g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Prescrizioni del Garante
  4. Provvedimento del 22 luglio 2021 [10187868]

Provvedimento del 22 luglio 2021 [10187868]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10187868]

Provvedimento del 22 luglio 2021

Registro dei provvedimenti
n. 297 del 22 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto un reclamo da parte presentato da sig.ra XX (di seguito “reclamante”), con il quale è stata contestata una violazione della normativa in materia di protezione dei dati personali da parte del Comune di Pazzano, derivante dalla pubblicazione sul sito web istituzionale delle ordinanze del sindaco n. XX del XX e n. XX dell’XX contenenti i propri dati personali e la circostanza di essere stata sottoposta all’ordine di permanenza domiciliare (poi revocato) causa Covid-19. 

Nello specifico, dalla verifica preliminare effettuata dall’Ufficio, è emerso che attualmente sul sito web istituzionale del citato Comune sono visibili:

- l’ordinanza del Sindaco n. XX del XX (prot. n. XX del XX) avente a oggetto «Ordinanza di applicazione di permanenza domiciliare con sorveglianza attiva» (url: http://...). Si precisa che nel testo di tale ordinanza i dati personali del soggetto interessato sono stati omessi tramite sostituzione con dei trattini e non risultano visibili;

- l’ordinanza del Sindaco n. XX dell’XX (prot. n. XX del XX) avente a oggetto «Revoca Ordinanza n. XX del XX di applicazione di permanenza domiciliare con sorveglianza attiva» (url: http://...). Si evidenzia che nel testo di tale ordinanza i dati personali del soggetto interessato sono stati oscurati tramite bande di colore nero. Al riguardo, tuttavia, selezionando il testo, è possibile effettuare l’operazione “copia” delle predette informazioni oscurate con la banda di colore nero e poi procedere a una successiva operazione “incolla” all’interno di un mero file .doc (es. Word), che restituisce in chiaro tutti i dati personali nascosti dietro le bande di colore nero di seguito indicati «XX».

Analogamente, in occasione dalla medesima verifica preliminare, è stata effettuata un’ulteriore analisi all’interno del sito web istituzionale dalla quale è emerso che nell’area «Albo pretorio», nella sezione «Storico», tramite la funzione «cerca», si rinvengono altre ordinanze del Sindaco per la permanenza domiciliare.

A campione è stato verificato il seguente documento:

- ordinanza del Sindaco n. XX del XX (prot. n. XX del XX) avente a oggetto «Ordinanza di applicazione di permanenza domiciliare con sorveglianza attiva». Anche in questo caso nel testo di tale ordinanza i dati personali del soggetto interessato sono stati oscurati tramite bande di colore nero. Al riguardo, tuttavia, selezionando il testo, è possibile effettuare l’operazione “copia” delle predette informazioni oscurate con la banda di colore nero e poi procedere a una successiva operazione “incolla” all’interno di un mero file .doc (es. Word), che restituisce in chiaro tutti i dati personali nascosti dietro le bande di colore nero riferiti al soggetto interessato dall’ordinanza, di seguito indicati: «XX».

A ciò si aggiunge che, dalle ricerche esperite all’Ufficio del protocollo del Garante, non risulta pervenuta la comunicazione a questa Autorità – ai sensi dell’art. 37, par. 7, del RGPD – dei dati di contatto del Responsabile della Protezione dei Dati (RPD) del Comune la cui designazione, ai sensi del predetto articolo, è divenuta obbligatoria dal 25/5/2018.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati nell’art. 5 del RGPD, fra cui quelli di «limitazione della finalità» nonché di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. b e c).

Al riguardo, con particolare riferimento al caso sottoposto all’attenzione di questa Autorità, si ricorda che i soggetti pubblici, come il Comune, possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base ai quali i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD). 

In tale quadro, si evidenzia inoltre che in ogni caso il Comune, in qualità di titolare del trattamento dei dati personali, è tenuto a mettere in atto «fin dalla progettazione», ossia sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, «misure tecniche e organizzative adeguate, […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati», garantendo «che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento» (art. 25, parr. 1 e 2, RGPD).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Pazzano ha tenuto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). 

4. Esito dell’istruttoria relativa al reclamo presentato 

Dalle ricerche esperite all’Ufficio del protocollo non risulta pervenuto alcun riscontro da parte del Comune di Pazzano, né l’invio al Garante di scritti difensivi o di richiesta di audizione, in relazione alla citata notifica dell’avvio del procedimento effettuata ai sensi dell’art. 166, comma 5, del Codice.

Pertanto, con riferimento al caso di specie, si confermano le valutazioni preliminari dell’Ufficio contenute nella nota prot. n. XX del XX. Nello specifico, si rileva che Comune di Pazzano non ha adottato «misure tecniche e organizzative adeguate», per garantire l’effettivo oscuramento dei dati personali contenuti nelle ordinanze sindacali sopra identificate al par. 1, oggetto di pubblicazione online, riguardanti gli ordini di «applicazione di permanenza domiciliare con sorveglianza attiva» come misura di contenimento per la gestione dell’emergenza epidemiologica da Covid-19. Dagli atti dell’istruttoria, è emerso infatti che è possibile superare le tecniche di oscuramento messe in atto dall’ente, con una semplice operazione di copia e incolla dei dati personali che si trovano dietro i rettangoli neri (utilizzati per l’oscuramento) all’interno di un mero file .doc (es. Word), che restituisce in chiaro i dati personali del reclamante e degli altri soggetti interessati sottoposti all’obbligo di permanenza domiciliare con sorveglianza attiva (cfr. le ordinanze del Sindaco prima citate nel par. 1 pubblicate sul sito web istituzionale n. XX dell’XX, prot. n. XX del XX; n. XX del XX; prot. n. XX del XX). Ciò ha comportato anche una violazione del principio di «minimizzazione» dei dati personali i quali risultato non «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c), del RGPD).

Si rileva, inoltre, che non risulta pervenuta la comunicazione a questa Autorità dei dati di contatto del Responsabile della Protezione dei Dati (RPD) del Comune di Pazzano, la cui designazione ai sensi del predetto articolo è divenuta obbligatoria dal 25/5/2018, in violazione dell’art. 37, par. 7, del RGPD.

In tale quadro, si rileva che la condotta tenuta dal Comune di Pazzano non è conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto:

- con riferimento all’inefficacia delle tecniche di oscuramento dei documenti pubblicati online utilizzate, non sono state adottate «misure tecniche e organizzative» adeguate «ad attuare in modo efficace i principi di protezione dei dati» fin dalla progettazione e per garantire che siano trattati per «impostazione predefinita» solo «i dati personali necessari per ogni specifica finalità del trattamento», in violazione dell’art. 25, parr. 1 e 2, del RGPD;

- con riferimento ai dati personali in tal modo visionabili, sono stati trattati dati personali non «limitati a quanto necessario rispetto alle finalità» di trasparenza sottostanti la pubblicazione, non rispettando quindi il principio di «minimizzazione dei dati», in violazione dell’art. 5, par. 1, lett. c), del RGPD;

- con riferimento agli adempimenti previsti per Responsabile della Protezione dei Dati (RPD), non sono stati comunicati a questa Autorità i dati di contatto del RPD del Comune, la cui designazione è divenuta obbligatoria dal 25/5/2018, in violazione dell’art. 37, par. 7, del RGPD.

5. Adozione di misure correttive (art. 58, par. 2, lett. d, RGPD) 

La rilevata condotta illecita tenuta dal Comune di Pazzano non ha esaurito completamente i suoi effetti, in quanto, allo stato, l’ente non ha dimostrato di aver provveduto a mettere in atto misure adeguate per garantire l’effettivo oscuramento dei dati personali contenuti nei documenti pubblicati online (laddove non debbano essere oggetto di diffusione ai sensi della disciplina in materia di protezione dei dati personali), né ha adottato iniziative per oscurare correttamente le ordinanze del Sindaco prima citate nel par. 1 – attualmente ancora pubblicate sul sito web istituzionale – n. XX dell’XX, prot. n. XX del XX; n. XX del XX; prot. n. XX del XX. 

Per altro verso, non risulta inoltre ancora effettuata la comunicazione a questa Autorità dei dati di contatto del Responsabile della Protezione dei Dati (RPD) da parte del Comune, i quali allo stato non risultano nemmeno pubblicati in maniera completa sul sito web istituzionale, come previsto dalla normativa europea.

In tale quadro, si ritiene pertanto necessario ingiungere, ai sensi dell’art. 58, par. 2, lett. d), del RGPD, al Comune di Pazzano di mettere in atto misure adeguate per garantire l’effettivo oscuramento dei dati personali contenuti nei documenti pubblicati online sul sito web istituzionale laddove non debbano essere oggetto di diffusione ai sensi della disciplina in materia di protezione dei dati personali, integrando «nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del [RGPD] e tutelare i diritti degli interessati» (art. 25, parr. 1 e 2, RGPD), e in particolare per oscurare correttamente le ordinanze del Sindaco prima citate nel par. 1 – attualmente ancora pubblicate sul sito web istituzionale – n. XX dell’XX, prot. n. XX del XX; n. XX del XX, prot. n. XX del XX.

Si ritiene inoltre necessario, in ragione della mancata attuazione degli adempimenti richiesti dal RGPD, ingiungere, sempre ai sensi dell’art. 58, par. 2, lett. d), del RGPD, al Comune di Pazzano di provvedere alla comunicazione a questa Autorità (seguendo in proposito l’apposita procedura disponibile sul sito del Garante all’indirizzo https://servizi.gpdp.it/comunicazionerpd/s/) dei dati di contatto del Responsabile della protezione dei dati designato dal Comune, nonché di disporre la corrispondente pubblicazione sul sito web istituzionale dell’ente, ai sensi dell’art. 37, par. 7, del RGPD. 

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD) 

Il Comune di Pazzano risulta aver violato gli artt. 5, par. 1, lett. c); 25, parr. 1 e 2; 37, del RGPD.

La violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione delle sanzioni amministrative di cui all’art. 83, parr. 4 e 5, del RGPD.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave». 

In ordine alla condotta in esame, pertanto, la violazione delle disposizioni citate è soggetta alla sanzione amministrativa pecuniaria più grave prevista dall’art. 83, par. 5, del RGPD, che si applica al caso di specie. 

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, la rilevata condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto la mancata adozione di «misure tecniche e organizzative adeguate», per garantire l’effettivo oscuramento dei dati personali dei soggetti destinatari delle ordinanze sindacali di «applicazione di permanenza domiciliare con sorveglianza attiva» come misura di contenimento per la gestione dell’emergenza epidemiologica da Covid-19, nonché il mancato corretto adempimento degli obblighi previsti dall’art. 37 del RGPD in relazione al RPD. Il Comune di Pazzano è un ente di piccole dimensioni con quasi 500 abitanti e non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 2.000,00 (duemila) per la violazione degli artt. 5, par. 1, lett. c); 25, parr. 1 e 2; 37 RGPD; quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e sufficientemente dissuasiva in ragione del relativo importo ai sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, relative alla violazione del principio di minimizzazione dei dati (art. 5, par. 1, lett. c, RGPD) e alla mancata adozione di «misure tecniche e organizzative» adeguate ai sensi dell’art. 25, parr. 1 e 2, del RGPD, si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019. 

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento nei termini di cui in motivazione, effettuato dal Comune di Pazzano in persona del legale rappresentante pro-tempore, con sede legale in Piazza IV Novembre S.n.c. - 89040 Pazzano (RC) - C.F. 81001230804

1. ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD nonché dell’art. 166 del Codice, infligge al Comune di Pazzano la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del succitato Regolamento ordinando e contestualmente ingiungendo al predetto trasgressore, di pagare la somma di euro 2.000,00 (duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011);

2. ai sensi dell’art. 58, par. 2, lett. d), del RGPD, ingiunge al Comune di Pazzano di:

a) mettere in atto misure adeguate per garantire l’effettivo oscuramento dei dati personali contenuti nei documenti pubblicati online sul sito web istituzionale laddove non debbano essere oggetto di diffusione ai sensi della disciplina in materia di protezione dei dati personali, integrando «nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del [RGPD] e tutelare i diritti degli interessati» (art. 25, parr. 1 e 2, RGPD), e in particolare per oscurare correttamente le ordinanze del Sindaco prima citate nel par. 1 – attualmente ancora pubblicate sul sito web istituzionale – n. XX dell’XX, prot. n. XX del XX; n. XX del XX, prot. n. XX del XX;

b) di provvedere alla comunicazione a questa Autorità (seguendo in proposito l’apposita procedura disponibile sul sito del Garante all’indirizzo https://servizi.gpdp.it/comunicazionerpd/s/) dei dati di contatto del Responsabile della protezione dei dati designato dal Comune, nonché di disporre la corrispondente pubblicazione sul sito web istituzionale dell’ente, ai sensi dell’art. 37, par. 7, del RGPD; 

3.  ai sensi dell’art. 157 del Codice, richiede al Comune di Pazzano di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto al precedente punto n. 2, lett. a) e b), del presente provvedimento entro trenta giorni dalla notifica dello stesso;

4. ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito web del Garante;

5. ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate, ai sensi dell’art. 58, par. 2, del RGPD, con il presente provvedimento.

Si ricorda, che l’inosservanza di quanto ordinato al precedente punto n. 2, lett. a) e b), è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del RGPD. Si evidenzia, altresì, che il mancato riscontro alla richiesta, formulata ai sensi dell’art. 157, di cui al precedente punto n. 3 è punito con la sanzione amministrativa di cui all’art. 166, comma 2, del Codice.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10187868
Data
22/07/21

Argomenti

Internet e social media Pubblica Amministrazione Informativa Trasparenza amministrativa

Tipologie

Prescrizioni del Garante