.A.T.E. S.p.a. […] RISERVATA nella quale specificatamente viene precisato GARANTIRE LA MASSIMA RISERVATEZZA E TUTELA DELLA PRIVACY”;

“Pertanto deve essere assolutamente rilevato e tenuto conto che non è assolutamente vero che l’Ente, in qualità di titolare del dato, ha omesso di mettere in atto misure tecniche e organizzative adeguate per garantire che il trattamento fosse effettuato conformemente al regolamento, violando il principio di accountabilty di cui l’art. 5, paragrafo 2, e l’art. 24 del Regolamento. L’unica cosa rilevabile è che non ha stipulato in forma scritta un contratto o un altro atto giuridico che vincolasse la SATE S.p.a. in qualità di responsabile del trattamento al titolare del trattamento”;

“Ciò, a giudizio di questo Ente, deve portare nell’ambito di una corretta ed equa valutazione del fatto accaduto e di una eventuale provvedimento sanzionatorio, a bilanciare da un lato la necessaria ed obbligatoria attività di trasmissione di dati necessari al contenimento del contagio del virus Covid-19, da ritenersi preminente rispetto al mancato rispetto del formalismo dell’art. 28 del Regolamento.

“Seppur non specificatamente osservato quanto disposto dall’art. 28 del Regolamento, la trasmissione dei dati dall’Ente alla SATE S.p.a. è stata accompagnata dall’adozione di misure atte a tutela la riservatezza e la privacy […]. Tutto ciò premesso è assolutamente chiaro che l’unico soggetto responsabile della diffusione ultronea della comunicazione contenente i dati minimizzati sia da ricercarsi nella S.A.T.E. S.p.A., poiché gli operatori ivi addetti, dopo aver ricevuto la pec dallo scrivente Ente, contrariamente alle indicazioni fornite (“… garantire la massima riservatezza e tutela della privacy …”), hanno proceduto alla stampa del messaggio e alla sua affissione nella bacheca aziendale, senza mettere in atto alcuna azione atta a garantire quanto richiesto dall’Ente, ossia GARANTIRE LA MASSIMA RISERVATEZZA E TUTELA DELLA PRIVACY”;

“Alla luce di quanto sopra illustrato ed argomentato si ritiene che, seppur possa essere accertata una responsabilità dell’Ente per non aver puntualmente osservato quanto prescritto dall’art. 28 del Regolamento, è incontrovertibile come al tempo stesso siano state messe in atto idonee misure per evitare la diffusione di dati personali, e che per ciò è avvenuto la responsabilità concreta deve essere ricercata esclusivamente nei confronti della SATE S.p.a. e del suo personale, […]”.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (v. verbale prot. n. XX del XX), il Comune ha dichiarato, in particolare, che:

“Ad integrazione di quanto già in atti, si precisa che il rapporto tra il Comune e la società SATE s.p.a., sotto il profilo della protezione dei dati personali, non era regolamentato ai sensi dell’art. 28 del GPDR all’epoca della vicenda in esame”;

“La comunicazione dei dati dei soggetti positivi al Covid da parte del Comune alla SATE s.p.a., gestore del servizio di raccolta dei rifiuti, è avvenuta via pec riservata, nel rispetto delle misure di sicurezza dei dati e garantendone la massima riservatezza. La trasmissione di quei dati era prevista da una disciplina speciale vigente al momento del COVID”;

“La comunicazione era necessaria per tutelare i lavoratori e i cittadini e il Comune si è attenuto rigorosamente alle disposizioni impartite dall’Istituto Superiore di Sanità, tra l’altro trovandosi in un momento eccezionale festivo (XX)”;

“La procedura era stata precedentemente concordata con la Sate s.p.a. La diffusione è stata limitata a pochissime persone, si è trattato di una foto scattata da un operatore della Sate s.p.a. ad una comunicazione affissa su una bacheca posta all’interno della sede di lavoro e girata su una chat privata”;

Il contratto con la SATE s.p.a. risale al 2001, da poco è stato ridefinito il rapporto contrattuale con la società […] Il Comune precisa che il rapporto con la SATE s.p.a., ai sensi dell’art. 28 del GDPR, è stato regolato nel XX. […] il Comune ha cercato di responsabilizzare la SATE s.p.a. sotto il profilo della riservatezza anche tramite incontri informali.

“Ciò che è avvenuto deve essere contestualizzato al primo periodo emergenziale in cui il Comune era tenuto al rispetto della normativa emergenziale e del nuovo obbligo di comunicare i dati forniti dalla ASL al gestore dei rifiuti”;

“Tiene a rappresentare la massima sensibilità e attenzione alla normativa in materia di protezione dei dati personali. A titolo esemplificativo, ha nominato il dpo, ha adeguato la modulistica, il sito web, sono stati realizzati incontri formativi con il DPO, ha prestato attenzione alle modalità di trattamento dei dati personali anche nella erogazione dei vari servizi quali il conferimento di contributi sociali ed economici”.

3. Esito dell’attività istruttoria

3.1. La normativa in materia di protezione dei dati personali.

Il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice.

Per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del Regolamento).

In aggiunta, si ricorda che il trattamento dei dati personali effettuato da soggetti pubblici è, di regola, lecito solo se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e), del Regolamento). È inoltre previsto che “Gli Stati membri possono mantenere […] disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).

Il trattamento deve, inoltre, avvenire sempre nel rispetto dei principi in materia di protezione dei dati personali di cui all’art. 5 del Regolamento, tra cui quello di “responsabilizzazione” (art. 5, par. 2 e art. 24 del Regolamento).

Da ultimo, si evidenzia che, ai sensi dell’art. 28 del Regolamento, il titolare può affidare un trattamento a terzi soggetti che presentino garanzie sufficienti sulla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali (“responsabili del trattamento”). In questo caso, “i trattamenti da parte di un responsabile sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile al titolare e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”. Il responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, parr. 1 e 3, del Regolamento).

3.2. Mancata regolamentazione del rapporto con la Società e la violazione del principio di responsabilizzazione

Giova premettere che l’attività di gestione dei rifiuti urbani rientra tra le attività istituzionali affidate agli enti locali, titolari del trattamento, che possono essere svolte da soggetti terzi – responsabili del trattamento - in nome e per conto del titolare del trattamento.

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi nell’ambito dell’attività istruttoria, è stato rilevato che il trattamento dei dati in esame, svolto dalla Società per conto del Comune, è stato avviato senza che il ruolo fosse disciplinato ai sensi dell’art. 28 del Regolamento (né ai sensi dell’art. 29 del Codice, nel testo anteriore alle modifiche di cui al decreto legislativo 10 agosto 2018, n. 101).

Infatti, il contratto di servizio sottoscritto nel 2001 e successivamente integrato nel 2011 con il quale – inizialmente - sono state conferite le funzioni di gestione del “servizio pubblico di igiene urbana”, in essere all’epoca della violazione dei dati personali e superato solo successivamente, con il nuovo contratto di XX, non soddisfaceva le caratteristiche dell’atto giuridico volto a regolamentare il rapporto con il responsabile del trattamento, non contenendo né gli elementi previsti dall’art. 29 del Codice previgente, né gli elementi previsti dall’art. 28 del Regolamento.

Al riguardo occorre precisare che, sebbene il trattamento sia stato avviato dal Comune nel periodo precedente all’entrata in vigore del Regolamento (essendo il rapporto adottato fin dal 2001, e successivamente integrato - in un primo momento - nel 2011), ai fini della individuazione della normativa applicabile, sotto il profilo temporale, occorre tener presente che, in base al principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981, “Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati”. Da ciò consegue la necessità di prendere in considerazione le disposizioni vigenti al momento della commessa violazione; nel caso in esame, data la natura permanente dell’illecito contestato, tale momento deve essere individuato all’atto della cessazione della condotta illecita, avvenuta nel mese di XX con la regolamentazione del rapporto con il Fornitore ai sensi dell’art. 28 del Regolamento e, quindi, nella piena vigenza delle disposizioni del Regolamento e del Codice (come modificato dal d.lgs. 101/2018).

In ogni caso, si rappresenta che il Comune ha sostenuto di non aver provveduto alla nomina della Società quale responsabile del trattamento avendo ritenuto la stessa autonomo titolare dei trattamenti dei dati personali sottesi alla gestione dei rifiuti urbani.

Al riguardo, come invece rappresentato dall’Autorità, le Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, versione 2.0, adottate il 7 luglio 2021 dal Comitato europeo per la protezione dei dati prevedono che “il titolare stabilisce le finalità e i mezzi del trattamento, ossia il motivo e le modalità del trattamento. Il titolare del trattamento è chiamato a decidere tanto sulle finalità quanto sui mezzi. Tuttavia, taluni aspetti più prettamente pratici legati all’implementazione del trattamento («mezzi non essenziali») possono essere delegati al responsabile del trattamento. Per essere qualificato come titolare del trattamento non è necessario che tale soggetto abbia accesso effettivo ai dati trattati” (cfr. pag. 3).

Ancora, le citate Linee Guida esprimono un concetto generale in base al quale “Il titolare del trattamento è il soggetto che decide in merito a determinati elementi chiave del trattamento stesso. La titolarità può essere definita a norma di legge o può derivare da un’analisi degli elementi di fatto o delle circostanze del caso” (cfr. pag. 3).

Valorizzando proprio le circostanze emerse nel caso di specie, si osserva quanto segue:

a) nel documento inerente alla notifica della violazione dei dati personali trasmessa all’Autorità in data XX, il Comune ha dichiarato, nella sezione B, di essere il titolare del trattamento, e ha indicato, nella sezione B2 (Ulteriori soggetti coinvolti nel trattamento “Indicare i riferimenti di ulteriori soggetti coinvolti ed il ruolo svolto (contitolare o responsabile del trattamento, rappresentante del titolare non stabilito nell’Ue)” la Società quale responsabile del trattamento;

b) nella nota dell’XX (cfr. all. 7 della citata nota del XX) il Commissario Straordinario si rivolge alla Società, chiedendo “ai sensi dell'art. 28 del Regolamento […] di tenere tempestivamente informato il Comune di Civita Castellana circa gli esiti dell'indagine in corso”;

c) la Società non si è definita titolare autonomo né ha contestato il suo ruolo di “responsabile del trattamento”, allegando il contratto di servizio del 30 dicembre 2010. Tale contratto, non contenendo gli elementi previsti dall’art. 28 del Regolamento (cfr. spec. par. 3), non soddisfa le caratteristiche dell’atto giuridico volto a regolamentare il rapporto tra titolare e responsabile, ma contiene disposizioni dalle quali si evince chiaramente come codesto Comune abbia, di fatto, definito sia le finalità che le modalità di gestione del “servizio pubblico di igiene urbana”.

Si evidenzia infine che “La presenza (o l’assenza) di un accordo scritto, tuttavia, non è determinante ai fini della sussistenza di un rapporto titolare-responsabile del trattamento. […] un rapporto titolare-responsabile del trattamento potrebbe sussistere anche in assenza di un accordo di trattamento per iscritto. Ciò implicherebbe, tuttavia, una violazione dell’articolo 28, paragrafo 3, del GDPR. Inoltre, in determinate circostanze, l’assenza di una definizione chiara del rapporto tra il titolare e il responsabile del trattamento può comportare il problema della mancanza di una base giuridica su cui qualsivoglia trattamento dovrebbe basarsi, ad esempio in merito alla comunicazione dei dati tra il titolare e il presunto responsabile del trattamento” (cfr., nota 42 al punto 103 delle citate Linee guida).

D’altronde l’obbligo di regolamentare il rapporto con soggetti che agiscono per conto e nell’interesse del titolare era già previsto dal quadro previgente (v., artt. 4, lett. g) e 29 del Codice, anteriormente alle modifiche di cui al d.lgs. n. 101/2018, che prevedeva "I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento (comma 4-bis)....Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4 bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4 bis. (comma 5)"; al riguardo, Cass., Sez. I Civ., sentenza n. 21234 del 23 luglio 2021).

La violazione delle predette diposizioni, ancorché non comportasse l’applicazione di una sanzione amministrativa (diversamente da quanto ora previsto dagli artt. 28 e 83, par. 4, del Regolamento) dava comunque luogo a trattamenti non conformi alla disciplina di protezione di dati, potendosi configurare una comunicazione illecita di dati personali in favore di un soggetto che, non essendo stata designato come responsabile, era terzo rispetto al trattamento (cfr. Provvedimento n. 312 del 18 luglio 2023, doc. web. 9920578; Provvedimento n. 313 del 18 luglio 2023, doc. web. 9920645; Provvedimento n. 314 del 18 luglio 2023, doc. web. 9920664; Provvedimento n. 163 del 27 aprile 2023, doc. web. 9900808; Provvedimento n. 164 del 27 aprile 2023, doc. web. 9900826; Provvedimento n. 270 del 21 luglio 2022, doc. web. 9811732; Provvedimento n. 162 del 28 aprile 2022, doc. web. 9777974; Provvedimento n. 292 del 22 luglio 2021, doc. web.  9698558; Provvedimento n. 293 del 22 luglio 2021, doc. web. 9698597; Provvedimento n. 294 del 22 luglio 2021, doc. web. 9698724; Provvedimento n. 351 del 29 settembre 2021, doc. web. 9716256; Provvedimento n. 294 del 22 luglio 2021, doc. web. 9698724; Provvedimento n. 49 dell'11 febbraio 2021, doc. web. 9562852; Provvedimento n. 81 del 7 marzo 2019, doc. web. 9121890).

La mancata definizione del rapporto con la Società ai sensi dell’art. 28 del Regolamento (già art. 29 del Codice anteriormente alle modifiche di cui al d.lgs. n. 101/2018) ha comportato la violazione anche del principio di responsabilizzazione di cui agli artt. 5, par. 2 e 24 del Regolamento in quanto, come chiarito nelle Linee Guida citate, tale principio - in un’ottica di fiducia e legittima aspettativa che gli interessati ripongono nel titolare del trattamento - pone in capo allo stesso, l’obbligo di garantire ed essere in grado di dimostrare che “il trattamento è effettuato conformemente al Regolamento” anche sotto il profilo della definizione dei ruoli svolti dai vari soggetti coinvolti in un’attività di trattamento di dati personali e la conseguente ripartizione delle responsabilità.

Sotto il profilo dell’adozione delle misure di sicurezza tecniche e organizzative necessarie al fine di garantire la conformità dei trattamenti di dati personali posti in essere, si rammenta che, seppur il Regolamento pone in capo anche al responsabile del trattamento specifici obblighi in materia (art. 32 del Regolamento),  resta fermo che il titolare è il soggetto sul quale ricade una “responsabilità generale” sui (cfr. art. 5, par. 2 e art. 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8) e 28 del Regolamento.

Infatti, ai sensi del già richiamato art. 28 del Regolamento, il titolare può affidare un trattamento di dati personali a terzi soggetti che presentino garanzie sufficienti sulla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali, disciplinando i trattamenti da parte del relativo responsabile del trattamento mediante un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile al titolare e legittimando pertanto il primo a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, parr. 1 e 3, del Regolamento; al riguardo ex multis, v. Cass., Sez. I Civ., sentenza n. 21234 del 23 luglio 2021).

La mancata stipula di un contratto o atto giuridico con la Società ha comportato pertanto l’assenza di definizione di istruzioni (cfr. par. 3 dell’art. 28 citato) atte a garantire una maggiore conformità del trattamento dei dati personali. Ciò è testimoniato proprio dalla diffusione illecita in esame, che, seppur riconducibile – sulla base dell’istruttoria svolta - alla responsabilità della Società, è stata avallata proprio dall’assenza di precise e adeguate misure di sicurezza tecniche e organizzative idonee garantire il rispetto della disciplina in materia di protezione dei dati personali e diffondere una maggiore sensibilità su tale tematica, anche in termini di attenzione, da parte del personale interno alla Società, ai rischi derivanti da trattamenti non autorizzati o illeciti.

Tutto ciò premesso, risulta accertato che – ferme restando le valutazioni in ordine alla liceità del trattamento svolto dalla Società, oggetto di autonomo procedimento – il Comune, fino al mese di XX, ha operato in violazione dell’art. 28 del Regolamento non avendo disciplinato sotto il profilo della protezione dei dati il rapporto con il Fornitore e in maniera non conforme al principio di “responsabilizzazione” di cui agli artt. 5, par. 2 e 24 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal Comune, in qualità di titolare del trattamento, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal Comune, per aver effettuato il trattamento di dati personali in violazione degli artt. 5, par. 2, 24 e 28 del Regolamento.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, la violazione più grave, relativa all’art. 5 del Regolamento è soggetta alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, considerato che il Comune ha rappresentato di aver provveduto nel mese di XX a regolare il rapporto con la Società, anche ai fini dell’art. 28 del Regolamento, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Con specifico riguardo alla natura e alla gravità della violazione (art. 83, par. 2, lett. a), del Regolamento), occorre considerare che la stessa si è protratta per un considerevole lasso di tempo (sino a XX).

In senso favorevole al Comune deve, tuttavia, considerarsi:

- che non risultano comprovati eventuali danni subiti dagli interessati (art. 83 par. 2, lett. a) del Regolamento);

- il carattere colposo della violazione, atteso l’erroneo iniziale convincimento da parte del Comune della autonoma titolarità della Società nel trattamento in esame (art. 83, par. 2, lett. b) del Regolamento).

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento possa essere considerato di grado medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debba essere presa in considerazione, in senso favorevole al Comune, che titolare del trattamento è un Comune di modeste dimensioni (circa 15.290 abitanti), che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento) nonché il ridotto grado di responsabilità del titolare del trattamento, tenendo in conto le misure di sicurezza dallo stesso adottate nell’ambito della comunicazione al responsabile (de facto) del trattamento dell’elenco dei cittadini positivi o in quarantena, oggetto di successiva diffusione da parte del personale della Società (art. 83, par. 2, lett. d), del Regolamento) e che la mancata nomina della Società quale responsabile del trattamento è perdurata anche durante lo stato di emergenza legato all’epidemia da COVID-19, deliberato dal Consiglio dei Ministri in data 31 gennaio 2020, in presenza di una peculiare situazione organizzativa e gestionale in cui si è trovato il Comune (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000,00 (tremila/00) per la violazione degli artt. 5, par. 2, 24 e 28 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto della particolare natura dei dati personali oggetto di diffusione da parte del responsabile (de facto) del trattamento, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Comune di Civita Castellana per la violazione degli artt. 5, par. 2, 24 e 28 del Regolamento, nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Comune di Civita Castellana, con sede legale in Piazza Matteotti n. 3 - 01033 Civita Castellana (VT), C.F. 00065540569, di pagare la complessiva somma di euro 3.000,00 (tremila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al Comune di Civita Castellana di pagare la complessiva somma di euro 3.000,00 (tremila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei