[doc. web n. 10073751]

Provvedimento del 17 ottobre 2024

Registro dei provvedimenti
n. 612 del 17 ottobre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, il sig. XX, che ha svolto la propria attività lavorativa presso il Comune di Offanengo (di seguito “Comune”), ha lamentato la pubblicazione, sul sito istituzionale del predetto Ente, sezione “Albo online”, di “tutte le deliberazioni relative [all’interessato] che contenevano dati personali (corrispondenza fra Ente e dipendente, lettere che indicavano l'accettazione o meno di provvedimenti, il calendario ferie, le ferie pregresse, le ferie respinte e annullate e la monetizzazione di parte di esse) e dati sensibili (è stato indicato l’appartenenza ad una organizzazione sindacale)”. È stato rappresentato inoltre che veniva pubblicata anche la “delibera di conferimento di incarico legale, riportando, nome e cognome” dell’interessato che aveva citato in giudizio il Comune.

Successivamente il reclamante ha lamentato che il Comune avrebbe pubblicato ulteriore documentazione, contenente propri dati personali, riportando le iniziali del proprio nome e cognome e facendo riferimento alla documentazione già pubblicata in precedenza.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni dell’Autorità (nota prot. n. XX del XX), il Comune, con nota prot. n. XX del XX, ha dichiarato, in particolare, che

- “le dimissioni volontarie del Reclamante sono state accolte con delibera G.C. n. XX del XX "Accoglimento dimissioni volontarie dal servizio dipendente Sig. XX”, atto pubblicato in data XX”;

- il Reclamante, con istanza del XX […] richiedeva al Comune il riconoscimento di n. 89 giorni di congedo ordinari non fruiti, relativi alle annualità XX; il Comune, non potendo riconoscere i periodi di congedo richiesti per gli anni XX, emetteva provvedimento con delibera G.C. n. XX del XX "Piano congedo ordinario dipendente Sig. XX - mantenimento in servizio", atto pubblicato in data XX e rimosso dall'Albo in data XX, a seguito di istanza del Reclamante;

- “al fine di compiere gli atti necessari per l’emissione del trattamento di quiescenza a favore del Reclamante, veniva adottata la determina n. XX del XX "accoglimento dimissioni volontarie dal servizio dipendente Sig. XX”, atto pubblicato in data XX;

- “a seguito del mancato accordo con il Reclamante, relativo al conteggio dei giorni di congedo ordinario, il Comune revocava il precedente atto con delibera G.C. n. XX del XX "Revoca proprio atto n. XX del XX "Piano congedo ordinario dipendente Sig. XX - mantenimento in servizio”, atto pubblicato in data XX e rimosso dall'Albo in data XX, a seguito di istanza del Reclamante;

- “a seguito del ricorso ex art. 414 c.p.c. al Tribunale di Cremona, sezione Lavoro, promosso dal Reclamante, il Comune conferiva incarico professionale al proprio avvocato di fiducia con delibera G.C. n. XX del XX "conferimento incarico professionale Avv. […] per difesa nel giudizio ricorso Sig. XX”, atto pubblicato in data XX e rimosso dall'Albo in data XX, a seguito di istanza del Reclamante;

- “al fine di liquidare la somma in denaro, oggetto di transazione tra le Parti, il Comune adottava la determina n. XX del XX "XX somma lorda omnicomprensiva di € 2.700,00 a titolo di transazione generale e novativa”, atto pubblicato nell'Albo in data XX;

- “le diverse delibere sono state pubblicate, in primo luogo, per conseguire esecutività ai sensi dell'art. 124 del T.U.E.L, d.lgs. 267/2000, e, in secondo luogo, per esigenza di trasparenza amministrativa in quanto afferenti all’organizzazione dell'Ente e alla modalità di utilizzo delle risorse umane e finanziarie”;

- “non si può prescindere dalla considerazione che il Reclamante fosse titolare di posizione organizzativa, per la quale il d.lgs 33/2013, all'art. 13, impone di pubblicare e aggiornare “le informazioni e i dati concernenti la propria organizzazione, corredati dai documenti anche normativi di riferimento […];

- “la pubblicazione delle determine, in particolare, riguardanti la nomina dell’Avv. […], rispondono all’obbligo di cui all’art. 23 del Dlgs 33/2013 (Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni)””;

- “rispondono, inoltre, agli obblighi di pubblicazione sanciti nel medesimo articolo 23 del Dlgs 33/2013, laddove recita: d) accordi stipulati dall'amministrazione con soggetti privati o con altre amministrazioni pubbliche, ai sensi degli articoli 11 e 15 della legge 7 agosto 1990, n. 241. Inoltre, fanno seguito anche agli obblighi sanciti dagli artt. 26 e 27 del d.lgs. 33/2013, che dispongono la pubblicazione del nominativo del beneficiario di vantaggi economici, quando la somma erogata ecceda la somma di€ 1.000,00”;

- “va anche dato atto che nessuna indicizzazione era presente al di fuori del sito di Amministrazione Trasparente e che la navigazione all’interno del medesimo, non è così immediata da permettere l’acquisizione casuale di informazioni, senza adottare una ricerca molto mirata”;

- “si è avuto cura di verificare che all’interno dei documenti pubblicati non ci fossero dati la cui pubblicazione sia vietata; si è immediatamente provveduto, altresì, a rimuovere i dati pubblicati su richiesta del Reclamante”;

- “in particolare nella delibera n. XX del XX "Revoca proprio atto n. XX del XX "Piano congedo ordinario dipendente Sig. XX - mantenimento in servizio” “viene riportato l’iter che ha condotto alla necessità di revocare un atto già esecutivo, dovendo specificare, indispensabilmente, le comunicazioni del Reclamante relative ai punti di mancato accordo; facendo riferimento ad una di queste comunicazioni è stato indicato come mittente il funzionario di un sindacato, senza indicar[ne] anche l’appartenenza del Reclamante”.

Con nota del XX, l’Autorità, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Comune ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver effettuato una diffusione, sul proprio sito web istituzionale di atti e documenti contenenti informazioni relative al reclamante, in violazione degli artt. 5, 6 e 9 del Regolamento, nonché dell’art. 2-ter, commi 1 e 3, del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo). Sulla base di quanto dichiarato dal Comune le delibere: n. XX del XX; n. XX del XX; n. XX del XX sono state rimosse dal sito, in data XX, a seguito di richiesta del reclamante, mentre la delibera n. XX del XX e le determine n. XX dell’XX e n. XX del XX ad oggi risultano ancora pubblicate sul sito istituzionale del Comune, sezione Albo pretorio online.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, il Comune, che non ha richiesto di essere audito, ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “occorre rimarcare come, al di là di ogni valutazione nel merito, i fatti che ci impegnano siano temporalmente collocati in piena emergenza Covid. Si tratta per lo più di pubblicazioni inerenti il periodo XX”;

- “non è irrilevante che i dati oggetto di contestazione fossero già pubblici. Non vi stato alcun libero riutilizzo da chiunque e per qualsiasi scopo. I dati in discorso sono stati raccolti per la finalità di trasparenza (art. 14 e 23 D. Lgs. 14 marzo 2013 n. 33), e sono stati utilizzati per garantire la prescritta pubblicità a vicende organizzative e delibere che riguardavano tale funzione pubblica”;

- “non è stato pubblicato alcun dato inerente la vita privata del XX, o ultroneo rispetto al necessario, ma esclusivamente: nome e cognome (nelle ultime delibere, sostituiti dalle iniziali). Solo nella delibera XX […] sono contenuti i dati anagrafici; ma si tratta semplicemente di un atto con cui si dà conto che il determinato dipendente, i cui dati anagrafici erano già pubblicati, avrebbe cessato di far parte dell’organizzazione comunale”;

- “la delibera XX […] non reca i dati anagrafici del XX. Essa comportava un esborso per il Comune – la monetizzazione del periodo di congedo ordinario – e conseguenze organizzative di non poco momento in pieno delirio Covid […]; la determina XX di accoglimento delle dimissioni doveva essere pubblicata non solo per fini organizzativi, ma anche per l’impegno di spesa che ne derivava; la delibera XX […] era di doverosa pubblicazione in quanto avente impatto finanziario e organizzativo; gli altri atti […] inerivano come detto la costituzione in giudizio e la stipula della transazione”.

3. Esito dell’attività istruttoria.

3.1. La normativa applicabile.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che la “diffusione” di dati personali, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (cfr. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito, oltre che per assolvere specifici obblighi “in materia di diritto del lavoro […] nella misura in cui sia autorizzato dal diritto […] in presenza di garanzie appropriate” (art. 9, par. 2, lett. b), del Regolamento), anche ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento).

Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del Regolamento) e deve trattare i dati mediante il personale “autorizzato” e “istruito” in merito all’accesso e al trattamento dei dati (artt. 4, punto 10), 29, e 32, par. 4, del Regolamento).

3.2. La diffusione di dati personali.

Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria nonché dall’accertamento compiuto sulla base degli elementi acquisiti, a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, il Comune, ha pubblicato, sul proprio sito web istituzionale, atti e documenti contenenti informazioni riguardanti, in particolare, vicende derivanti dalla cessazione del rapporto di lavoro del reclamante con il Comune. In particolare sono stati oggetto di pubblicazione i seguenti documenti: la delibera n. XX del XX "Accoglimento dimissioni volontarie dal servizio dipendente Sig. XX”; la delibera n. XX del XX "Piano congedo ordinario dipendente Sig. XX - mantenimento in servizio"; la determina n. XX dell’ XX "accoglimento dimissioni volontarie dal servizio dipendente Sig. XX”; la delibera n.XX del XX "Revoca proprio atto n. XX del XX "Piano congedo ordinario dipendente Sig. XX - mantenimento in servizio”; la delibera n.XX del XX "conferimento incarico professionale Avv. […] per difesa nel giudizio ricorso Sig. XX”; la determina n. XX del XX1 "XX somma lorda omnicomprensiva di € 2.700,00 a titolo di transazione generale e novativa”, tutti documenti contenenti informazioni riguardanti vicende derivanti dalla cessazione del rapporto di lavoro del reclamante con il Comune.

Preliminarmente si precisa che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, dovendosi considerare “identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione […]” (art. 4, par. 1, n. 1) del Regolamento). Si evidenzia che l’utilizzo delle iniziali del cognome e del nome degli interessati (come nel caso di specie in riferimento alla determina n.XX del XX), può non essere sufficiente a evitare l’identificabilità degli stessi, specie quando ad esse siano associate altre informazioni di contesto ovvero ulteriori elementi identificativi.

Con riguardo alla base giuridica che avrebbe giustificato la diffusione dei dati personali del reclamante il Comune non ha comprovato l’esistenza di una specifica norma di legge che obblighi l’ente a pubblicare atti e documenti quali, tra gli altri, le dimissioni volontarie del reclamante e le conseguenti determinazioni derivanti dalla richiesta dell’interessato del riconoscimento dei giorni di congedo ordinari non fruiti dallo stesso. Al riguardo va ricordato che il Garante, in più occasioni, ha chiarito che anche la presenza di uno specifico regime di pubblicità (circostanza che comunque non ricorre nel caso di specie), non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali (v. numerosi provvedimenti tra cui provv. del 15 settembre 2022, n.299 doc web 9815665 e provv. del 25 febbraio 2021, n. 68, doc web 9567429). Ciò è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, Regolamento).

In numerose decisioni in merito agli obblighi derivanti dall’art. 124 del d.lgs. n. 267 del 18 agosto 2000, invocato dal Comune, il Garante ha ribadito che anche alle pubblicazioni nell’albo pretorio online si applicano tutti i limiti previsti dai principi della protezione dei dati con riguardo alla liceità e alla minimizzazione dei dati (cfr. parte II, par. 3.a. del provv. del 15 maggio 2014 n. 243, doc. web n. 3134436 “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”). In ogni caso si evidenzia una diffusione ben oltre il termine dei 15 giorni previsto dalla normativa invocata e pertanto, anche nel caso in cui vi fosse stata una norma che stabilisse la pubblicazione dei predetti documenti ai sensi dell’art 124 sopra richiamato, una volta trascorso il periodo previsto per la pubblicazione il Comune non avrebbe comunque potuto continuare a diffondere i dati personali in essi contenuti. In caso contrario, si sarebbe verificato, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi.

Con particolare riguardo al richiamo agli obblighi di trasparenza di cui al d.lgs. 14 marzo 2013, n. 33, si osserva, preliminarmente, che la pubblicazione delle delibere in questione è avvenuta nella sezione “Albo pretorio” del sito web istituzionale del Comune e non, invece, in quella “Amministrazione trasparente”, essendo, pertanto, tale richiamo normativo inconferente rispetto ai fatti oggetto di reclamo. In particolare, nessuna delle previsioni del d.lgs. 14 marzo 2013, n. 33 impone la pubblicazione di informazioni riguardanti le vicende riferite alla cessazione del rapporto di lavoro del reclamante con il Comune e delle conseguenti determinazioni, oggetto del presente procedimento.

A conferma di quanto sopra richiamato si rappresenta, inoltre, che le disposizioni in materia di trasparenza dell’azione amministrativa, invocate dal Comune, non sono sufficienti a garantire la legittimità della pubblicazione dei predetti atti in quanto il Comune, qualora avesse voluto pubblicare, ai sensi del d.lgs. n. 33 del 2013 le delibere in esame, che non aveva l’obbligo di pubblicare, avrebbe dovuto, sin da subito, “disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti […] procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti” (art. 7-bis, comma 3, del d.lgs. n. 33/2013).

Risulta, inoltre, non pertinente il richiamo agli artt. 1, 2, e 13 del d.lgs. 33 del 2013, in quanto tali articoli disciplinano principi generali riguardanti la trasparenza amministrativa. In particolare l’art 13 stabilisce che “le pubbliche amministrazioni pubblicano e aggiornano le informazioni e i dati concernenti la propria organizzazione” senza prevedere alcun obbligo di pubblicazione di informazioni concernenti le particolari vicende derivanti dal rapporto di lavoro, quali, nel caso di specie, documentazione riguardante l’accoglimento delle dimissioni volontarie del reclamante e atti conseguenti.

Allo stesso modo risulta non pertinente il richiamo agli artt 3, 23, 26 e 27 del medesimo decreto legislativo. Con particolare riguardo a quanto stabilito dall’art.23 del predetto decreto si rappresenta che tale disposizione prevede l’obbligo di pubblicare “gli elenchi dei provvedimenti” mentre nulla dispone sulla pubblicazione integrale degli stessi; con riguardo invece agli artt 26 e 27 che disciplinano gli “Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati” e gli “Obblighi di pubblicazione dell'elenco dei soggetti beneficiari” si evidenzia che nella determina n. XX del XX, sopra richiamata tra quelle oggetto di pubblicazione, è indicata la quantificazione in denaro della corresponsione della mancata fruizione delle ferie da parte del reclamante a seguito di atto di transazione con il Comune e che pertanto tale atto non può essere classificato “atto di concessione di sovvenzione, contributi e sussidi” avendo, inoltre, il Comune pubblicato tipologie di dati personali non riconducibili a quelle espressamente individuate dalla richiamata normativa di settore (v. al riguardo provv. del 6 luglio 2023 n.286 doc web 9920116; v. anche parere del Garante reso all’Autorità Nazionale Anticorruzione – ANAC - sugli “Schemi di pubblicazione dei dati per la standardizzazione ai sensi dell’art. 48 d.lgs 33/2013”, con provv. 22 febbraio 2024, n. 92, doc. web n. 9996090)

La circostanza, inoltre, che “i dati oggetto di contestazione fossero già pubblici” non consente, in ogni caso, di ritenere lecito il trattamento posto in essere dal Comune, atteso che la conoscibilità e pubblicità dei dati deve rispondere al principio di "limitazione della finalità", in base al quale i dati personali devono essere "raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità" (art. 5, par. 1, lett. b) del Regolamento). In altri termini, il semplice fatto che informazioni personali siano rese pubblicamente conoscibili online non comporta che le stesse siano liberamente riutilizzabili da chiunque e per qualsiasi scopo, dovendosi di volta in volta valutare "se, per quali finalità e secondo quali limiti e condizioni eventuali utilizzi ulteriori dei dati personali resi pubblici possano ritenersi leciti alla luce del "principio di finalità" e degli altri principi di matrice europea in materia di protezione dei dati personali" (v. provv. del 25 marzo 2021 n. 106, doc. web n. 9584421 e provv. del 12 marzo 2020, doc. web n. 9429218).

Da ultimo, l’indicazione nella delibera n. XX del XX della nota di un rappresentante sindacale “che chiedeva una modifica alla deliberazione n. 44”, in nome del reclamante, seppure indirettamente, può fare presupporre l’adesione dello stesso all’organizzazione sindacale indicata. Il  Comune, pertanto, non ha tenuto conto di quanto già da tempo questa Autorità ha affermato nelle Linee guida sopra richiamate e cioè che “il procedimento di selezione dei dati personali che possono essere resi conoscibili online deve essere, inoltre, particolarmente accurato nei casi in cui tali informazioni sono idonee a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale”.

Alla luce delle considerazioni che precedono, tale comportamento ha determinato una diffusione di dati personali del reclamante in assenza di idonea base giuridica, in violazione degli artt. 5, 6 e 9 del Regolamento e dell’art. 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dal Comune, risulta infatti illecito, nei termini su esposti, in quanto posto in essere in violazione degli artt. 5, 6 e 9 del Regolamento, nonché 2-ter del Codice.

Per quanto concerne l’esercizio dei poteri correttivi di cui all’art. 58, par. 2, del Regolamento, si rappresenta che nel corso dell’istruttoria è emerso che la Delibera di Giunta n.XX dell’XX e le determine n.XX dell’XX e n. XX del XX, contenenti dati personali del reclamante, continuano ad essere attualmente disponibili sul sito web istituzionale del Comune, nella sezione Albo pretorio online.

Tenuto pertanto conto di quanto sopra indicato si ritiene necessario prescrivere al Comune, in ragione dell’illiceità del trattamento effettuato e, ai sensi dell’art. 58, par. 2, lett. f), la limitazione del trattamento in corso, vietando al titolare del trattamento ogni ulteriore diffusione illecita in quanto non prevista dalla legge e in contrasto con i principi di protezione dei dati personali.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, 6 e 9 del Regolamento, comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par.5 del Regolamento.

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

con specifico riguardo alla natura, alla gravità e alla durata della violazione, occorre considerare che la diffusione di dati è avvenuta sul sito istituzionale del Comune senza indicizzazione sui motori di ricerca e ha riguardato un solo interessato (cfr. art. 83, par. 2, lett. a), del Regolamento);

con specifico riguardo al profilo soggettivo della violazione il Comune, di piccole dimensioni, ha agito nella errata convinzione di adempiere a un obbligo di legge nonostante le numerose indicazioni rese dal Garante a tutti i soggetti pubblici sin dal 2014 con le linee guida sopra richiamate (v. anche “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" del 14 giugno 2007, doc. web n. 1417809). (art. 83, par. 2, lett. b), del Regolamento);

il trattamento ha riguardato la diffusione di informazioni anche riferite, seppure indirettamente, a categorie particolari (art. 9 del Regolamento), quali l’appartenenza a un’organizzazione sindacale (cfr. art. 83, par. 2, lett. g), del Regolamento).

Alla luce di tale specifica circostanza, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, si devono considerare, in senso favorevole al titolare, le seguenti circostanze attenuanti:

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo, o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e), del Regolamento);

- il Comune ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);

- la violazione è avvenuta in un contesto caratterizzato da numerose difficoltà sul piano organizzativo connesse alle problematiche del periodo emergenziale dovuto alla diffusione del virus Sars Cov 2 (art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 8.000 (ottomila) per la violazione degli artt. 5, 6 e 9 del Regolamento, nonché 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione dei numerosi documenti oggetto di pubblicazione, e dell’esteso lasso temporale durante il quale tali documenti sono stati oggetto di pubblicazione sul sito web del Comune - di cui taluni ancora pubblicati online - e che il trattamento ha riguardato la diffusione di vicende relative al rapporto di lavoro dell’interessato e informazioni riferite, seppure indirettamente, anche a categorie particolari di dati, quali l’appartenenza a un’organizzazione sindacale.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato dal Comune di Offanengo nei termini di cui in motivazione, per la violazione degli artt. 5, 6 e 9 del Regolamento, nonché 2-ter del Codice (sia nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, vigente al tempo in cui è iniziata la diffusione dei dati personali in questione, sia nell’attuale testo);

b) ai sensi dell'art. 58, par. 2, lett. f) del Regolamento, prescrive al predetto Comune di conformarsi, entro trenta giorni dalla data della notifica del presente provvedimento, alle prescrizioni formulate al par. 4 della presente decisione, richiedendo al contempo allo stesso di fornire, entro il predetto termine, un riscontro adeguatamente documentato ai sensi dell'art. 157 del Codice; l’eventuale mancato riscontro può comportare l'applicazione della sanzione amministrativa pecuniaria prevista dall'art. 83, par. 5, lett. e) del Regolamento;

ORDINA

c) ai sensi dell’art. 58, par. 2, lett. i) del Regolamento al Comune di Offanengo in persona del legale rappresentante pro-tempore, con sede legale in Piazza Sen Patrini 13 - 26010 Offanengo (CR) - C.F. 00299140194, di pagare la somma di euro 8.000 (ottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

d) quindi al Comune di pagare la predetta somma di euro 8.000 (ottomila), secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato;

DISPONE

e) ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

f) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

g) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 ottobre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei