[doc. web n. 10092909]

Provvedimento del 13 novembre 2024

Registro dei provvedimenti
n. 679 del 13 novembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo presentato dalla signora XX, tramite l’Avv. XX, in data 21/10/2022, ai sensi dell’art. 77 del Regolamento, con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte della Fondazione Città di Senigallia;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo e l’avvio dell’istruttoria preliminare.

Con il reclamo presentato a questa Autorità in data 21/10/2022, la sig.ra XX, tramite l’Avv. XX, ha lamentato una violazione della disciplina in materia di protezione dei dati personali da parte della Fondazione Città di Senigallia, suo datore di lavoro (di seguito “la Fondazione”).

In particolare, veniva rappresentato che sul sito internet della Fondazione Città di Senigallia (www.fondazionecittadisenigallia.it), alla pagina web “Amministrazione Trasparente”, risultavano pubblicate due determine adottate dal Commissario straordinario, di cui una datata 01/06/2022 con oggetto “Procedimento disciplinare nei confronti della dipendente Addetta ad attività polivalente Sig.ra XX”, e un’altra datata 27/07/2022 con oggetto “Procedimenti disciplinari aperti nei confronti di n. 4 dipendenti addetti alla cucina e al refettorio della Residenza Protetta per anziani”, come risultante dalla documentazione prodotta.

Pertanto, l’Ufficio formulava nei confronti della Fondazione una richiesta di informazioni, ai sensi dell’art. 157 del Codice, al fine di acquisire utili elementi di valutazione in ordine a quanto rappresentato nel reclamo, con particolare riferimento ai presupposti di legittimità di cui all’art. 6 del Regolamento, in base ai quali era stata disposta la pubblicazione dei documenti contenenti i provvedimenti disciplinari adottati nei confronti della reclamante e di altri dipendenti (nota del 04/04/2023).

La Fondazione forniva riscontro con una nota datata 04/05/2023, con cui preliminarmente chiariva la natura di “soggetto privato con finalità pubbliche che nasce dalla fusione delle seguenti Istituti Pubblici di Assistenza e beneficienza (I.P.A.B.). Dal 24.11.2011 l’Istituto da Ente pubblico “Casa protetta per anziani” viene trasformato in Fondazione denominata “Città di Senigallia” a seguito dell’art. 10 della legge n. 328/2000 (…)”.

Rispetto alla questione sollevata con il reclamo, la Fondazione, tramite il Commissario straordinario, dichiarava che:

- “il dipendente deputato alla pubblicazione, ritenendo di procedere come da prassi, non preoccupandosi del perimetro di pubblicazione, ha ritenuto erroneamente di seguire correttamente le procedure, non effettuando, purtroppo, alcun oscuramento delle informazioni contenute nel documento pubblicato”; 

- “il provvedimento disciplinare originale, oggetto del reclamo, è stato rimosso e sostituito con un documento totalmente oscurato, senza alcun riferimento al soggetto reclamante”;

- “il documento è rimasto pubblicato sul sito web istituzionale nella sezione Amministrazione Trasparente dal giorno di pubblicazione (1.9.2022) fino al momento dell’oscuramento del documento (in formato PDF ma scansionato) avvenuto in data 21.11.2022”.

La Fondazione, inoltre, comunicava le misure adottate a seguito della diffusione dei dati, tra cui la redazione della scheda di data breach e la tempestiva eliminazione dal sito web di tutte le informazioni riguardanti l’oggetto del provvedimento e il nome dei dipendenti interessati. Allo stesso tempo, comunicava di aver provveduto a una verifica di tutti i documenti pubblicati e di aver fornito al personale specifiche istruzioni volte a garantire il rispetto del principio di minimizzazione dei dati.

Alla luce delle risultanze istruttorie, l’Ufficio provvedeva a notificare alla Fondazione l’atto di avvio del procedimento sanzionatorio, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento e dell’art. 2-ter del Codice (nota del 04/09/2023).

Con nota del 21/09/2023, la Fondazione tramite il Commissario straordinario inviava i propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981 e dell’art. 166, comma 6, del Codice, con cui ribadiva le osservazioni già addotte nel corso dell’istruttoria, evidenziando che “la totale assenza di trasparenza amministrativa dei precedenti C.d.A. (…) e l’obbligo di pubblicazione delle decisioni dell’organo gestorio previsto da statuto, ha purtroppo erroneamente indotto la dipendente addetta alla pubblicazione degli atti a ritenere preminente (…) l’esigenza di conoscibilità e di controllo dell’azione amministrativa posta in essere dal sottoscritto rispetto al diritto alla privacy della reclamante, non ritenendo necessario effettuare alcun oscuramento delle informazioni in essa contenute”.

Veniva, inoltre, sottolineata la delicata situazione finanziaria in cui versava, caratterizzata da una grave perdita di esercizio, nonché le tempestive misure adottate per attenuare i danni derivanti dalla indebita pubblicazione dei dati.

2. L’esito dell’istruttoria.

All’esito dell’esame della documentazione prodotta e delle dichiarazioni rese dalla parte nel corso del procedimento, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice, è emerso che la Fondazione ha effettuato un trattamento di dati personali riferiti alla reclamante e ad altri quattro dipendenti, consistente nella diffusione, tramite pubblicazione sul sito web, delle determine con cui venivano disposti provvedimenti disciplinari nei loro confronti. Tale diffusione di dati, avvenuta per un arco temporale di circa 2 mesi (dal 01/09/2022 al 21/11/2022), è stata causata da un errore da parte della dipendente addetta al servizio.

Ciò posto, si osserva che la condotta sopra descritta, risulta non conforme alla disciplina in materia di protezione dei dati personali, come di seguito specificato.

In primo luogo, deve rilevarsi che, in tema di sanzioni amministrative, l'esimente della buona fede - applicabile agli illeciti amministrativi regolati dalla legge n. 689 del 1981 come richiamata dall’art. 166, comma 7, del Codice - rileva come causa di esclusione della responsabilità amministrativa “soltanto se sussistono elementi positivi idonei ad ingenerare nell'agente il convincimento della liceità del comportamento tenuto e risulti che l'autore abbia fatto tutto quanto possibile per conformarsi al precetto di legge, cosicché nessun rimprovero possa essergli mosso” (si veda a tal proposito il costante orientamento giurisprudenziale tra tutte Cass. sez. II civ. n. 10841/08, richiamato anche nei provvedimenti dell’Autorità, in ultimo provv. n. 67 del 09/03/2023, doc web n. 9877728).

Pertanto, sotto questo profilo va imputata alla Fondazione la responsabilità della condotta illecitamente posta in essere.

Nel merito, occorre considerare che, sotto il profilo della disciplina in materia di protezione dei dati personali, nell’ambito di rapporti di lavoro/collaborazione, il datore di lavoro, che riveste la qualifica di titolare del trattamento, può trattare lecitamente i dati personali dei propri dipendenti, di regola, solo se il trattamento è necessario per la gestione del rapporto stesso in base a quanto previsto dalle leggi, dai regolamenti e dalle disposizioni dei contratti collettivi applicabili e/o del contratto di lavoro individuale oppure se è necessario per adempiere a specifici obblighi o compiti posti dalle discipline di settore applicabili (art. 6, par. 1, lett. b) e c) del Regolamento, con riferimento ai dati c.d. comuni).

Nel caso in esame, ritenendo che la Fondazione rivesta la qualifica di soggetto di diritto pubblico (esito della trasformazione di una ex IPAB il cui Commissario straordinario è stato nominato con decreto della Regione Marche n. 445 del 27/03/2023), deve tenersi conto anche della disposizione di cui all’art. 6, comma 1, lett. e), del Regolamento, in base al quale il trattamento è lecito se necessario “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. In tale ambito, l’art. 2-ter, commi 1 e 3, del Codice prevede che le operazioni di trattamento, e tra queste la diffusione dei dati personali, sono ammesse solo quanto previste da una norma di legge o di regolamento o da atti amministrativi generali.

In ogni caso, il datore di lavoro è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Alla luce dei principi sopra richiamati, ne deriva che la pubblicazione dei provvedimenti disciplinari sul sito web della Fondazione risulta essere un’operazione non adeguata, non necessaria e non pertinente rispetto alla finalità di gestione del rapporto di lavoro, oltre a non essere prevista da nessuna disposizione normativa.

Tra l’altro, deve tenersi conto della particolare delicatezza che connota le informazioni relative alle valutazioni e alle contestazioni disciplinari, trattandosi di dati che incidono (soprattutto se di carattere negativo) sulla dignità professionale del dipendente.

Devono, pertanto, confermarsi le valutazioni preliminari effettuate dall’Ufficio e rilevarsi l’illiceità del trattamento dei dati personali effettuato dalla Fondazione, per aver diffuso dati personali relativi alla reclamante e ad altri quattro dipendenti, contenuti nelle delibere adottate il 01/06/2022 e il 27/07/2022.

Tale pubblicazione è avvenuta in assenza di idonei presupposti di liceità, in violazione dell’art. 6 del Regolamento e dell’art. 2-ter del Codice, nonché dei principi generali di liceità, correttezza e trasparenza di cui all’art. 5, par. 1, lett. a), del Regolamento.

3. Conclusioni: illiceità dei trattamenti effettuati.

Alla luce delle valutazioni che precedono, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗  non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentirne l’archiviazione, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, concernente le procedure interne all’Autorità aventi rilevanza esterna.

Per quanto concerne l’esercizio dei poteri correttivi attribuiti all’Autorità ai sensi dell’art. 58, par. 2, del Regolamento, si tiene conto delle misure adottate, volte a conformare il trattamento ai principi e alle disposizioni in materia di protezione dei dati personali.

OMISSIS

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f) e 83 del Regolamento, l’illiceità del trattamento effettuato dalla “Fondazione Città di Senigallia” P.I. 00764120424, con sede in Senigallia (AN), via del Seminario n. 1/B, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a), 6 del Regolamento e 2-ter, commi 1 e 3, del Codice;

ORDINA

OMISSIS

DISPONE

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs.150/2011, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di 30 giorni dalla data di comunicazione del provvedimento stesso, ovvero di 60 giorni se il ricorrente risiede all’estero.

Roma, 13 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei